当前位置:   article > 正文

SQL注入类型及提交注入_json 格式的数据能否可以被用作sql注入

json 格式的数据能否可以被用作sql注入


在注入之前,我们要明白两件事情,那就是数据库类型、提交方法,因为数据库类型不同的话,注入方法也不同。

简要明确参数类型

数字、字符:非数字就是字符,字符的输入是要用引号括起来,这个时候我们在注入的时候,就需要考虑到符号的问题。如果我们输入字符串,没有使用单引号括起来,那就是单纯的输入字符,这是没有意义的,形成不了逻辑判断。

如果在实战当中,我们看到数字型的输入,也有可能是字符型的,因为它输入的时候,后台可能用单引号进行包裹,注入类型是什么要看后台的一个SQL语句的写入。如果是字符串的话,那必须是字符型的,因为它不可能在没有带入单引号的情况下就直接带入到sql语句中去执行。

我们对字符型注入进行测试的时候,必须要把单引号给闭合掉,可以使用’ , " , %, ), }等,具体需看后台的写法。一般后台是采用单引号。

搜索:电脑当中的搜索语句和sql语句当中的搜索不一样,sql当中采用的是百分号,我们电脑当中的搜索语句的通配符是*。

sql语句的搜索语句是这样子的,‘%shantu%’。所以我们在过滤的时候,要过滤单引号和百分号,不然我们注入的语句会全部在’%%'符号里面。

网站根据实际的应用,一些参数的类型,它的语句规定必须要用单引号或者其它符号括起来的,因为我们知道在程序开发里面,数值是不需要单引号、双引号括起来的,而字符必须要用单引号或双引号括起来,这样才是字符串。不然会被误认为我们写入的东西是它内置的函数或者其它的东西。在做搜索功能的时候,语句必定是有一个’或%。

我们只有通过尝试才会知道程序是用什么方法来进行闭合,而组合只有那几种,我们去尝试就会发现。一般在相关的注入工具里面,会有大量的字典去尝试可能性,人工的话,就需要大家自己去知道有那几种。

JSON等

简要明确请求方法

GET,POST,COOKIE,REQUEST,HTTP头等

其中SQL语句干扰符号:’ , " , %, ), }等,具体需看写法

不同的请求方法,它的请求类型和数据大小是不一样的。我们在注入的时候,我们需要按照它的请求方法来进行注入。如果没有按照它的请求方法来注入,会造成请求数据传不上去,会造成注入语句无法带入数据库里面去,注入就无法攻击成功。

我们需要知道对方的请求方法,然后在对方的请求方法里面,去带入数据。我们不要按照常规的测试,不管三七二十一的往里面敲,那是不行的

在不同的脚本里面,例如python、java,接受参数名并且赋值给变量的写法是差不多的。

例如一个参数,它的传参是post的,但是你用get的方式传参给参数,那么这个参数是得不到这个值的,也无法将这个值赋值给变量,除非你后面改成post传参

get型传参有一个特殊点,它就是不管你是以什么方式传参,只要你是在网址后面进行传参那么它就会收到。

在接收数据这一块可以接收get、post,还可以接收Cookie这一栏的,同样的道理,它还可以接收其它的。

request代表接收任何请求方式的传参

我们网站在访问的时候,由于我们自己大部分是黑盒测试,我们不知道对方代码的一个写法,那我们就不清楚它在接收数据的时候,是采用单个接收的模式还是全部接收的模式。如果说对方是采用request的接收方式,我们就不要去纠结用何种方式去提交了,因为我们不管用何种方式去提交,以get、post、cookie都可以,但如果说对方是采用单一的接收方式,比如只接收get方式,那我们在注入的时候,就必须要用它相应的方式去注入。我们在实战的情况下,尽量使用它的原始方法去注入。我们说的以其它提交方式去注入,主要是用来绕过相关的防护软件可以使用更改提交方式,有的防护软件,它只对某个提交方式的数据进行过滤,它不会对其它方式进行过滤。

对一个网站使用get方式去访问的时候,它是正常的,然后我们去测试它能不能用其它方式去传输,使用post方式去传参,如果这个时候,网站没有任何反应,还是以前的页面,就表示这个参数,它能够以post方式去接受,所以这个时候,我们就可以把这个注入,用post方式去注入。

$s=$_SERVER['HTTP_USER_AGENT'];
  • 1

判断是何种设备访问的,手机的话,就给你手机模板的页面,是pc的就给pc的页面。如果获取这些信息有进入到SQL语句中去查询、保存和操作的话,也会造成相应的注入漏洞

HTTP头部注入,在http数据包里面的注入,数据库有接收数据包里面的某个地方,然后我们把注入语句写到相应的地方进行注入即可

对字符串类型的sql注入,测试语句应该是这样子的,1’ and ‘1’=‘1;如果你用的是1’ and 1=1,那在拼接到后台的时候,会多出一个单引号,导致sql语句报错,我们的测试语句就不会在后台执行。例子展示

?id=1' and 1=1
SELECT * FROM users WHERE id='1' and 1=1' LIMIT O,1

?id=1' and '1'='1
SELECT * FROM users WHERE id='1' and '1'='1' LIMIT O,1
  • 1
  • 2
  • 3
  • 4
  • 5

1’ and ‘1’=‘1和1’ and ‘1’='2返回的是不同的页面,那就是说明存在注入,其中的2指的是输入不相等的数字

我们在注入的时候要搞明白单引号对注入的影响,闭合单引号的方法
1’ union select 1,2,3 and ‘1’=‘1
报错注入,看一下会不会有数据被报出来
-1’ union select 1,2,3 and ‘1’='2

注释符的意义在于闭合掉后面的干扰
-1’ union select 1,2,3–+
-1’ union select 1,2,3#
测试的SQL语句其实怎么写都可以,就是你会不会弄明白的问题。在注入的时候要考虑闭合符号的问题

我们做白盒测试的时候,看的代码知道是双引号,我们测试的时候,可能就需要都去测试一遍,因为他的可能不是很多,我们手工是能够测试的出来。反正测试就完了,没有什么好讲的。

参数类注入的时候,要保证前后语句的闭合,就能保证注入出一个正常的东西,不然的话,没有把双引号这些东西给闭合掉的话,那么SQL语句都会写到双引号里面去,起不了任何作用。

在注入的时候,要明确注入的类型在去注入,因为参数类型的不同,可能会涉及到一个符号,而且数字型大部分是没有符号的,只是我们这边演示的案例都是有符号的,那是另外一种情况。

如果是字符型肯定是有符号的,就看是什么符号了,因为字符必须是单引号双引号括起来这个语句才会正常。而数字型他可以选择不用,不用的话,我们在注入的时候就可以不用考虑到符号。

网址没有任何参数,也有可能存在注入,因为数据不仅可以通过网址提交,还可以通过登录框提交,后台在进行用户登录的时候,会接收我们输入的数据,他会把输入的数据储存在数据库里面,通过对比我们输入的数据是否在数据库里面存在,才会返回一个正确或错误的值,在这个过程中就满足了SQL注入的条件,有数据的接收和数据的查询。post注入经常产生的地方就是在登录框

这个数据是我们在网址上面看不到的,需要我们抓包去分析这个数据的提交

在数据包里面,用户登录数据以post方式去传输,我们对post数据包进行SQL注入测试时,我们可以使用hackbar工具进行测试,但还是更推荐用BP去进行测试。

我们对数据进行注入的时候,要考虑到两个类型,一个是提交方式,一个是参数类型。账号密码不可能是纯数字,大部分的账号密码都是字符串,既然是字符串,那百分百是有符号干扰你的。先加单引号测试一下,xx’ and 1=1–+,看一下正常的情况,xx’ and 1=2–+,如果是没有任何变化的话,有可能是注释符号没有起到作用,我们可以切换成#,在看页面会不会发生变化,如果没有的话,可能就是没有注入
xx’ order by 3–+
xx’ union select 1,2#
xx’ union select databases(),2#

–+和#这两个注释符号,有时候一个行,另一个不行,是根据SQL语句决定的,注入的时候,试一下就完事了。
当判断完数据显露的位置,就可以开始猜数据了。猜完数据库名,就可以开始猜表名、列名,数据。

在实战当中要花大量的时间去手工测试,大部分情况下会使用工具。很多工具在跑注入点的时候,他会存在误报或者跑不出来的情况,但是我们在通过手工注入测试的情况下,我们能够准确的认识到这是注入,但是工具就是不知道,就是跑不出来。工具跑不出来的原因是多方面的,可能是没满足什么条件,检测机制里面没有这种情况。这个时候,就需要用到我们手工注入学习到的相关知识点了。就能够写脚本或者二次开发一下sqlmap,来实现这个配合注入。
我们学习手工注入,就是为了实现工具注入不了的一些事情,在配合工具修改脚本;我们不学习手工注入,就搞不清楚注入的原理。

cookie注入可以运用在防护突破上,有时候waf的大的过滤机制,是针对某个提交方式,可以利用数据的更改提交方式绕过,如果它针对的是post,那我们就可以使用cookie的提交方式进行绕过。
Cookie: uname=admin’ AND 1=2 union select database(),2,3#

在进行注入测试的时候,要注意到数据包的时效性,有时候时效性过了,数据包就会无效,不被后台接受。
目前网站IP判断由两种形式实现,一种是借助系统上面自带的协议,IP策略那些东西。通过脚本获取IP地址,这种IP地址一般是可以伪造的。但如果是采取系统层面的地址获取的话,那个IP地址就是我们常说的公网IP地址。这种IP地址我们就不可以伪造,只能通过代理IP来更换,因为这种IP地址是运营商提供的,但是这种脚本获取IP地址是可以伪造的。

网上的扫描工具都是基于数据包去实现的,扫描工具在扫描注入点的时候,就不会像我们在网站地址上做文章,它直接在参数里面一个个试。手工的话,我们就抓包测,工具大部分是基于数据包的发送提交去测试的

json={“username”:“Dumb’ and 1=2 union select 1,database(),3#”}

json的写法有点类似于我们开发的列表
user=xiaodidasd
{
‘user’:‘xiaodi’,
‘pass’:‘xiaodi’
}
把注入的值写在xiaodi里面就完了。json注入就是格式上的不同,按照它的格式去提交就可以了,json最喜欢出现的地方就是app里面,基本上app的很多数据,都是json提交的。
json数据不仅是app、web里面经常有,这个具体要看网站情况,不是说百分百的,但是app里面是最多的。

通过抓包,去分析它以什么形式去提交数据的,那么我们在注入的时候,也要按照相应的提交方式去注入

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/269610
推荐阅读