SQL注入简单总结

一、SQL注入是什么

      SQL注入即:是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

本质上来说 SQL注入就是 将用户输入的数据当作代码来执行 

这其中包含两个关键的条件:1、用户能够控制输入  2、原本程序要执行的代码 拼接了用户输入的数据。

二、SQL注入会在那些地方出现

如图  总结一句话:一切可以与数据库进行交互的地方

三、SQL注入的分类

根据数据的传输方式

GET类型 POST类型 COOKIE类型

根据数据的类型

数字型 字符型

根据注入的模式

基于联合查询的注入模式  基于报错的注入模式  基于布尔的盲注  基于时间的盲注  推查询的注入模式

四、SQL注入的一般步骤

注:根据注入类型的不同 步骤也会有不同

以下是联合查询会经常用到的语句 要记一下

例如:

select table_name from information_schema.tables where table_schema ='lizhi';//查询名为‘lizhi’的数据库的所有表
select column_name from information_schema.columns where table_schema ='lizhi' and 'table_name'= 'lizhi_jett'//查询名为‘lizhi’的数据库中的名为‘lizhi_jett’的表中的所有列名

SQL注入读写文件的根本条件:

数据库允许导入导出(secure_file_priv)
当前用户文件操作权限(File_priv)


五、实战演练

(不管何种注入模式 最开始都要先判断是否存在注入)

1、基于联合查询的注入

查列数

id=1 order by 4 --+

报错即没有这么多列 我们可以将4改为3 2 1以此类推根据回显得出有几列

得到列数后我们需要知道那几列可以回显 那么我们可以根据回显看是第几列可以回显 这个时候我们只需要把回显的列数字改为我们想要查询的数据 如database() 就可以知道数据库名了

id=1 and 1=2 union select 1,2,3,4 --+

知道数据库名了我们就可以查表了

例如:数据库名为 lizhi 那么 我们就可以用查询语句查出来我们的表名

id=1 and 1 = 2 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema = 'lizhi'

表名知道了我们就可以查列名

例如:表名为lizhi_jett

id=1 and 1=2 union select 1,group_concat(column_name),3,4 from information.schema.column where table_schema='lizhi' and table_name='lizhi_jett' --+

求字段内容

例如:列名分别为 name password email

id=1 and 1=2 union select 1,group_concat(name,0x23,password),3,4 from lizhi.lizhi_jett --+

2、基于报错的注入

页面有报错信息时优先考虑使用报错注入

常用的报错函数

实例

SQL注入——sqli-labs第五关_sql注入第五关-CSDN博客

重点也是floor报错注入

select count(),(floor(rand(0)2))x from table group by x

利用 select count(),(floor(rand(0)2))x from table group by x,导致数据库报错,通过 concat 函数,连接注入语句与 floor(rand(0)*2)函数,实现将注入结果与报错信息回显的注入方式。

关键函数说明
1.rand函数

rand() 可以产生一个在0和1之间的随机数。

可见,直接使用rand函数每次产生的数都不同,但是当提供了一个固定的随机数的种子0之后

值就固定了  也可以称之为伪随机(产生的数据都是可预知的

2.floor(rand(0)*2)函数

floor() 函数的作用就是返回小于等于括号内该值的最大整数。

而rand() 是返回 0 到 1 之间的随机数,那么floor(rand(0))产生的数就只是0,无法产生报错。

因为我们刚才也看了 rand(0)出来的数字是固定的 且是0~1之间 floor函数是向下取整 这样我们就只能得到0
所以 我们使用了floor (rand(0)*2)来让我们的返回值不全为0

3.group by 函数

group by 主要用来对数据进行分组(相同的分为一组)。


首先我们在查询的时候是可以使用as(as可省略)用其他的名字代替显示的:

然后就可以用group by函数进行分组,并按照x进行排序
注意:最后x这列中显示的每一类只有一次,前面的a的是第一次出现的id值

4.count(*)函数

count(*)统计结果的记录数。

与group by结合使用看一下:

是对重复性的数据进行了整合,然后计数,后面的x就是每一类的数量。

综合使用产生报错:

select count(*),floor(rand(0)*2) x from users group by x;

按照我们刚才对函数的理解 这句语句应该执行后是出现 0 1 1 0 1 1然后被分组后只有0 1 然后被计数 所以应该呈现给我们的表为

0  2
1  4

但是最后却报错了

报错分析

这个整合然后计数的过程中,中间发生了什么我们是必须要明白的。 首先mysql遇到该语句时会建立一个虚拟表。该虚拟表有两个字段,一个是分组的 key ,一个是计数值 count()。也就对应于实验中的 user_name 和 count()。 然后在查询数据的时候,首先查看该虚拟表中是否存在该分组,如果存在那么计数值加1,不存在则新建该分组。
       然后mysql官方有给过提示,就是查询的时候如果使用rand()的话,该值会被计算多次,那这个"被计算多次"到底是什么意思,就是在使用group by的时候,floor(rand(0)*2)会被执行一次,如果虚表不存在记录,插入虚表的时候会再被执行一次,我们来看下floor(rand(0)*2)报错的过程就知道了,从上面的函数使用中可以看到在一次多记录的查询过程中floor(rand(0)*2)的值是定性的,为011011 (这个顺序很重要),报错实际上就是floor(rand(0)2)被计算多次导致的。

我们还原一下具体的查询过程:

建立虚拟表 取第一条记录执行floor(rand(0)*2)的时候发现结果为0(这里取前6次的数作为实验数据 前六次为 0 1 1 0 1 1)
这个时候查询虚拟表 发现0的键值不存在 此时要插入键值则会再次执行floor(rand(0)*2) 注意这个时候取到的值就变为1了  所以1 作为键值插入了虚拟表

PS:不知道为什么又执行了一次的话 再好好看一下报错分析

继续查询第二条记录 发现还是1 1的键值存在 则count数加1 虽然只插入了两次但这是第三次计算floor(rand(0)*2)了

再次查询虚表,(0 1 1 已经计算完了该第四个数了 又是0)发现键值没有0,则数据库尝试插入一条新的数据,在插入数据时floor(rand(0)*2)被再次计算, 算到第五个数字1 作为虚表的主键,其值为1(第5次计算),插入。

这个时候就出问题了 

然而1这个主键已经存在于虚拟表中,而新计算的值也为1(主键键值必须唯一),所以插入的时候就直接报错了。

整个查询过程floor(rand(0)*2)被计算了5次,查询原数据表3次,所以这就是为什么数据表中需要最少3条数据,使用该语句才会报错的原因。

3、布尔盲注

核心思想:利用判断语句来证明推测是否正确 推测正确时,页面正常显示;错误时 页面异常

一般来说猜值我们可以用到python写个脚本来爆库名表名

4、时间盲注

特点︰页面不存在异常,且即无回显也无报错信息
利用∶只能利用条件语句结合执行时间的长短来判断payload是否正确

六、WAF绕过

1.大小写混合

原因:服务器端检测时未开启大小写不敏感

形式:Unlon SeLecT

2.多重关键字/双写

原因:服务器端检测到敏感字符时替换为空

形式: ununionion selselectect

3.编码

原因:服务器端未检测或检测不严具有编码形式的关键字类型:十六进制编码、URL编码、Unicode编码
形式:0x61646d696e、%20、%u0020

4.注释

原因:服务器端未检测或检测不严注释内的字符串

形式:/*/,/*!*/,/*!12345*/,#,---等

5.等价函数

原因:服务器端黑名单不完整,过滤不严

形式:Mysql查询: Union distinct、updatexml、Extractvalue、floor

字符串截取函数: mid、substr、substring、left、reverse

字符串连接函数:concat、group_concat、concat_ws

字符串转换: char、hex、unhex

替换逗号: limit 1 offset 0,mid(version() from 1 for 1)替换等号: like

6.特殊符号

原因:数据库中效果相同,服务器端却没有限制
形式:
科学记数法 and 1e0 = 1e0
空白字符%0a %a0 %0b %20 %09
反单引号‘table_name'
括号 select *From (test.admin)

七、SQL注入常用工具

sqlmap 
阿D
穿山甲
Havij(胡萝卜)

SQLmap常用命令

Python sqlmap.py -h显示基本帮助信息

Python Sqlmap.py -hh显示高级帮助信息

Web安全工具—Sqlmap常用命令和参数(持续更新)_sqlmap常用指令和参数-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/859.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

武汉星起航:引领跨境电商新潮流,一站式孵化助力卖家轻松出海

武汉星起航电子商务有限公司,作为跨境电商领域的领军者,始终秉持“走出去”的战略理念,依托自营店铺的丰富经验和对跨境电商资源的深度整合,成功打造了一站式卖家孵化体系。这一体系集开店策划、运营教学、资源服务于一体&#xf…

Web安全知识

第二章 虚拟机运行架构: 1.寄居结构 2.原生架构 软件 注:Hyper-V是在Windows 2008操作系统上 附录 连接FTP服务器过程: 1.下载了软件: 2.连接到ftp://10.0.105.223/服务器(访问老师课堂资源地址) 关闭…

视频教程如何生成二维码?扫码看操作教程视频的制作技巧

产品使用教程的视频二维码如何制作呢?现在商家为了能够让用户可以快速的了解产品的使用说明或者安装教程,会选择将录制的相关视频生成二维码之后,打印到包装上或者通过客服人员发送给用户,用手机扫描对应二维码就可以获取教程&…

__UINT8_TYPE__ 和 __UINT16_TYPE__

__UINT8_TYPE__ 和 __UINT16_TYPE__ 是 C 中预定义的整数类型别名&#xff0c;它们通常由编译器提供&#xff0c;用于确保与特定平台上的原生无符号整数类型相匹配。这些类型别名通常出现在编译器的 <cstdint> 或 <stdint.h> 头文件中&#xff0c;用于提供标准、跨…

消息队列的简介

什么是消息队列? 消息队列就是用于不同系统 不同服务之间异步地传递信息,就是不用生产者和消费者同时在线或者直接连接,消息存储在队列中,直到消费者准备处理 消息队列的核心概念: 生产者:发送消息的一方 消费者:处理消息的一方 队列:存储队列的一方 优点: 1解耦: 生产者和消费…

C#发票检验真伪示例、全电票查验接口、发票OCR识别

假发票的最直接危害体现在税收的流失&#xff0c;但发票查验对于现如今票据量大的企业而言成为了一大难题&#xff0c;传统手动输入发票信息的方式已无法满足当下企业的需求。人工智能时代&#xff0c;“以票控账&#xff0c;以票审计&#xff0c;以票查税"是推动企业数字…

Spring Cloud OpenFeign底层实现原理

Spring Cloud OpenFeign底层实现原理 先说一下写这篇文章的一个原因&#xff0c;就是我被面试官吊打了&#xff0c;我只知道OpenFeign底层采用了RestTemplate进行调用&#xff0c;采用了动态代理&#xff0c;但是具体怎么实现的我就母鸡了。为了防止同样的地方摔倒&#xff0c…

【可靠数据传输的原理】

文章目录 可靠数据传输的原理可靠数据传输&#xff08;rdt&#xff09;的原理可靠数据传输&#xff1a;问题描述Rdt1.0&#xff1a; 在可靠信道上的可靠数据传输Rdt2.0&#xff1a;具有比特差错的信道rdt2.0&#xff1a;FSM描述rdt2.0&#xff1a;没有差错时的操作rdt2.0&#…

数图可视化品类空间管理系统入编《零售门店数字化赋能专项报告(2024年)》

数图可视化品类空间管理系统荣幸入编中国连锁经营协会发布的 《零售门店数字化赋能专项报告&#xff08;2024年&#xff09;》&#xff0c;报告以零售门店为切入点&#xff0c;通过引入“5P”的技术框架及梳理业内配套最佳实践方案&#xff0c;理出一套科学的、完整的零售门店数…

内存管理(C/C++)

✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅ ✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨ &#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1…

所有图片按照固定数量保存到新建文件夹

一、需求 有很多图片在不同的文件夹中&#xff0c;将所有图片汇集起来&#xff0c;按照固定的数量保存到新建的文件夹中 二、代码&#xff1a; import os import shutil import glob# 图片文件夹路径 file_path r"E:\tu_ret"# 指定目标根目录 dst_root_dir r&qu…

C语言转型之路:从C到C++的类与对象初探

欢迎来CILMY23的博客 本篇主题为 C语言转型之路&#xff1a;从C到C的类与对象初探 个人主页&#xff1a;CILMY23-CSDN博客 个人专栏系列&#xff1a; Python | C语言 | 数据结构与算法 | C 感谢观看&#xff0c;支持的可以给个一键三连&#xff0c;点赞关注收藏。 写在前头…

蜂窝物联:蜂窝云平台全介绍

蜂窝云平台 PART 01 PC端展示平台 GIS地图 将地块嵌入到GIS地图展示&#xff0c;可以清晰展示各个地块所在地里位置&#xff0c;可以点击各个地块&#xff0c;在该界面可以清晰查看所选择地块的设备数据、监控画面、设备开关控制、基地介绍、基地图片等信息。 界面支持个化…

企业会议简单要求

会议原则&#xff1a; * 能不开会就不开会&#xff0c;根据开会目的与目标来确定 * 分清自己的角色&#xff0c;做好会前准备和会议引导会议过程&#xff1a; 1. 会前准备 会议召集人会前准备工作: * why&#xff1a;开会是否能解决问题&#xff0c;是否需要开会* 需要多人&…

【35分钟掌握金融风控策略8】策略评审

目录 策略自动化开发系统 策略评审 策略评审流程 档案管理 策略评审文档设计和撰写 策略自动化开发系统 当前&#xff0c;金融机构大多注重提升金融风控相关的科技实力&#xff0c;希望依托科技降低风控门槛&#xff0c;提高风控效率&#xff0c;降低风控成本。 单维度策…

快速掌握缓存技术:学习多个缓存供应商(ehcache,redis,memcached,jetcache,j2cache)

缓存技术 缓存模拟缓存Spring缓存技术第三方缓存技术Ehcache缓存供应Redis缓存memcached缓存&#xff08;国内&#xff09; jetcache缓存供应商jetcache的基本使用设置外部服务设置本地服务 jetcache方法缓存j2cache 缓存 什么是缓存 缓存是一种介于数据永久存储介质与数据应用…

Spring的循环依赖问题如何解决

1 构造器注入&#xff1a;通过构造器注入可以避免循环依赖的问题。当两个或多个Bean之间存在循环依赖时&#xff0c;将依赖通过构造函数参数传递&#xff0c;这样Spring容器在创建Bean实例时就可以通过构造函数解决循环依赖。 2 Setter注入&#xff1a;与构造器注入类似&#x…

c++中什么叫做窄式转换(narrowing conversions)以及窄式转换解决方案

c中什么叫做窄式转换(narrowing conversions)以及窄式转换解决方案 什么叫做窄式转换(narrowing conversions) 窄化转换&#xff08;narrowing conversion&#xff09;是指将一个值转换为另一种类型&#xff0c;但转换过程中丢失了信息或超出了目标类型的表示范围的情况。在C…

C++ | Leetcode C++题解之第38题外观数列

题目&#xff1a; 题解&#xff1a; class Solution { public:string countAndSay(int n) {string prev "1";for (int i 2; i < n; i) {string curr "";int start 0;int pos 0;while (pos < prev.size()) {while (pos < prev.size() &&…

【Elasticsearch】Elasticsearch 从入门到精通(一):基本介绍

Elasticsearch 从入门到精通&#xff08;一&#xff09;&#xff1a;基本介绍 1.Elasticsearch2.Elasticsearch 使用案例3.Elasticsearch 对比 Solr4.Elasticsearch 基本概念及架构4.1 Elasticsearch 基本概念4.1.1 索引 index4.1.2 映射 mapping4.1.3 字段 Field4.1.4 类型 Ty…