sql注入之显错注入

SQL注入之显错注入

注入本质?

1、 SQL显错注入是最常见的注入。

2、 注入攻击的本质,是把用户输入的数据当做SQL语句执行。

3、 这里有两个关键条件:

第一个是用户能够控制输入。

第二个是原本程序要执行的代码,拼接了用户输入的数据,然后进行执行。

渗透测试常用函数。

1、 GROUP_CONCAT(col):返回由属于一组的列值连接组合而成的结果。

  例如:id=9.9 union select 1,GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()

  可以把所有内容输出到同一页面,并且以逗号分隔(admin,dirs,news,xss)

2、 ASCII(char):盲注用,返回字符的ASCII码值。

3、 DATABASE():返回当前数据库名。

4、 USER()或SYSTEM_USER():返回当前登陆用户名。

  例如:字段2,回显2,有id=9.9 union select 1,USER()。

5、 VERSION():返回MySQL服务器的版本。

  例如:字段2,回显2,有id=9.9 union select 1,VERSION()。

6、 SLEEP(n):休眠n秒。

小知识点。

1、 要分清 ‘ (引号)和 `(反引号)。

2、 在PHP中 `(反引号)可以执行CMD语句。

  例如:在php中写一句 echo `whoami` ,然后再网页中打开的话,会返回如同CMD中执行的结果。

3、 `(反引号)在JS中可以代替(’ 。

  例如:<script>alert(‘非法注入!’)</script>

     <script>alert`非法注入!`</script>

4、 联合查询的使用条件:

  1)字段数相等。

  2)字段类型相同。

SQL注入易错回答分析

1、 sql注入本质是什么?

  把用户输入当做代码执行;

2、 sql注入的条件?

  用户可以控制输入和程序原本要执行代码,拼接用户输入的数据且当作SQL语句去执行;

3、 order by的作用及含义?

  order by的原理是对字段进行一个排序,比如,order by 1就是对一个字段进行排序,如果一共四个字段,你order by 5 数据库不知道怎么排序,于是乎就错误了无返回值;

  而在注入中,order by 用于判断显示位;

4、 union select如何发挥作用?

  union为联合查询,a联合b进行了查询,为查询了前面的sql语句(原有的)后再进行后面的sq查询(我们添加的),但两张表联合查询的字段数必须相同;

5、 输出位是什么?

  SQL查询出来的数据不一定全部会输出,页面上只会输出几个字段的信息,那几个会输出的字段就是输出位;

6、 information_schema是什么?

  information_schema是mysql的系统自带表,用于查询数据,在mysql5.0以上版本中存在;

7、 加单引号和加 and 1=2有什么区别?

  有区别,单引号是为了闭合语句,而and 1=2是为了让union前面的语句无查询结果无输出,然后直接输出拼接进去union后面的那个语句的查询结果;

8、 and 是什么意思?

  and 为和的意思,一个语句中,当前一个正确,后一个错误时,如果是and连接整个语句返回的是False;

9、 or是什么意思?

  or 为和的意思,一个语句中,当前一个正确,后一个错误时,如果是or连接整个语句返回的是True;

10、and 和 or 选择使用有什么讲究?

and 语句执行时,如果and 前的语句返回False,那么and后面的语句根本不执行;

11、除了单引号外还有其他的符号可以闭合吗?

  实际上还是要看源码,常见的是单引号和双引号还有括号;

12、limit的作用?

  limit 在注入中用于排序然后输出,limit a,b中 [a代表了从哪个位置(从0开始) b代表从那位开始显示几条数据];

13、可以查讯多个字段内容吗?

  可以,可以使用语句Group_concat()函数进行输出;

14、%23有什么作用?

  %23编码为#,用于注释后面的语句,防止SQL注入点后原本的SQL语句对SQL注入进行干扰[#注释是Mysql数据库特有的];

15、报错注入的原理?

  利用sql注入拼接sql语句,将报错信息输出时同时将我们想要的信息输出;

16、闭合是什么?

  在sql查询中,代码比较严谨,括号和引号都得成双成对,引号内的默认是字符串不会当作SQL语句执行,所以必须闭合然后才能注入,当然有些SQL语句直接拼接,也就不用什么闭合了;

17、SQL注入有数据库限制吗?

  没有,常见的数据库都可以;

18、SQL注入有动态脚本语言限制吗?

  没有限制;

19、SQL注入如果没系统自带表怎么办?

  只能通过猜,不断的尝试,一般而言数据库的表也不会乱起名字,毕竟是团队协作的东西,可以使用到一个exists()函数;

20、系统自带库管理员不会修改吗?

  一般而言并不会;

21、union all 和 union 区别?

  如果输出的数据有相同的,union只会输出一次,而union all都会输出;

22、为什么用and 1=1正常 and 1=2报错来判断是否存在SQL注入?

  因为如果存在SQL注入,那么and就是和的意思,1=1是一个恒等式,然后因为原本能够查出数据,那么两个真就是True,但是1=2肯定是不可能的,这里就会返回一个False,然后因为和必须两个真才返回

  True,所以这里拼接就不成立返回False。

注入之联合查询的基本流程(Mysql数据库)。

1. 显错判断注入点。

  ·使用and 1=1 页面正常。and 1=2 页面不正常。

  ·使用引号(’或”),报错就说明存在注入。

  ·尝试在语句末尾加注释,如果页面不变可能存在注入(不太准确)。

    例如:遇到url栏中输入’报错,可是sql语句不执行的情况下,可能是有id=’1’的限制。这时,可以这样输入id=1’#或id=1’–+(在#和–+前就可以执行sql语句了)

  ·注:#如果被吞,可以该成 %23。

  ·注:#注释是mysql数据库特有的。

  ·注:–+注释大部分常见的数据库都有。

  ·如果是数字型传参,可以尝试参数+1或-1 (例如id=1+1 或id=1-1)因为在SQL语句中时可以执行运算的。比较好用的是 -1,因为+有时候会当成空格执行。

    例如:

    http://www.xxx.com/new.php?id=1 页面显示id=1的新闻

    http://www.xxx.com/new.php?id=2-1 页面显示id=1的新闻

    and 1=1 and 1=2 被拦截的可能性太高了

    可以尝试 and -1=-1 and -1=-2

  ·或者直接 or sleep(5),如果页面转圈圈了,就存在SQL注入。

2. 判断当前页面字段总数。

  ·判断字段数的原因:是为了使用联合查询,因为在union 内部的 select 语句必须拥有相同数量的列。

  ·语句为:order by语句用于根据指定的列对结果集进行排序。

       order by 语句默认按照升序对记录进行排序。

  ·order by x(x从1开始)

    例如:如果 order by 3 页面不正常,说明数据库只有2个字段。

3. 判断显示位。

  ·需要判断显示位的原因:因为页面的内容都是选择性输出的,所以要用到该语句。

    比如有两个字段,第一个字段是id,第二个字段是网页的内容,用这个语句就是为了找到显示这个网页内容的字段。

  ·例如:页面只会显示页面数据的字段内容,不会显示id字段的内容。所以,要找到哪个地方能够输出。

  ·语句为:id=9.9 union select 1,2,3……(有多少个字段,就到几)

4. 查看当前的数据库。

  ·语句为:id=9.9 union select 1,2,x,database()

  ·参数必定要为假或使用and 1=2,显示位的数字改为database()。

5. 查表名。

  ·在mysql数据库中(.)是选中的意思。

    例如语句为:information_schema.tables.a

    则意思为:在information_schema数据库中选择tables表的a 字段。

  ·语句为:id=9.9 union select 1,2,table_name from information_schema.tables where table_schema = database() limit x,1

    或id=9.9 union select 1,2,table_name from information_schema.tables wheretable_schema =’数据库名’ limit x,1

  ·注:x,用于判断还有没有其它的表,从0开始。

6. 查列名。

  ·语句为:id=9.9 union select 1,2,3,column_name,5,6,7,8,9,10 from information_schema.columns where table_name = ‘表名’ limit x,1

  ·或id=9.9 union select 1,2,3,group_concat(column_name),5,6,7,8,9,10 from information_schema.columns where table_name = ‘表名’ limit x,1

7. 查字段内容。

  ·语句为:id=9.9 union select 1,用户名段(密码段) from 表名 limit 0,1


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 1012482327@qq.com

文章标题:sql注入之显错注入

本文作者:亖 玖

发布时间:2020-10-23, 10:11:16

最后更新:2020-10-23, 10:31:46

原始链接:http://yoursite.com/2020/10/23/sql%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%98%BE%E9%94%99%E6%B3%A8%E5%85%A5/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录
×

喜欢就点赞,疼爱就打赏