sql注入学习笔记 详解篇

亡梦爱人 提交于 2020-02-10 10:38:17

sql注入的原理以及怎么预防sql注入(请参考上一篇文章)  

  https://www.cnblogs.com/KHZ521/p/12128364.html

(本章主要针对MySQL数据库进行注入)

 

sql注入的分类:

  根据注入类型分类:

    1.union联合注入  

    2.报错注入

    3.盲注

      布尔类型盲注

      延时盲注

  根据注入位置分类

    get注入

    post注入

    请求头注入

  根据sql语句不同分类

    数字型注入

    字符型注入

 

sql 注入的步骤:

  1.寻找注入点

    哪些地方可能存在注入点(所有与数据库交互的地方都有可能存在注入点)

    一般get请求注入点判断的方式,例:假设参数为?id=1在携带参数的后面使用?id=1',(请注意单引号,如果单引号被数据库查询)

 ?id=1'            //使用单引号使数据库报错,引发数据库异常(有时候使用双引号闭合的时候,单引号是不会报错的 在可能存在注入点的地方多尝试就好了)假如提交了?id=1'//和id=1时候出现出现明显不一样的页面,就表示可能存在注入点,当然,也有可能是被waf拦截了
//假设php中查询的sql语句为 
sql = "select * from user where id='$id' limit 0,1";
如果id正常为1是可以查询成功的,加上单引号(?id=1')报错是因为使sql语句变成了
select * from user where id='1'' limit 0,1 所以会出现sql异常

 

  2.判断字符型注入还是数字型

    常用的类型判断方式(%23为url编码中的# , 表示sql中的注释,以下出现%23都表示#) :判断 1'and 1=1%23 与 1' and 1=2%23的区别

    

//假设php中查询的sql语句为 
sql = "select * from user where id='$id' limit 0,1";
假设当前id的值为1'and 1=1%23当前的sql语句为select * from user where id='1' and 1=1#' limit 0,1id值为1' and 1=2%23的sql语句为select * from user where id='1' and 1=2#' limit 0,1因为and 1=1 恒定为真 和 and 1=2 恒定为假的区别进行比较判断字符型的闭合类型注意:如果select * from user where id="1' and 1=1#" limit 0,1 只判断一次是无法进行判断闭合符号的 这样和直接查询id=1的结果是一样的注意2:数字型的判断也可以通过and 1=1和and 1=2进行判断的 只不过不需要闭合单引号和添加后面的注释例:sql="select * from user where id=$id limit 0,1";将传递来的id设置为1 and 1=1和1 and 1=2 就可以根据页面结果的不同判断是否为数字型(因为不存在多余的闭合符号所以不需要添加注释)小知识:字符型sql是可以不加注释来验证的 我们可以构造特殊的参数让其正常显示:id=1' and '1'='1 这样实际的sql语句就是select * from user where id='1' and '1'='1' limit 0,1 也可以正常使用哦,适用于注释被屏蔽的情况下使用

 

  获取数据:

   union联合注入:

    什么是union联合注入:通过使用union联合查询查询数据库中的数据

    特点:简单,有数据的回显位置,效率高

    union的使用条件:两条查询语句必须具有相同的列,所以想要使用union,必须先判断本次查询的列数是多少

     

     如果不相同,就会出现错误

      

     假设我们不确定当前sql语句查询的列数是多少,我们可以通过使用order by判断当前查询

     如果指定的列数小于等于当前列数,语句正常,

    

    语句大于当前使用的列数就会出现数据库异常,可以根据order by 指定第几列判断当前查询的字段是多少

    

    具体操作步骤:

     1.查找注入点  单引号报错,证明存在注入点

     

 

 

     2.判断字符闭合类型:

      (1)尝试数字型

       id=1 and 1=1

       

       id=1 and 1=2

        

         与id=1 and 1=1 比较,页面结果相同,如果and 1=2被数据库执行,页面结果一定与id=1 and 1=1不同 所以肯定不是数字型注入

       (1)单引号尝试

         id=1' and 1=1--+  

        

         id=1' and 1=2%23

         

 

 

         证明闭合符号为单引号

     3.使用order by判断字段数:

      id=1' order by 4%23页面不是正常结果,字段数不为4

      

 

      id=1‘ order by 3%23结果正常,表名字段数为3

      

 

 

     4.判断数据回显位置

      id=-1' union select 1,2,3%23   在这里解释以下为什么使用-1,当我们正常使用id=1查询数据的时候,会正常查询到数据库中的内容,使用-1是为了使第一个查询语句查询到的结果为空,当第一个查询语句查询结果为空的时候,我们给定的1,2,3才会在页面中显示出来,有时候,可以使用id=1' and 1=2来使查询到的结果为空

      

 

      由此可知2,3位置可以显示数据

 

     5.查询数据内容:

      (1)查询数据库名和版本信息

      ?id=-1' union select 1,database(),version()%23

      

      (2)查询数据表名(可以通过limit控制查询第几个表)

      

      查询到的表分别是1.emails 2.referers 3.uagents 4.users(账号密码信息可能存放在users表中)

      (3)查询数据字段名

      

 

       字段名分别为:1.id 2.username 3.password

      (4)查询数据表内容

       拿到了表名,字段名就可以直接在表中查询数据了。(也可以通过limit控制显示的行数)

       

 

 

报错注入的特点:(有的人会将报错注入分类到盲注里面)

  学习报错注入之前,让我们先来学习几个sql函数

    concat

    updatexml 和 ExtractValue

    效率增加函数:group_concat

报错注入的原理:

  当sql语句拥有语法错误的时候,我们可以使用指定的错误的显示结果为我们向要的显示结果

    只要页面的出现了详细的错误信息(明显不是服务器提供的专门的错误页面,而是打印出来的sql具体语法错误

)就可以尝试使用报错注入 例如:

    

 

   构造注入语句:

    将报错的语句指定为我们的xml语法错误(是因为xml解析的时候存在了xml没有的特殊字符0x7e(0x7e是16进制~的表示),当然,也可以直接使用xml解析中不存在的字符串,注意别忘了加引号哦)

       不要问为什么这个报错可以把数据库的名字显示出来  你这就好像在问为什么select能够查找到数据一样

    

盲注:

  先来学习一下我们需要用到的函数  

    left(字符串, 字符个数):截取字符串 返回从左往右数几个字符

    substr(字符串,第几个字符,截取几个):截取字符串

    mid() 同substr

    ascii(字符) 将字符串转换为ASCII码(区别大小写)

    ord() 同ascii函数

    length() 返回字符串的长度

    count() 返回字段数

  盲注一般都会采用工具进行注入(太麻烦),但是盲注的原理大家还是了解的 (有时候工具不行,但是就是存在注入点,没办法,只能使用手工了)

get注入

post注入

请求头注入

数字型注入

字符型注入

    

    

  

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!