小白学习篇:MYSQL手工注入之多种类多姿势剖析(上)

已于 2023-05-24 18:04:31 修改
阅读量402 收藏 7
点赞数 8
分类专栏: sql注入 文章标签: 数据库 mysql sql
于 2023-05-21 23:32:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64683116/article/details/130798515
版权

小白学习篇:MYSQL手工注入之多种类多姿势剖析(上)

引言

MYSQL数据库在5.0版本前后变化异常大,MYSQL在5.0之后诞生出了一个新的数据库:information_schema,这个库对于我们SQL手工注入至关重要
接下来我们来看看这个数据库的重要性到底如何?这个数据库为信息汇总数据库,汇总了该服务器下所有MYSQL数据库和表信息。
我们查询SCHEMATA表,,可以发现其中包含了所有数据库名
select *from information_schema.SCHEMATA
我们再查询其tables表,可以发现其中包含了所有数据库名
select *from information_schema.tables
再去查询其column列信息,可以发现其中包含了所有字段名
select *from information_schema.columns
既然有这个数据库的存在,那么就意味着我们可以通过跨库查询进行爆库
sqlmap作为常见的sql注入工具,相比手工确实方便许多,个人认为,小白应该从sql手工注入和sql原理分析开始学习,由浅入深后工具也能运用自如!

知识前提(补充)

下面介绍几个常用的爆库函数和语句:
相关函数
查询当前用户
select user()
这个语句可以用来查询当前用户,最高权限用户是root@localhost,可以进行查询、插入、更改、创建等一系列操作。
查询当前数据库
select database()
这步其实是很有必要的,因为当我们得知当前数据库可能为目标数据库时,我们可以减少很多步操作,使得步骤简便一些
查询数据库版本
select version()
这一步也相当重要的,因为我们要准确知道数据库版本,才能进行下一步操作。人家这个版本的MYSQL都没information_schema,自己在那琢磨半天还不如去吃吃瓜!
相关语句
排序语句
Order by  12,3,4.......
order by+数字有助于我们用来猜测数据段,其语法中数字表示第几个字段,数据库中显示为二维表的形式,那么字段就是表示列,比如说使用select语句加上order by 3报错Unknown column '3‘ in ‘order clause’,而order by 2返回为正常的页面,那么我们可以判定查询的当前数据库的当前表下的字段应该为2,这对于后面sql注入占回显符很有帮助(当然主要针对UNION联合注入)
联合查询
select 字段名1,字段名2 from 数据表 union select 语句
union是其核心,相当于拼接了两个sql查询语句,一般网页回显结果为第一个select查询语句,这个sql语句的精髓在于当我们使前一个查询语句失效时候,一般是采用通过爆破点参数越界数据库来使得第一个语句失效,页面回显一般是后一个select语句。但是需要注意的是,前面字段数要和union后面select的字段数应相吻合统一,eg:select 字段名1,字段名2 from 数据表 union select 1,2 from xxx。
这里又引出了一个小tips:当我们使用1,2这种数字站位符号时,可以发现即使数据库中没有这个存储数据,它仍然会回显。
拼接语句
select group_concat(字段名1),group_concat(字段名2)  from  数据表
一般页面回显为单条数据,但是当我们使用group_concat()语句后那么我们就可以查询到所有数据,他们以一行的形式展示,且他们之间用逗号连接回显,这样就可以爆该字段的所有数据。
注释语句
#,--,/**/
这几个字符都是常见注释符的表达方式,对于字符型参数构造闭合很有作用。
好啦!给大家预热一下,这篇文章主要面向手动注入0基础的小白,有基础的师傅们捧捧场,帮忙指正批评,欢迎大家在评论区留言评论,接下来我们进入正题!

sql手工注入大致思路:

1.通过传入参数不同判断查看页面回显,判断是否为动态页面,静态页面是不能sql注入的

2.如果是动态页面,采用order by语句来回显页面输出点和字段数

3.通过字段数占位,判断数据库版本号,当前数据库是否为目标数据库,判断当前用户具有哪些权限(一般都具有查询权限的)

4.通过回显页面和数据包返回来判断是哪种类型的的sql注入

5.每种sql注入手法不同,但是核心思路都是->获取目标数据库名->获取目标数据库下表名->选择要进行爆数据的表名爆字段->通过爆字段来获取数据。

介绍类型

类型一:UNION联合注入

示例:以sqli-less2靶场为例,采用burp进行抓包处理后送出数据包

首先我们先进行动态页面判断,当我们传入参数为id=1和id=2时,页面回显数据不同,说明是动态网页。
在这里插入图片描述
请添加图片描述

现在判断是否有着sql注入点,我们使用and语句,我们可以发现当and后面条件1=1和1=2时页面回显的结果完全不同,当and 1=2时页面回显为空数据,说明存在sql注入点,注入点参数就是id
请添加图片描述
请添加图片描述

然后就可以进行我们的思路了:

首先进行查询字段数

从字段数为3开始,页面正常回显

?id=2 order by 3

请添加图片描述

接下来字段数为4,页面出现报错

?id=2 order by 4

请添加图片描述

由此可以判断其字段数为3,那么后续union select占位符有3个可以用1,2,3来代替

接下来来回显占位符,使得前一个查询失效,令id=-1

?id=-1 select 1,2,3

请添加图片描述

可以发现回显的是2,3这两个位置的占位符数据

接下来我们进行爆数据库版本和当前数据库

?id=-1 union select 1,version(),database()

可以发现数据库版本在5.0之后,当前数据库就是目标数据库,那么我们可以省略mysql爆数据库这一步,但是实战中多数是需要这一步的,笔者在这里提一下

爆mysql数据库常用操作

?id=-1 union select 1,version(),group_concat(schema_name) from information_schema.schemata

请添加图片描述

我们已经找寻到目标数据库为security了,那么我们看看这个数据库下面有哪些数据表吧?

爆数据表名

?id=-1 union select 1,version(),group_concat(table_name) from information_schema.tables where table_schema='security'

请添加图片描述

我们爆出emails,referers,uagents,users四个表,这里我们爆users表数据

爆字段名

?id=-1 union select 1,version(),group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'

请添加图片描述

爆出字段名id,username,password后,筛选出username和password两个字段,相当于我们就掌握这些用户的登录账号和密码啦,,接下来的操作就和普通查表差不多啦

?id=-1 union select 1,group_concat(username),group_concat(password) from users

请添加图片描述

至此所有数据都被爆出,这就是联合注入,是不是很简单呢。但是需要注意的是参数分为两种类型,可能是字符型或者字符型,字符型要构造闭合,其实也没有什么难的,只是用单引号或者其他符号添加在传给id参数的后面,再使用注释语句注释掉它源程序本来构造的外层闭合

?id=1' --af(af为任意字符,--注释后面的'
G@t4by
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
第01篇:MySQL注入点写WebShell的5种方式1
08-03
1、在默认数据库 test 中创建测试表admin和测试数据,新建test用户授予FILE权限 2、使用test用户连接 1、利用Union select 写入
第一篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)1
08-03
这边的策略,主要的测试思路:a、白名单 b、绕过union select或select from的检测搭建这个window2003+IIS+php+mysql
mysql sql注入例子_sql注入的各种实例情况
weixin_42718924的博客
02-05 653
/////////////////////////////////////命令注入攻击:使用的是system函数执行windows系统dir命令,来显示URL参数dir所指定的子目录的内容。 可以使用escapeshellarg函数来处理命令的参数,防止URI来进行命令注入攻击使用的是passthru函数执行windows系统命令,读取URL参数username所指定的来访者账号,并显示来访者...
MySql注入科普
huike008的博客
06-01 157
默认存在的数据库: mysql 需要root权限读取 information_schema 在5以上的版本中存在 测试是否存在注入方法 假:表示查询是错误的 (MySQL 报错/返回页面与原来不同) 真:表示查询是正常的 (返回页面与原来相同) 共三种情况: 字符串类型查询时: 数字类型查询时: 登陆时: ‘ 假 ” 真 “ 假 “” 真...
mysql注入演示_SQL注入(案例演示)
weixin_30921875的博客
01-19 229
SQL注入(案例演示)一、SQL注入是什么?在程序事先定义好的 查询语句中添加额外的SQL语句 ,在管理员不知情的情况下实现非法操作,以此来实现 欺骗数据库服务器执行非授权的任意查询 ,从而进一步得到相应的数据信息。SQL注入通俗说就是:通过SQL语句找到破绽,进行非法的数据读取。二、实现步骤说明:用一个简单的查询案列说明 SQL 注入案例使用的为:Java语言与MySQL数据库1.新建数据表1....
mysql 注入用例_mysql-常用注入渗透手法
weixin_42127020的博客
01-19 229
mysql:内置函数常用函数:left(), mid(), ord(), length(),benchmark(),load_file(), outfile(),concat(),系统重要信息:system_user(), user(), current_user, session_user(), database(), version(),ASCII码:select char(97,100...
Mysql 手工注入
weixin_45625450的博客
09-14 754
p=1&id=4’ and 1=2 union select 1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from information_schema.columns where table_name=‘表名’ #x%’ and 1=2 union select 1,2,group_concat(username,password),4,5,6,7,8,9,…
MySQL手工注入
xiao_he0123的博客
03-16 3445
MySQL手工注入基本知识前言一、SQL注入的原理二,如何判断是否有注入点三、步骤1.MySQL信息收集2.数据注入四,案例演示1.判断是否有注入点2.确认字段数3.判断回显点4.查询相关内容1查询库名2.查询版本号3.查询数据库表名4.查询列名信息5.查询具体数据 前言 此次文章建立在MySQL数据库的基础上 一、SQL注入的原理 可控变量带入数据库查询,变量未存在过滤或者过滤不完整 二,如何判断是否有注入点 and 1=1页面正常 and 1=2页面错误则表明有注入点 同时也可以对参数随意赋值判断如果
mysql】sql注入
清风微醺的博客
04-18 2338
sql注入攻击实例mysql_SQL注入攻击案例 SQL注入案例 所谓的sql注入本质上还是执行sql语句 检测注入点 判断是否存在sql注入可能 判断当前表有多少字段 利用order by n select * from tag order by 2; order by n以第n个column排序,如果n大于表中字段个数会报错。 SQL注入常用爆库语句 爆库 SELECT * FROM `tag` where id = 3 union select 1,database(); 查询informat
网络安全进阶学习第十课——MySQL手工注入
p36273的博客
08-02 1766
多了一列选项,由于正确就会执行sleep(1),所以相应时间最长的那一个就是正确的结果,这里就是14。这样就知道security这个数据库里面所有的表名字:emails,referers,uagents,users。现在这样子就知道了users这个表的所有字段名,假设知道了字段是:id,username,password。好了这样就知道所有的表名字是:emails,referers,uagents,users。,这个函数第二个参数要是有特殊字符是会报错的,这里0x7e是“~”的URL编码。
SQL注入之union 联合注入
weixin_53711701的博客
01-16 4124
SQL注入之union联合注入
linux运维学习笔记:MySQL多实例配置实战.pdf
08-18
linux运维学习笔记:MySQL多实例配置实战
python 零基础学习MySQL数据库4 pymysql防止sql注入的多个参数使用 .mp4
04-21
python 零基础学习
第06篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)1
08-03
思路:a、白名单 b、绕过union select或select from的检测搭建这个window2003+IIS+php+mysql,可花费不少时间,测试过
23、注入篇————MYSQL数据库基于时间的注入
Fly_鹏程万里
03-03 7060
前言延时注入属于盲注技术的一种,它是一种基于时间差异的注入技术,下面以Mysq为例讲解延时注入。Sleep函数在MYSQL中有一个函数:sleep(duration),这个函数的意识是在duration参数给定的秒数之后运行语句,如下SQL语句:select * from users where id=1 and sleep(3); /* 3秒之后执行SQL语句*/判读注入漏洞存在与否知...
SQL注入操作流程及实例演示+墨者学院靶场SQL手工注入漏洞测试(MySQL数据库)
ran的博客
01-12 1597
MYsQL5.0以上版本中,Mysql 有一个系统数据库 information_schema,它是一个存储记录有所有数据库名,表名,列名的数据库,相当于利用该表可以进行一次完整的注入,通过查询它获取指定数据库下面的表名、列名、具体数据信息。当输入了一些乱七八糟的内容之后,网页返回“404错误”或者进行了跳转,则说明本网站对输入的内容可能有检测,则说明这个网站大概率没有注入漏洞。返回的了两个数字,分别是“2”、“3”,因此,修改网址上的“2”、“3”为对应系统函数来进行信息收集。可以在参数值前加“-”;
MySQL之联合注入
yuan_boss的博客
08-23 135
通过information_schema库的COLUMNS,查询表字段table_name,值为cms_users的字段信息,并且使用GROUP_CONCAT()函数将所有的字段名打印出来,然后转换为hex,将结果进行解码即可获得字段名。利用order by的特性----他可以指定列的顺序来进行排序,所以可以在order by后面直接加数字,表示按照第几列排序,一旦数字超过了列数,就会报错,从而可以推算出字段数。字符型注入中,哪个符号引发的报错,就代表是哪个符号的字符型注入。比如,这里获得的数据库表名是。
SQL注入攻击实战演示(附源码)
hack0919的博客
03-31 4179
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。
注入mysql数据库(手工注入
最新发布
2301_79194110的博客
09-15 194
MySQL 4版本数据库由于存在着字符转义与不支持字句查询的情况,因此在注入攻击上存在着很大的局限性,只能采用类似Access的方法进行查询猜解。首先,利用order by获得当前表的字段数,再使用union select联合查询来获取想要的数据库信息。使用union select联合查询数据库时,由于不知道数据库中的表名与字段名,因此只能像Access一样直接用常见表名和字段名进行猜测判断。MySQL 5版本由于information_schema库的存在,注入攻击相对来说方便了许多。
springboot项目实战
05-26
好的,以下是一个简单的 Spring Boot 项目实战: 1. 首先,需要安装好 Java 和 Spring Boot。可以在官网上下载安装包,安装完成后,可以使用 `java -version` 和 `spring --version` 来检查是否安装成功。 2. 创建一个新的 Spring Boot 项目。可以使用 Spring Initializr 来创建一个基本的项目骨架。在 Spring Initializr 网站上,选择 Maven 或 Gradle 作为构建工具,选择相应的 Spring Boot 版本,添加必要的依赖,例如 Web、JPA、MySQL 等。然后下载生成的项目骨架。 3. 在 IDE 中打开项目。如果使用的是 IntelliJ IDEA,可以直接打开 Maven 或 Gradle 项目,然后导入项目骨架。在 Eclipse 中,可以使用 Spring Tool Suite 插件来创建和管理 Spring Boot 项目。 4. 编写代码。在项目中创建一个控制器类,例如 `HelloController` 类,添加一个 `@RestController` 注解,然后添加一个处理 HTTP GET 请求的方法,例如: ``` @RestController public class HelloController { @GetMapping("/hello") public String hello() { return "Hello, Spring Boot!"; } } ``` 这个方法处理 `/hello` 路径的 GET 请求,并返回一个字符串 "Hello, Spring Boot!"。 5. 运行项目。在 IDE 中,可以使用内置的运行工具或者命令行工具来启动项目。在命令行中,可以使用 `mvn spring-boot:run` 命令来启动项目。启动成功后,可以在浏览器中访问 `http://localhost:8080/hello`,应该能够看到返回的字符串 "Hello, Spring Boot!"。 6. 集成数据库。在 `application.properties` 文件中添加数据库相关的配置,例如: ``` spring.datasource.url=jdbc:mysql://localhost:3306/test spring.datasource.username=root spring.datasource.password=123456 spring.datasource.driver-class-name=com.mysql.jdbc.Driver ``` 然后创建一个实体类和一个 JPA Repository 接口,例如: ``` @Entity public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String name; private Integer age; // getters and setters } public interface UserRepository extends JpaRepository<User, Long> { } ``` 最后在控制器类中调用 Repository 接口来访问数据库,例如: ``` @RestController public class UserController { @Autowired private UserRepository userRepository; @GetMapping("/users") public List<User> getUsers() { return userRepository.findAll(); } @PostMapping("/users") public User addUser(@RequestBody User user) { return userRepository.save(user); } } ``` 这个控制器类处理 `/users` 路径的 GET 和 POST 请求,分别返回所有用户和添加一个新用户。注意,这里使用了 `@Autowired` 注解来自动注入 UserRepository 对象。 7. 运行项目并测试。启动项目后,可以使用 Postman 或其他工具来测试接口。例如,发送一个 POST 请求,请求体为 JSON 格式的用户信息,例如: ``` { "name": "Tom", "age": 20 } ``` 然后访问 `/users` 路径,应该能够看到返回的用户信息。 这就是一个简单的 Spring Boot 项目实战。当然,实际项目中会更加复杂,需要考虑更多的业务逻辑和技术细节。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值