SQL注入常用函数和关键字总结

1.database()

该函数可以显示当前正在使用的数据库库名。

2.mid()

该函数可以从指定的字段中提取出字段的内容。

mid(column_name,start[,length])

select mid(name,1) from user;
/*start要求最小从1开始!!!*/
/*从password这一列的每一个元素的第一个字符开始截取*/
/*注意得到的是整整一列的内容*/

举例:

select * from user;
name password
admin admin
root root
select mid(name,1,2);
name
ad
ro

3.substr()

这个函数很常用,有三个参数,按顺序分别是字符串,起始位置和长度。可以求指定字符串的子串。当然,第一个参数可以是列的名字。这个函数似乎和mid没有什么不同,如果mid或者substr中的某一个函数被禁了就用另一个。

4.ord()

该函数用于获得某个字符串最开始的字符的ASCII值。

5.ascii()

目前未发现与ord的不同。不过这样也有很大好处,那就是,如果SQL注入的题目中过滤了or,ord函数会躺枪,可以用ascii函数替代。

6.limit和offset

limit和offset均用于限制查询结果显示的行数。

limit后面可以有1个或两个参数。

给出一个mysql库user表的某一列:

host
host
host
localhost
localhost

一个参数时

select host from user limit 2;
/*limit 0会得到空集合
limit大于查询结果返回的行数时,显示全部结果
limit负值会报错
*/
host
host
host

两个参数时,第一个参数表示开始位置(0作为最开始的位置),第二个参数表示显示的行数。

select host from user limit 1,2;
/*当参数一过大时,得到空集合
参数二过大时,从参数一的位置开始显示剩余的全部结果
*/
host
host
localhost

offset必须与limit结合着来用。

select host from user limit 1 offset 2;
/*表示从第二个开始,显示一条数据*/
/*
limit后面的参数总是限定显示多少条,明白这一点就不会错了
*/

7.concat()

可以将多个字符串连接起来,参数个数无限。但是需要注意的地方就是,如果有一个参数的值是NULL,那么整行结果就会返回一个NULL。

举个例子

select concat(user,' ',host)contest from user where host='localhost';
contest
ftp localhost
geez localhost
mysql.sys localhost
root localhost
stone localhost
temp localhost
select concat('aaa','kkk',NULL);

结果是NULL。

8.group_concat()

该函数可以将查询结果连成一行,如果只查询一列,默认用逗号分隔;如果查询多列,每一行的查询结果会直接进行字符串连接,行之间默认用逗号分隔。需要注意的是,用于分隔的默认字符可以修改。

举个例子:

select group_concat(username,password)result from users;
result
admin21232f297a57a5a743894a0e4a801fc3,testc4ca4238a0b923820dcc509a6f75849b

9.updatexml()

这个主要是填写错误的xpath参数使查询报错,报错时会把xpath位置的查询结果暴露出来。

如果关了回显的话就不要用这个了,可以考虑时间注入。

用法举例

select updatexml(1,concat(0x7e,version(),0x7e),1);

第二个参数由于不符合xpath的规范,会报错。报错的时候会把version()执行的结果报出来,假设查询了flag,错误回显中会出现flag。

ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'

10.left()

该函数是一个字符串处理函数,用法实例:

select left('2019',2);

返回的结果为:20。

11.right()

这个和left对比着记,用法实例:

select right('2019',2)

返回的结果为:19。

很明显,substr完全可以取代left和right两个函数,但是如果substr和mid被禁了,left和right就可以结合着用。

12.elt()函数

elt(n,str1,str2,str3);

该函数的作用是,返回参数中的第n个字符串,参数可以是字符串常量或者列名。

比如:

select elt(2,'888','666');

其返回的结果是666。

如果第一个参数是0,则返回NULL。并且如果第一个参数是0,后面无论是什么,都不会考虑了,如果是函数,则不会运行了。

13.sleep()

该函数的参数是一个整数t,可以在执行某操作后延迟t秒而不进行任何操作。该函数常用于处理没有回显的SQL注入,根据响应的时间来确定被注入的SQL语句是否执行成功了。

14.length()

该函数的参数可以是字符串,或者列名。该函数的作用是获取字符串的长度。比如:

select length('test');

得到的结果是4。

15.rand()

该函数用于产生一个随机数,可以接受一个参数作为种子,也可以直接使用。

select rand();

16.floor()

该函数用于将一个浮点数向下取整得到整数,可以与rand函数配合使用。在特定情况下,rand、floor、count(*)配合group by可以进行报错注入。

关于rand、floor、count(*)和group by进行报错注入的方法几原理,可以参考以下文章:https://www.2cto.com/article/201604/498394.html

17.exp()

这是一个数学函数,可以求e的多少次幂,当参数过大时会因为溢出而报错。使用该函数时,通常将查询结果取反以便得到一个非常大的数。用法如下:

select exp(~(select*from(select user())x));

得到的结果为:

DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'

有一个需要注意的点就是版本问题,并不是所有的版本都可用。

18.hex()

这个函数主要用于获取字符串对应的十六进制值。用法如下:

select hex('users');

得到的结果为:7573657273。

19.order by

order by是mysql中对查询数据进行排序的方法,后面可以跟列名或者列号(数字),两种写法等价。在sql注入中,该关键字经常被用来测试一个表中有多少列,(union select 1,1,1,1,……也可以用来测试有多少列。)也有一些其它骚操作可以玩。可以参考如下博客来涨一些姿势:https://yang1k.github.io/post/sql注入之order-by注入/

用法:

select * from users order by 1;
select * from users order by username; 

order by在特殊情况下可以绕过预编译,因为order by如果后面填写内容的话,只能跟列名或者列号。注意列名和字符串完全是两码事,字符串是带引号的,而列名是没有的。所以如果order by后面需要拼接用户输入的内容,那就可以进行操作,比如order by 1^(ord(length(database())>10)),会导致溢出从而可能出现报错。

posted @ 2020-08-01 16:10  kevin_bruce  阅读(2606)  评论(0编辑  收藏  举报