sql注入之显错注入

创建时间:
阅读:
  1. SQL注入之显错注入
  2. 注入本质?
    1. 渗透测试常用函数。
    2. 小知识点。
    3. SQL注入易错回答分析
    4. 注入之联合查询的基本流程(Mysql数据库)。
      1. 1. 显错判断注入点。
      2. 2. 判断当前页面字段总数。
      3. 3. 判断显示位。
      4. 4. 查看当前的数据库。
      5. 5. 查表名。
      6. 6. 查列名。
      7. 7. 查字段内容。

SQL注入之显错注入

目录

  1. SQL注入之显错注入
  2. 注入本质?
    1. 渗透测试常用函数。
    2. 小知识点。
    3. SQL注入易错回答分析
    4. 注入之联合查询的基本流程(Mysql数据库)。
      1. 1. 显错判断注入点。
      2. 2. 判断当前页面字段总数。
      3. 3. 判断显示位。
      4. 4. 查看当前的数据库。
      5. 5. 查表名。
      6. 6. 查列名。
      7. 7. 查字段内容。

注入本质?

1、 SQL显错注入是最常见的注入。

2、 注入攻击的本质,是把用户输入的数据当做SQL语句执行。

3、 这里有两个关键条件:

第一个是用户能够控制输入。

第二个是原本程序要执行的代码,拼接了用户输入的数据,然后进行执行。

渗透测试常用函数。

1、 GROUP_CONCAT(col):返回由属于一组的列值连接组合而成的结果。

  例如:id=9.9 union select 1,GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()

  可以把所有内容输出到同一页面,并且以逗号分隔(admin,dirs,news,xss)

2、 ASCII(char):盲注用,返回字符的ASCII码值。

3、 DATABASE():返回当前数据库名。

4、 USER()或SYSTEM_USER():返回当前登陆用户名。

  例如:字段2,回显2,有id=9.9 union select 1,USER()。

5、 VERSION():返回MySQL服务器的版本。

  例如:字段2,回显2,有id=9.9 union select 1,VERSION()。

6、 SLEEP(n):休眠n秒。

小知识点。

1、 要分清 ‘ (引号)和 `(反引号)。

2、 在PHP中 `(反引号)可以执行CMD语句。

  例如:在php中写一句 echo `whoami` ,然后再网页中打开的话,会返回如同CMD中执行的结果。

3、 `(反引号)在JS中可以代替(’ 。

  例如:<script>alert(‘非法注入!’)</script>

     <script>alert`非法注入!`</script>

4、 联合查询的使用条件:

  1)字段数相等。

  2)字段类型相同。

SQL注入易错回答分析

1、 sql注入本质是什么?

  把用户输入当做代码执行;

2、 sql注入的条件?

  用户可以控制输入和程序原本要执行代码,拼接用户输入的数据且当作SQL语句去执行;

3、 order by的作用及含义?

  order by的原理是对字段进行一个排序,比如,order by 1就是对一个字段进行排序,如果一共四个字段,你order by 5 数据库不知道怎么排序,于是乎就错误了无返回值;

  而在注入中,order by 用于判断显示位;

4、 union select如何发挥作用?

  union为联合查询,a联合b进行了查询,为查询了前面的sql语句(原有的)后再进行后面的sq查询(我们添加的),但两张表联合查询的字段数必须相同;

5、 输出位是什么?

  SQL查询出来的数据不一定全部会输出,页面上只会输出几个字段的信息,那几个会输出的字段就是输出位;

6、 information_schema是什么?

  information_schema是mysql的系统自带表,用于查询数据,在mysql5.0以上版本中存在;

7、 加单引号和加 and 1=2有什么区别?

  有区别,单引号是为了闭合语句,而and 1=2是为了让union前面的语句无查询结果无输出,然后直接输出拼接进去union后面的那个语句的查询结果;

8、 and 是什么意思?

  and 为和的意思,一个语句中,当前一个正确,后一个错误时,如果是and连接整个语句返回的是False;

9、 or是什么意思?

  or 为和的意思,一个语句中,当前一个正确,后一个错误时,如果是or连接整个语句返回的是True;

10、and 和 or 选择使用有什么讲究?

and 语句执行时,如果and 前的语句返回False,那么and后面的语句根本不执行;

11、除了单引号外还有其他的符号可以闭合吗?

  实际上还是要看源码,常见的是单引号和双引号还有括号;

12、limit的作用?

  limit 在注入中用于排序然后输出,limit a,b中 [a代表了从哪个位置(从0开始) b代表从那位开始显示几条数据];

13、可以查讯多个字段内容吗?

  可以,可以使用语句Group_concat()函数进行输出;

14、%23有什么作用?

  %23编码为#,用于注释后面的语句,防止SQL注入点后原本的SQL语句对SQL注入进行干扰[#注释是Mysql数据库特有的];

15、报错注入的原理?

  利用sql注入拼接sql语句,将报错信息输出时同时将我们想要的信息输出;

16、闭合是什么?

  在sql查询中,代码比较严谨,括号和引号都得成双成对,引号内的默认是字符串不会当作SQL语句执行,所以必须闭合然后才能注入,当然有些SQL语句直接拼接,也就不用什么闭合了;

17、SQL注入有数据库限制吗?

  没有,常见的数据库都可以;

18、SQL注入有动态脚本语言限制吗?

  没有限制;

19、SQL注入如果没系统自带表怎么办?

  只能通过猜,不断的尝试,一般而言数据库的表也不会乱起名字,毕竟是团队协作的东西,可以使用到一个exists()函数;

20、系统自带库管理员不会修改吗?

  一般而言并不会;

21、union all 和 union 区别?

  如果输出的数据有相同的,union只会输出一次,而union all都会输出;

22、为什么用and 1=1正常 and 1=2报错来判断是否存在SQL注入?

  因为如果存在SQL注入,那么and就是和的意思,1=1是一个恒等式,然后因为原本能够查出数据,那么两个真就是True,但是1=2肯定是不可能的,这里就会返回一个False,然后因为和必须两个真才返回

  True,所以这里拼接就不成立返回False。

注入之联合查询的基本流程(Mysql数据库)。

1. 显错判断注入点。

  ·使用and 1=1 页面正常。and 1=2 页面不正常。

  ·使用引号(’或”),报错就说明存在注入。

  ·尝试在语句末尾加注释,如果页面不变可能存在注入(不太准确)。

    例如:遇到url栏中输入’报错,可是sql语句不执行的情况下,可能是有id=’1’的限制。这时,可以这样输入id=1’#或id=1’–+(在#和–+前就可以执行sql语句了)

  ·注:#如果被吞,可以该成 %23。

  ·注:#注释是mysql数据库特有的。

  ·注:–+注释大部分常见的数据库都有。

  ·如果是数字型传参,可以尝试参数+1或-1 (例如id=1+1 或id=1-1)因为在SQL语句中时可以执行运算的。比较好用的是 -1,因为+有时候会当成空格执行。

    例如:

    http://www.xxx.com/new.php?id=1 页面显示id=1的新闻

    http://www.xxx.com/new.php?id=2-1 页面显示id=1的新闻

    and 1=1 and 1=2 被拦截的可能性太高了

    可以尝试 and -1=-1 and -1=-2

  ·或者直接 or sleep(5),如果页面转圈圈了,就存在SQL注入。

2. 判断当前页面字段总数。

  ·判断字段数的原因:是为了使用联合查询,因为在union 内部的 select 语句必须拥有相同数量的列。

  ·语句为:order by语句用于根据指定的列对结果集进行排序。

       order by 语句默认按照升序对记录进行排序。

  ·order by x(x从1开始)

    例如:如果 order by 3 页面不正常,说明数据库只有2个字段。

3. 判断显示位。

  ·需要判断显示位的原因:因为页面的内容都是选择性输出的,所以要用到该语句。

    比如有两个字段,第一个字段是id,第二个字段是网页的内容,用这个语句就是为了找到显示这个网页内容的字段。

  ·例如:页面只会显示页面数据的字段内容,不会显示id字段的内容。所以,要找到哪个地方能够输出。

  ·语句为:id=9.9 union select 1,2,3……(有多少个字段,就到几)

4. 查看当前的数据库。

  ·语句为:id=9.9 union select 1,2,x,database()

  ·参数必定要为假或使用and 1=2,显示位的数字改为database()。

5. 查表名。

  ·在mysql数据库中(.)是选中的意思。

    例如语句为:information_schema.tables.a

    则意思为:在information_schema数据库中选择tables表的a 字段。

  ·语句为:id=9.9 union select 1,2,table_name from information_schema.tables where table_schema = database() limit x,1

    或id=9.9 union select 1,2,table_name from information_schema.tables wheretable_schema =’数据库名’ limit x,1

  ·注:x,用于判断还有没有其它的表,从0开始。

6. 查列名。

  ·语句为:id=9.9 union select 1,2,3,column_name,5,6,7,8,9,10 from information_schema.columns where table_name = ‘表名’ limit x,1

  ·或id=9.9 union select 1,2,3,group_concat(column_name),5,6,7,8,9,10 from information_schema.columns where table_name = ‘表名’ limit x,1

7. 查字段内容。

  ·语句为:id=9.9 union select 1,用户名段(密码段) from 表名 limit 0,1

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 1012482327@qq.com

文章标题:sql注入之显错注入

本文作者:亖 玖

发布时间:2020-10-23, 10:11:16

最后更新:2020-10-23, 10:31:46

原始链接:https://sijiu.ren.com/2020/10/23/sql%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%98%BE%E9%94%99%E6%B3%A8%E5%85%A5/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

©2020 sijiu

闽ICP备20008705号

Built with Hexo and 3-hexo theme

目录
×

喜欢就点赞,疼爱就打赏