pikachu靶场之SQL注入_pikachu sql

作者：Li_阴宅 | 2024-08-01 07:30:50

踩

pikachu sql

一，SQL注入原理：

程序员在编写web程序时，没有对客户端提交的参数进行严格的过滤和判断。用户可以修改参数或数据，并传递至服务器端，导致服务端拼接了伪造的SQL查询语句，服务端连接数据库，并将伪造的sql语句发送给数据库服务端执行，数据库将sql语句的执行结果，返回给了服务端，服务端又将结果返回给了客户端，从而获取到敏感信息，甚至执行危险的代码或系统命令。简单来说就是：注入产生的原因是接受相关参数未经处理直接带入数据库查询操作。

二，常用的简单测试语句

2.1

正常查询：

构造SQL注入语句，查询表中所有数据 xxx' or 1=1 #

2.2 通过bp注入测试查询注入点有url编码使用编码

2.3 判断是否有注入点

单引号测试报错

双引号测试不报错

2.3.1引号测试，加了引号如果报错，证明存在注入点

单引号闭合数据：$query="select id,email from member where username='vince'"; 用单引号测试,会报错，双引号测试查不到数据，不报错

双引号闭合数据：$query='select id,email from member where username="vince"'; 用双引号测试，会报错，单引号测试查不到数据，不报错

2.3.2条件真假测试

or 1=1 一个条件为真，即为真，真的效果就是查询到表中所有数据

where id=1 and 1=1 两个条件为真才为真，查询结果和不加1=1一样，and 1=2 一个条件为假，即为假，查询条件为假，什么数据也没有，两个结合起来可以判断是否存在注入点（因为如果网址做了防护后台将会让and 1=1作为一个字符而不是字符串当显示id不等于一个字符时则报错，报错则为做了防护）防护：参数化查询，PDO预处理

使用and 1=1 能查到再使用and 1=2 差不到这里肯定有注入点

2.4SQL语句诸注释语句

1、# 和 -- (有个空格)表示注释，可以使它们后面的语句不被执行。在url中，如果是get请求(记住是get 请求)，也就是我们在浏览器中输入的url ，解释执行的时候，url中#号是用来指导浏览器动作的，对服务器端无用。所以，HTTP请求中不包括#，因此使用#闭合无法注释，会报错；而使用-- (有个空格)，在传输过程中空格会被忽略，同样导致无法注释，所以在get请求传参注入时才会使用--+的方式来闭合，因为+会被解释成空格。

2.当然，也可以使用--%20，把空格转换为urlencode编码格式，也不会报错。同理把#变成%23,也不报错。

3.如果是post请求，则可以直接使用#来进行闭合。常见的就是表单注入，如我们在后台登录框中进行注入。

4.为什么--后面必须要有空格，而#后面就不需要？因为使用--注释时，需要使用空格，才能形成有效的sql 语句，而#后面可以有空格，也可以没有，sql就是这么规定的，记住就行了。因为不加空格，--直接和系统自动生成的单引号连接在了一起，会被认为是一个关键词，无法注释掉系统自动生成的单引号。

三，SQL注入类型：

数字型，字符型，联合查询，搜索注入，布尔盲注，堆叠注入

3.1数字型

数字型注入的时候，是不需要考虑单\双引号闭合问题的，因为sql语句中的数字是不需要用引号括起来的，

如下 mysql> select username,email from member where id=1;

mysql> select username,email from member where id=1 or 1=1;

3.2字符型

3.3 联合查询

正常语句： select id,username from member where username='vince'; 构造语句： select id,username from member where username='xxx' union select username,password from users #'

xxx' union select username,password from users #'