怎么進行mysql注入 mysqlsql注入例子

Mysql 注入之 limit 注入

參考鏈接：

創(chuàng)新互聯(lián)專注于奎文網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供奎文營銷型網(wǎng)站建設(shè)，奎文網(wǎng)站制作、奎文網(wǎng)頁設(shè)計、奎文網(wǎng)站官網(wǎng)定制、微信小程序開發(fā)服務(wù)，打造奎文網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供奎文網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

一般實際過程中使用 limit 時，大概有兩種情況，一種使用 order by ，一種就是不使用 order by 關(guān)鍵字

執(zhí)行語句

這種情況下的 limit 后面可以使用 union 進行聯(lián)合查詢注入

執(zhí)行語句

執(zhí)行語句

此時后面再次使用 union 將會報錯

除了 union 就沒有其他可以使用的了嗎，非也

此方法適用于 5.0.0 MySQL 5.6.6 版本，在limit語句后面的注入

MySQL 5中的SELECT語法：

limit 關(guān)鍵字后面還可跟 PROCEDURE 和 INTO 兩個關(guān)鍵字，但是 INTO 后面寫入文件需要知道絕對路徑以及寫入shell的權(quán)限，因此利用比較難，因此這里以 PROCEDURE 為例進行注入

報錯，嘗試一下對其中一個參數(shù)進行注入，這里首先嘗試報錯注入

成功爆出 mysql 版本信息，證明如果存在報錯回顯的話，可以使用報錯注入在 limit 后面進行注入

不存在回顯怎么辦，延遲注入呀

執(zhí)行命令

如果 select version(); 第一個為5，則多次執(zhí)行sha(1)達到延遲效果

這里使用 sleep 進行嘗試，但均未成功，所以需要使用BENCHMARK進行替代

部分sql注入總結(jié)

本人ctf選手一名，在最近做練習(xí)時遇到了一些sql注入的題目，但是sql注入一直是我的弱項之一，所以寫一篇總結(jié)記錄一下最近學(xué)到的一些sql注入漏洞的利用。

在可以聯(lián)合查詢的題目中，一般會將數(shù)據(jù)庫查詢的數(shù)據(jù)回顯到首頁面中，這是聯(lián)合注入的前提。

適用于有回顯同時數(shù)據(jù)庫軟件版本是5.0以上的MYSQL數(shù)據(jù)庫,因為MYSQL會有一個系統(tǒng)數(shù)據(jù)庫information_schema， information_schema 用于存儲數(shù)據(jù)庫元數(shù)據(jù)(關(guān)于數(shù)據(jù)的數(shù)據(jù))，例如數(shù)據(jù)庫名、表名、列的數(shù)據(jù)類型、訪問權(quán)限等

聯(lián)合注入的過程：

判斷注入點可以用and 1=1/and 1=2用于判斷注入點

當(dāng)注入類型為數(shù)字型時返回頁面會不同,但都能正常執(zhí)行。

sql注入通常為數(shù)字型注入和字符型注入：

1、數(shù)字型注入

數(shù)字型語句：

在這種情況下直接使用and 1=1/and 1=2是都可以正常執(zhí)行的但是返回的界面是不一樣的

2、字符型注入

字符型語句：

字符型語句輸入我們的輸入會被一對單引號或這雙引號閉合起來。

所以如果我們同樣輸入and 1=1/and 1=2會發(fā)現(xiàn)回顯畫面是并無不同的。

在我們傳入and 1=1/and 1=2時語句變?yōu)?/p>

傳入的東西變成了字符串并不會被當(dāng)做命令。

所以字符型的測試方法最簡單的就是加上單引號 ' ，出現(xiàn)報錯。

加上注釋符--后正常回顯界面。

這里還有的點就是sql語句的閉合也是有時候不同的，下面是一些常見的

這一步可以用到order by函數(shù)，order by 函數(shù)是對MySQL中查詢結(jié)果按照指定字段名進行排序，除了指定字 段名還可以指定字段的欄位進行排序，第一個查詢字段為1，第二個為2，依次類推，所以可以利用order by就可以判斷列數(shù)。

以字符型注入為例：

在列數(shù)存在時會正常回顯

但是列數(shù)不存在時就會報錯

這步就說明了為什么是聯(lián)合注入了，用到了UNION，UNION的作用是將兩個select查詢結(jié)果合并

但是程序在展示數(shù)據(jù)的時候通常只會取結(jié)果集的第一行數(shù)據(jù)，這就讓聯(lián)合注入有了利用的點。

當(dāng)我們查詢的第一行是不存在的時候就會回顯第二行給我們。

講查詢的數(shù)據(jù)置為-1，那第一行的數(shù)據(jù)為空，第二行自然就變?yōu)榱说谝恍?/p>

在這個基礎(chǔ)上進行注入

可以發(fā)現(xiàn)2，3都為可以利用的顯示點。

和前面一樣利用union select，加上group_concat()一次性顯示。

現(xiàn)在非常多的Web程序沒有正常的錯誤回顯，這樣就需要我們利用報錯注入的方式來進行SQL注入了

報錯注入的利用步驟和聯(lián)合注入一致，只是利用函數(shù)不同。

以updatexml為例。

UpdateXML(xml_target, xpath_expr, new_xml)

xml_target： 需要操作的xml片段

xpath_expr： 需要更新的xml路徑(Xpath格式)

new_xml： 更新后的內(nèi)容

此函數(shù)用來更新選定XML片段的內(nèi)容，將XML標(biāo)記的給定片段的單個部分替換為 xml_target 新的XML片段 new_xml ，然后返回更改的XML。xml_target替換的部分 與xpath_expr 用戶提供的XPath表達式匹配。

這個函數(shù)當(dāng)xpath路徑錯誤時就會報錯，而且會將路徑內(nèi)容返回，這就能在報錯內(nèi)容中看到我們想要的內(nèi)容。

而且以~開頭的內(nèi)容不是xml格式的語法，那就可以用concat函數(shù)拼接~使其報錯，當(dāng)然只要是不符合格式的都可以使其報錯。

[極客大挑戰(zhàn) 2019]HardSQL

登錄界面嘗試注入，測試后發(fā)現(xiàn)是單引號字符型注入，且對union和空格進行了過濾，不能用到聯(lián)合注入，但是有錯誤信息回顯，說明可以使用報錯注入。

利用updatexml函數(shù)的報錯原理進行注入在路徑處利用concat函數(shù)拼接~和我們的注入語句

發(fā)現(xiàn)xpath錯誤并執(zhí)行sql語句將錯誤返回。

在進行爆表這一步發(fā)現(xiàn)了等號也被過濾，但是可以用到like代替等號。

爆字段

爆數(shù)據(jù)

這里就出現(xiàn)了問題flag是不完整的，因為updatexml能查詢字符串的最大長度為32，所以這里要用到left函數(shù)和right函數(shù)進行讀取

報錯注入有很多函數(shù)可以用不止updatexml一種，以下三種也是常用函數(shù)：

堆疊注入就是多條語句一同執(zhí)行。

原理就是mysql_multi_query() 支持多條sql語句同時執(zhí)行，用;分隔，成堆的執(zhí)行sql語句。

比如

在權(quán)限足夠的情況下甚至可以對數(shù)據(jù)庫進行增刪改查。但是堆疊注入的限制是很大的。但是與union聯(lián)合執(zhí)行不同的是它可以同時執(zhí)行無數(shù)條語句而且是任何sql語句。而union執(zhí)行的語句是有限的。

[強網(wǎng)杯 2019]隨便注

判斷完注入類型后嘗試聯(lián)合注入，發(fā)現(xiàn)select被過濾，且正則不區(qū)分大小寫過濾。

那么就用堆疊注入，使用show就可以不用select了。

接下去獲取表信息和字段信息

那一串?dāng)?shù)字十分可疑大概率flag就在里面，查看一下

這里的表名要加上反單引號，是數(shù)據(jù)庫的引用符。

發(fā)現(xiàn)flag，但是沒辦法直接讀取。再讀取words，發(fā)現(xiàn)里面有個id字段，猜測數(shù)據(jù)庫語句為

結(jié)合1'or 1=1#可以讀取全部數(shù)據(jù)可以利用改名的方法把修改1919810931114514為words，flag修改為id，就可以把flag讀取了。

最終payload：

盲注需要掌握的幾個函數(shù)

在網(wǎng)頁屏蔽了錯誤信息時就只能通過網(wǎng)頁返回True或者False判斷，本質(zhì)上是一種暴力破解，這就是布爾盲注的利用點。

首先，判斷注入點和注入類型是一樣的。

但是盲注沒有判斷列數(shù)這一步和判斷顯示位這兩步，這是和可回顯注入的不同。

判斷完注入類型后就要判斷數(shù)據(jù)庫的長度，這里就用到了length函數(shù)。

以[WUSTCTF2020]顏值成績查詢?yōu)槔?/p>

輸入?yún)?shù)后，發(fā)現(xiàn)url處有個get傳入的stunum

然后用到length函數(shù)測試是否有注入點。

發(fā)現(xiàn)頁面有明顯變化

將傳入變?yōu)?/p>

頁面回顯此學(xué)生不存在

那么就可以得出數(shù)據(jù)庫名長度為3

測試發(fā)現(xiàn)過濾了空格

然后就是要查數(shù)據(jù)庫名了，這里有兩種方法

一、只用substr函數(shù)，直接對比

這種方法在寫腳本時可以用于直接遍歷。

二、加上ascii函數(shù)

這個payload在寫腳本時直接遍歷同樣可以，也可用于二分法查找，二分法速度更快。

接下來的步驟就和聯(lián)合注入一樣，只不過使用substr函數(shù)一個一個截取字符逐個判斷。但是這種盲注手工一個一個注十分麻煩所以要用到腳本。

直接遍歷腳本

二分法腳本

時間盲注用于代碼存在sql注入漏洞，然而頁面既不會回顯數(shù)據(jù)，也不會回顯錯誤信息

語句執(zhí)行后也不提示真假，我們不能通過頁面的內(nèi)容來判斷

所以有布爾盲注就必有時間盲注，但有時間盲注不一定有布爾盲注

時間盲注主要是利用sleep函數(shù)讓網(wǎng)頁的響應(yīng)時間不同從而實現(xiàn)注入。

sql-lab-less8：

無論輸入什么都只會回顯一個you are in...，這就是時間盲注的特點。

當(dāng)正常輸入?id=1時時間為11毫秒

判斷為單引號字符型注入后，插入sleep語句

明顯發(fā)現(xiàn)響應(yīng)時間為3053毫秒。

利用時間的不同就可以利用腳本跑出數(shù)據(jù)庫，后續(xù)步驟和布爾盲注一致。

爆庫

爆表

爆字段

腳本

在進行SQL注入時,發(fā)現(xiàn)union,and,or被完全過濾掉了,就可以考慮使用異或注入

什么是異或呢

異或是一種邏輯運算，運算法則簡言之就是：兩個條件相同（同真或同假）即為假（0），兩個條件不同即為真（1），null與任何條件做異或運算都為null，如果從數(shù)學(xué)的角度理解就是，空集與任何集合的交集都為空

即 1^1=0,0^0=0,1^0=1

利用這個原理可以在union，and，or都被過濾的情況下實現(xiàn)注入

[極客大挑戰(zhàn) 2019]FinalSQL

給了五個選項但是都沒什么用，在點擊后都會在url處出現(xiàn)?id。

而且union，and，or都被過濾

測試發(fā)現(xiàn)?id=1^1會報錯

但是?id=1^0會返回?id=1的頁面，這就是前面說的原理，當(dāng)1^0時是等于1的所以返回?id=1的頁面。

根據(jù)原理寫出payload，進而寫出腳本。

爆庫

爆表

爆字段

據(jù)此可以寫出基于異或的布爾盲注腳本

實驗推薦：課程:SQL注入初級(合天網(wǎng)安實驗室)

什么是mysql注入

MySQL SQL 注入

SQL注入可能是目前互聯(lián)網(wǎng)上存在的最豐富的編程缺陷。 這是未經(jīng)授權(quán)的人可以訪問各種關(guān)鍵和私人數(shù)據(jù)的漏洞。 SQL注入不是Web或數(shù)據(jù)庫服務(wù)器中的缺陷，而是由于編程實踐較差且缺乏經(jīng)驗而導(dǎo)致的。 它是從遠程位置執(zhí)行的最致命和最容易的攻擊之一。

我們永遠不要信任用戶的輸入，我們必須認(rèn)定用戶輸入的數(shù)據(jù)都是不安全的，我們都需要對用戶輸入的數(shù)據(jù)進行過濾處理。

以下實例中，輸入的用戶名必須為字母、數(shù)字及下劃線的組合，且用戶名長度為 8 到 20 個字符之間：

讓我們看下在沒有過濾特殊字符時，出現(xiàn)的SQL情況：

以上的注入語句中，我們沒有對 $name 的變量進行過濾，$name 中插入了我們不需要的SQL語句，將刪除 users 表中的所有數(shù)據(jù)。

在PHP中的 mysqli_query() 是不允許執(zhí)行多個 SQL 語句的，但是在 SQLite 和 PostgreSQL 是可以同時執(zhí)行多條SQL語句的，所以我們對這些用戶的數(shù)據(jù)需要進行嚴(yán)格的驗證。

防止SQL注入，我們需要注意以下幾個要點：

永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和 雙”-“進行轉(zhuǎn)換等。

永遠不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取。

.永遠不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。

不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。

應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝

sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻擊等。

教程來源：樹懶學(xué)堂_一站式數(shù)據(jù)知識學(xué)習(xí)平臺_MySQK 防止SQL注入

當(dāng)前題目：怎么進行mysql注入 mysqlsql注入例子
文章出自：http://muchs.cn/article44/ddcehee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、域名注冊、動態(tài)網(wǎng)站、響應(yīng)式網(wǎng)站、網(wǎng)站改版、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)