博客园 首页 私信博主 显示目录 隐藏目录 管理
Live2D

SQL注入之注入点的寻找

注入点的判断

判断一个链接是否存在注入漏洞,可以通过对其传入的参数(但不仅仅只限于参数,还有cookie注入,HTTP头注入等) 进行构造,然后对服务器返回的内容进行判断来查看是否存在注入点。

注入点的种类

1.按注入点参数的类型分类

(1)数字型注入

例如id=1这种类型,向数据库传入的是数字,参数不需要被引号括起来。

(2)字符型注入

例如name=admin这种类型,像数据库传入的是字符串,参数需要被引号括起来。

2.按照数据请求方式来分类

(1)GET注入

HTTP请求方式为get,注入点一般在get传入的参数部分,例如?id=1,id便是一个注入点。

(2)POST注入

HTTP请求方式为post,注入点一般为提交的HTML表单, 即post传入的数据内容。

(3)HTTP头注入

HTTP的请求头存在注入点,例如XFF头,cookie,Host这些都是常见的注入点。

3.按照语句的执行效果来分类  

 (1)报错注入

页面会返回错误信息,或者将语句的查询结果直接返回到页面(这是最常见的一种注入,一般手注就可搞定)

(2)基于布尔的盲注

盲注的意思就是你无法直接通过页面的返回内容来获取信息,页面只会返回真假,你需要对一个个字符进行测试,相对于报错注入,盲注的工作量比较庞大,一般写脚本或者用工具跑。

(3)基于时间的盲注

页面无法直接返回真假,需要构造条件语句查看时间延迟的语句是否成功执行(观察页面的返回时间的长短)来进行判断。

(4)联合查询注入

通过union来将多条语句的结果组合到一个结果中

(5)宽字节注入

宽字节注入是由编码不统一引起的,一般是在PHP+MySQL中出现

(6)堆查询注入

堆叠查询可以构造执行多条语句

(7)二次注入

将攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。

注入类型的判断

 (1)数字型注入

判断步骤

1.首先在参数后加个单引号,URL:www.3333.com/text.php?id=1’ 对应的sql:select * from table where id=3’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常;

2.在参数后加 and 1=1  www.33333.com/text.php?id=1 and 1=1 对应的sql:select * from table where id=3’ and 1=1 该语句前后都为真,语句执行正常,与原始页面无任何差异;

3.在参数后加 and 1=2  www.33333.com/text.php?id=1 and 1=2 对应的sql:select * from table where id=3’ and 1=2 该语句为假,所以无法返回结果,返回异常。

一般满足以上三点就可以认定该注入点的类型为数字型注入。

(2)字符型注入

判断步骤

1.加单引号:select * from table where name=’admin’’ 由于加单引号后变成三个单引号,则无法执行,程序会报错;

2.加 and 1=1 此时sql 语句为:select * from table where name=’admin’ and 1=1’ ,也无法进行注入,还需要通过注释符号将其绕过;(MySQL常用的注释符号有#   -- (后面还有个空格) /* */)

构造语句为:select * from table where name =’admin’ and 1=1#’ 可成功执行返回结果正确;

3.加and 1=2 此时sql语句为:select * from table where name=’admin’ and 1=2 –’则会报错。

如果满足以上三点的话,基本可以认定为字符型注入。

posted @ 2019-11-04 20:39  楼--楼  阅读(13909)  评论(1编辑  收藏  举报
(function() { $("pre").addClass("prettyprint"); prettyPrint(); })();