注入本质?
1、 SQL显错注入是最常见的注入。
2、 注入攻击的本质,是把用户输入的数据当做SQL语句执行。
3、 这里有两个关键条件:
第一个是用户能够控制输入。
第二个是原本程序要执行的代码,拼接了用户输入的数据,然后进行执行。
渗透测试常用函数。
1、 GROUP_CONCAT(col):返回由属于一组的列值连接组合而成的结果。
例如:id=9.9 union select 1,GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()
可以把所有内容输出到同一页面,并且以逗号分隔(admin,dirs,news,xss)
2、 ASCII(char):盲注用,返回字符的ASCII码值。
3、DATABASE():返回当前数据库名。
4、 USER()或SYSTEM_USER():返回当前登陆用户名。
例如:字段2,回显2,有id=9.9 union select 1,USER()。
5、VERSION():返回MySQL服务器的版本。
例如:字段2,回显2,有id=9.9 union select 1,VERSION()。
6、 SLEEP(n):休眠n秒。
小知识点。
1、要分清 ’ (引号)和 `(反引号)。
2、 在PHP中 `(反引号)可以执行CMD语句。
例如:在php中写一句 echo `whoami` ,然后再网页中打开的话,会返回如同CMD中执行的结果。
3、 `(反引号)在JS中可以代替(’。
例如:
4、 联合查询的使用条件:
1)字段数相等。
2)字段类型相同。
SQL注入易错回答分析
1、sql注入本质是什么?
把用户输入当做代码执行;
2、 sql注入的条件?
用户可以控制输入和程序原本要执行代码,拼接用户输入的数据且当作SQL语句去执行;
3、 order by的作用及含义?
order by的原理是对字段进行一个排序,比如,order by 1就是对一个字段进行排序,如果一共四个字段,你order by 5 数据库不知道怎么排序,于是乎就错误了无返回值;
而在注入中,order by 用于判断显示位;
4、 union select如何发挥作用?
union为联合查询,a联合b进行了查询,为查询了前面的sql语句(原有的)后再进行后面的sq查询(我们添加的),但两张表联合查询的字段数必须相同;
5、 输出位是什么?
SQL查询出来的数据不一定全部会输出,页面上只会输出几个字段的信息,那几个会输出的字段就是输出位;
6、 information_schema是什么?
information_schema是mysql的系统自带表,用于查询数据,在mysql5.0以上版本中存在;
7、 加单引号和加 and 1=2有什么区别?
有区别,单引号是为了闭合语句,而and 1=2是为了让union前面的语句无查询结果无输出,然后直接输出拼接进去union后面的那个语句的查询结果;
8、 and 是什么意思?
and 为和的意思,一个语句中,当前一个正确,后一个错误时,如果是and连接整个语句返回的是False;
9、 or是什么意思?
or 为和的意思,一个语句中,当前一个正确,后一个错误时,如果是or连接整个语句返回的是True;
10、and 和 or 选择使用有什么讲究?
and 语句执行时,如果and 前的语句返回False,那么and后面的语句根本不执行;
11、除了单引号外还有其他的符号可以闭合吗?
实际上还是要看源码,常见的是单引号和双引号还有括号;
12、limit的作用?
limit 在注入中用于排序然后输出,limit a,b中 [a代表了从哪个位置(从0开始) b代表从那位开始显示几条数据];
13、可以查讯多个字段内容吗?
可以,可以使用语句Group_concat()函数进行输出;
14、%23有什么作用?
%23编码为#,用于注释后面的语句,防止SQL注入点后原本的SQL语句对SQL注入进行干扰[#注释是Mysql数据库特有的];
15、报错注入的原理?
利用sql注入拼接sql语句,将报错信息输出时同时将我们想要的信息输出;
16、闭合是什么?
在sql查询中,代码比较严谨,括号和引号都得成双成对,引号内的默认是字符串不会当作SQL语句执行,所以必须闭合然后才能注入,当然有些SQL语句直接拼接,也就不用什么闭合了;
17、SQL注入有数据库限制吗?
没有,常见的数据库都可以;
18、SQL注入有动态脚本语言限制吗?
没有限制;
19、SQL注入如果没系统自带表怎么办?
只能通过猜,不断的尝试,一般而言数据库的表也不会乱起名字,毕竟是团队协作的东西,可以使用到一个exists()函数;
20、系统自带库管理员不会修改吗?
一般而言并不会;
21、union all 和 union 区别?
如果输出的数据有相同的,union只会输出一次,而union all都会输出;
22、为什么用and 1=1正常 and 1=2报错来判断是否存在SQL注入?
因为如果存在SQL注入,那么and就是和的意思,1=1是一个恒等式,然后因为原本能够查出数据,那么两个真就是True,但是1=2肯定是不可能的,这里就会返回一个False,然后因为和必须两个真才返回
True,所以这里拼接就不成立返回False。
注入之联合查询的基本流程(Mysql数据库)。
1. 显错判断注入点。
·使用and 1=1 页面正常。and 1=2 页面不正常。
·使用引号('或"),报错就说明存在注入。
·尝试在语句末尾加注释,如果页面不变可能存在注入(不太准确)。
例如:遇到url栏中输入’报错,可是sql语句不执行的情况下,可能是有id='1'的限制。这时,可以这样输入id=1'#或id=1'--+(在#和--+前就可以执行sql语句了)
·注:#如果被吞,可以该成 %23。
·注:#注释是mysql数据库特有的。
·注:--+注释大部分常见的数据库都有。
·如果是数字型传参,可以尝试参数+1或-1 (例如id=1+1 或id=1-1)因为在SQL语句中时可以执行运算的。比较好用的是 -1,因为+有时候会当成空格执行。
例如:
http://www.xxx.com/new.php?id=1 页面显示id=1的新闻
http://www.xxx.com/new.php?id=2-1 页面显示id=1的新闻
and 1=1 and 1=2 被拦截的可能性太高了
可以尝试 and -1=-1 and -1=-2
·或者直接 or sleep(5),如果页面转圈圈了,就存在SQL注入。
2. 判断当前页面字段总数。
·判断字段数的原因:是为了使用联合查询,因为在union 内部的 select 语句必须拥有相同数量的列。
·语句为:order by语句用于根据指定的列对结果集进行排序。
order by 语句默认按照升序对记录进行排序。
·order by x(x从1开始)
例如:如果 order by 3 页面不正常,说明数据库只有2个字段。
3. 判断显示位。
·需要判断显示位的原因:因为页面的内容都是选择性输出的,所以要用到该语句。
比如有两个字段,第一个字段是id,第二个字段是网页的内容,用这个语句就是为了找到显示这个网页内容的字段。
·例如:页面只会显示页面数据的字段内容,不会显示id字段的内容。所以,要找到哪个地方能够输出。
·语句为:id=9.9 union select 1,2,3……(有多少个字段,就到几)
4. 查看当前的数据库。
·语句为:id=9.9 union select 1,2,x,database()
·参数必定要为假或使用and 1=2,显示位的数字改为database()。
5. 查表名。
·在mysql数据库中(.)是选中的意思。
例如语句为:information_schema.tables.a
则意思为:在information_schema数据库中选择tables表的a 字段。
·语句为:id=9.9 union select 1,2,table_name from information_schema.tables where table_schema = database() limit x,1
或id=9.9 union select 1,2,table_name from information_schema.tables wheretable_schema ='数据库名' limit x,1
·注:x,用于判断还有没有其它的表,从0开始。
6. 查列名。
·语句为:id=9.9 union select 1,2,3,column_name,5,6,7,8,9,10 from information_schema.columns where table_name = '表名' limit x,1
·或id=9.9 union select 1,2,3,group_concat(column_name),5,6,7,8,9,10 from information_schema.columns where table_name = '表名' limit x,1
7. 查字段内容。
·语句为:id=9.9 union select 1,用户名段(密码段) from 表名 limit 0,1
229
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
