sql int 转 string_sql注入绕过方法总结

最新推荐文章于 2024-06-04 18:18:02 发布
最新推荐文章于 2024-06-04 18:18:02 发布
阅读量839 收藏
点赞数
文章标签: sql int 转 string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39614011/article/details/113319682
版权

前言   SQL在CTF每一次比赛中基本上都会出现,所以有了这一篇总结,防忘,最后更新于2018/10/11。      简而言之:SQL注入用户输入的数据变成了代码被执行

e991ff9a3b8b8423f093b82203272be3.png

我们希望用户输入的 id 的值,仅仅是一个字符串,传入数据库执行,但是当输入了:2 or 1=1 时,其中的 or 1=1 是作为了 sql语句 来执行的。

sql注入绕过

以下绕过方式可自己在虚拟机搭建一个mysql数据库环境,实际操作练习;

注释符号绕过

常用的注释符有

8e664bad32f5aae6d8264d4e3719df4c.png

实例

d7c4a95a328c1f66b03b6e990c7ac100.png

7086a62231789031781f3fc718b6dac2.png

615b7b8d1bdb426addca53de9c5140f9.png

大小写绕过

常用于 waf 的正则对大小写不敏感的情况,一般都是题目自己故意这样设计。
例如:waf过滤了关键字 select ,可以尝试使用 Select 等绕过。

392e3c0f590f11bc73e7fd398a2c2184.png

内联注释绕过

内联注释就是把一些特有的仅在MYSQL上的语句放在 /*!...*/ 中,这样这些语句如果在其它数据库中是不会被执行,但在MYSQL中会执行。

d5790ef39782ec619385c43a3ce72123.png

双写关键字绕过

在某一些简单的 waf 中,将关键字 select 等只使用 replace() 函数置换为空,这时候可以使用双写关键字绕过。例如 select 变成 seleselectct ,在经过 waf 的处理之后又变成 select ,达到绕过的要求。

特殊编码绕过

十六进制绕过

f69ea0734b084ed4f2af9215a00d4a25.png

ascii编码绕过Test 等价于CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)tip:好像新版mysql不能用了

空格过滤绕过

一般绕过空格过滤的方法有以下几种方法来取代空格

1f18815f112cceb3250270e2e5000d12.png

实例

06d601d7a931ed14b812c456d9c7fc0f.png

7a62a0724a8853c43add30e9c0d8e308.png

befb47357bcd0c761b9cfcbc47a84a1b.png

8b143661d7870b0ab31873ebb10864eb.png

过滤or and xor not 绕过

ca75da44466263bfb542ad76b54997c2.png

过滤等号=绕过

不加 通配符like 执行的效果和 = 一致,所以可以用来绕过。 正常加上通配符的 like

59308b9255744a36ab48ab045caed236.png

不加上通配符的 like 可以用来取代 =

caf5116c0e2c38962e41d74bc7076493.png

rlike:模糊匹配,只要字段的值中存在要查找的 部分 就会被选择出来
用来取代 = 时, rlike 的用法和上面的 like 一样,没有通配符效果和 = 一样

3aa36a24cba5d0885f60849ce8f56c74.png

regexp:MySQL中使用 REGEXP 操作符来进行正则表达式匹配

77ef7ccb7243db74b0751ec7a8a80e4d.png

使用大小于号来绕过

e05e9649270b7d5dbae849d747d46215.png

<> 等价于 !=
所以在前面再加一个!结果就是等号了

962bc14fcbad00efd199878b240e5092.png

等号绕过也可以使用strcmp(str1,str2)函数、between关键字等,具体可以参考后面的过滤大小于号绕过

过滤大小于号绕过

在sql盲注中,一般使用大小于号来判断ascii码值的大小来达到爆破的效果。但是如果过滤了大小于号的话,那就凉凉。怎么会呢,可以使用以下的关键字来绕过

  • greatest(n1, n2, n3…):返回n中的最大值

e0adc08b7270432a7260930a2707b447.png

  • least(n1,n2,n3…):返回n中的最小值

  • strcmp(str1,str2):若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回  -1,其它情况返回 1

d0935edd76c0098d8a5de6f945649fed.png

in关键字

b656995fe93bd6ecede28586c3f05c9d.png

between a and b:范围在a-b之间

0913f7692398cfadf0d94a8f8c42f17b.png

使用between a and b判等

8dea4a2b2a59ecd4bdbd2ec8ae761d8f.png

过滤引号绕过

  • 使用十六进制

a1afa459becbd69184672ad4634a579a.png

  • 宽字节

常用在web应用使用的字符集为GBK时,并且过滤了引号,就可以试试宽字节。

cd59ea749c45602e0ed05297e25cf33d.png

过滤逗号绕过sql盲注时常用到以下的函数:    substr()
        substr(string, pos, len):从pos开始,取长度为len的子串
        substr(string, pos):从pos开始,取到string的最后

    substring()
        用法和substr()一样

    mid()
        用法和substr()一样,但是mid()是为了向下兼容VB6.0,已经过时,以上的几个函数的pos都是从1开始的

    left()和right()
        left(string, len)和right(string, len):分别是从左或从右取string中长度为len的子串

    limit
        limit pos len:在返回项中从pos开始去len个返回值,pos的从0开始

    ascii()和char()
        ascii(char):把char这个字符转为ascii码
        char(ascii_int):和ascii()的作用相反,将ascii码转字符

回到正题,如果waf过滤了逗号,并且只能盲注(盲注基本离不开逗号啊喂),在取子串的几个函数中,有一个替代逗号的方法就是使用 from pos for len ,其中pos代表从pos个开始读取len长度的子串
例如在 substr() 等函数中,常规的写法是

958044fa92fedd3e937fc916768096ba.png

如果过滤了逗号,可以这样使用 from pos for len 来取代

5d789fd95fb9c2dec3805348b024af23.png

在sql盲注中,如果过滤逗号,以下参考下面的写法绕过

b196fc0a29051243cc71f5444857b4dc.png

也可使用 join 关键字来绕过

08a3a8858fc72e44be370f95e490baa9.png

其中的

d7cca622f2a16a708af340bd032c20ca.png

等价于

7dccdba738e1ab89765d415aecb1fe7f.png

使用like关键字
适用于substr()等提取子串的函数中的逗号

229717d3ad68c1c99850fd00d1556cf1.png

使用offset关键字
适用于 limit 中的逗号被过滤的情况 limit 2,1 等价于 limit 1 offset 2

7259ad358ac7a03992997aeac8e45dd5.png

过滤函数绕过

  • sleep() -->benchmark()

a47e0c9a4669454f23efc5fa8fc272c5.png

05d7dc08e6e5a4a403ffe56c08d89526.png

  • ascii()–>hex()、bin()
    替代之后再使用对应的进制转string即可

  • group_concat()–>concat_ws()

6c017559993cbaabc389f901294de3ce.png

  • substr(),substring(),mid()可以相互取代, 取子串的函数还有left(),right()

  • user() --> @@user、datadir–>@@datadir

  • ord()–>ascii():这两个函数在处理英文时效果一样,但是处理中文等时不一致。

转载自:https://blog.csdn.net/huanghelouzi/article/details/82995313

weixin_39614011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql语句string
10-06
可以将在数据库客户端编辑测试好的sql语句,直接换为java代码中的String类型。
sql语句查询 将int类型数据换为字符串String类型
weixin_44090537的博客
07-12 2万+
sql语句查询中 将int类型数据换为字符串类型 写sql时可能有这样的需求 查询数据库的结果中需要将值换为String类型 不然在java代码嵌套太深的集合中处理太麻烦 select CAST(A.xxx AS CHAR) as xxx,A.zzz from A wher A.yyy = '123' ; ...
Spark中把所有的列换成string操作
最新发布
2301_81547508的博客
06-04 531
这段代码使用了Spark SQL中的select函数和列表推导式来选择DataFrame中的所有列,并将它们的数据类型换为字符串类型。最终,该代码将选择DataFrame中的所有列,并将它们的数据类型换为字符串类型,以便后续的数据处理和分析。函数,用于创建列对象。如果您在代码中没有包含这个导入语句,请确保添加它,以便正确执行代码。
sql int string_1小时学会sql-编程零基础运营的血泪总结
weixin_39616379的博客
12-04 910
这篇文章其实我很早就想写了,想把自己学习sql时碰到的问题和思考写成文字,对自己做一个总结,但拖延症一直纠缠着我。突然有天晚上我想到我咋都没有点东西能拿出来说说的?我也想对曾今努力过的自己说一声:你很棒!然后痛下决心花了一晚上,写到凌晨2点,写完了,人就是需要被逼一下。 借此机会也感谢一下当时帮我的开发小姐姐,小哥哥们,和优秀的人在一起努力,你会变得更优秀。以上是废话,现...
sql int string_由String引发的思考
weixin_39977276的博客
12-16 2814
最近在研究GO语言,其中提到字符串就是一串固定长度的字符连接起来的字符序列。则由此产生联想,在JVM中String的长度限制是多少?而且在实际应用(智慧社区)中也遇到过相似场景:前端同学将图片码成Base64的形式用字符串存储到后端,然后运行时再回来。虽然这么做有点奇葩,但是存在即合理吧。今天,就来谈一下这个String在JVM中到底有没有限制。JVM中STRING的存储Strin...
SQL Server 2008 中,将int数据类型如何换为string输出?
热门推荐
microcosmv的博客
08-31 3万+
SQL Server 中的字符串是用char,nchar,varchar,nvarchar等数据类型来实现的。 将int数据类型如何换为字符串可以用如下任意一种方式: declare @num int set @num = 1 – 方式1:搜索 select CONVERT(varchar(10),@num) – 或者方式2 select CAST(@num as va
防御SQL注入方法总结
09-10
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库,获取、修改、删除敏感信息,甚至完全控制数据库系统。防御SQL注入是保护网站和应用程序免受此类攻击的关键步骤。 1. SQL注入的...
C#防SQL注入代码的三种方法
09-04
在C#中,防止SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,而使用参数化查询。例如,使用`SqlCommand`对象的`...
mybatis防止SQL注入方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
php is_numberic函数造成的SQL注入漏洞
09-04
- **使用预编译的SQL语句**:这是防止SQL注入的最有效方法。 - **最小权限原则**:数据库连接应使用最低权限的账户,减少因注入造成的损害。 - **代码审查**:定期审查代码以查找可能的安全漏洞。 总之,`is_...
PHP简单预防sql注入方法
12-18
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库。在PHP中,不恰当的SQL语句构建是导致SQL注入的主要原因。以下是一些PHP防止SQL注入方法: 1. 使用参数化查询: 参数化查询是...
SqlStringBuffer格式化工具.html
07-27
可以将sql化为格式化的sql,并生成StringBuffer,可直接将代码copy到eclipse里面
程序员该如何进行 SQL 数据库的优化?
CSDN资讯
12-31 3363
作者 |单一色调责编| Elle出品 | CSDN 博客之前的文章是从实例的角度进行数据库优化,通过配置一些参数让数据库性能达到最优。但是一些“不好”的SQL也会导致数据库查询变慢...
sql中将其他数据类型string
Huc673619的博客
08-19 2675
Oracle sql语法
C语言使用细节
kuidaitui3165的博客
09-05 423
C Detail do....while()和while()的区别 do...while(0U)的作用 确保宏定义正确展开 如果原语句为: if(!value) foo(wolf); 在#define foo(x) bar(x); baz(x)的情况下,展开为: if(!value) bar(wolf); baz(wolf); //展开效果与我们期望的不符 如果采用do...while(0U),则展开为: if(!value) do{ bar(x);
sql int string_Flink-Table-&-SQL实战
weixin_39631649的博客
11-29 1033
简介 Apache Flink具有两个关系API - 表API和SQL - 用于统一流和批处理。Table API是Scala和Java的语言集成查询API,允许以非常直观的方式组合来自关系运算符的查询,Table API和SQL接口彼此紧密集成,以及Flink的DataStream和DataSet API。您可以轻松地在基于API构建的所有API和库之间切换。例如,您可以使用CEP库从DataS...
sql化为string
weixin_45397609的博客
08-06 1809
<html> <head> <title>将SQL换为 StringBuffer</title> </head> <script type="text/javascript"> function getStringBufferStr(){ var sql = document.getElementById("sql").value.toUpperCase();
MySQLint类型数据换为字符串
qq_46028126的博客
09-09 1万+
MySQL类型
SqlServer intvarchar
qq_32628819的博客
07-11 3万+
CASE 字段名1 WHEN '2018' THEN CAST(字段名2 as varchar(10)) ELSE '/' END AS 字段名2  
SQL intstring
06-01
SQL中,可以使用CAST函数或者CONVERT函数将int类型换为string类型。 使用CAST函数: ``` SELECT CAST(column_name AS VARCHAR) FROM table_name; ``` 使用CONVERT函数: ``` SELECT CONVERT(VARCHAR, column_name) FROM table_name; ``` 其中,column_name是需要换的列名,table_name是数据表名。在两个函数中,VARCHAR是目标数据类型,可以根据需要替换为其他数据类型,比如NVARCHAR。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值