sql注入-sqllib | Gaobai security

type

status

date

slug

summary

0x00 sql注入简介:

SQL注入即是指 web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的 SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。 sql注入产生的原理：可控变量带入数据库查询

0x01 mysql注入必懂的知识点

1）在mysql5.0版本以上中，存在一个自带数据库名information_schema自带记录所有数据库名表名列名 2）数据库中符号“.”代表下一级，如user.user表示数据库user下的user表 3）information_schema.tables：记录所有表名信息的表 4）information_schema.columns：记录所有列名信息的表 5）table_schema：数据库名 6）table_name：表名 7）column_name：字段名 8）group_concat(table_name)：查询所有的表

猜解多个数据：limit x，1 （变动x） 10）注释符：-- (后面有空格)(也就是--+) ，/**/ , payload结尾单引号闭合

0x02 简单语句使用

查询指定数据库下的表名信息

查询指定表下的列名信息

查询指定数据

简单信息收集

0x03 sqli-labs-1

打开靶场第一关脚本，在脚本里添加如下代码，使得我们输入sql命令时页面会回显出我们使用的命令

首先判断注入类型输入

页面回显错误在后面加上

注释符后回显正确说明为字符型注入

猜解字段数

查询数据库以及用户

查询数据库中表信息

通过从库中查询表信息，查询到敏感数据表 users 接下里从表中查看存储信息

查看到有username password账户密码信息，继续查询信息查询users表中字段具体信息

注入查询成功

‘’ 数字型

‘1’ 字符型

sqllib-1-4：

0x00 sqli-labs-less2-4总结

对比前面的less1 通过反复实践发现1-4关都使用union注入考点都在考如何使id闭合

less2 数字型注入不考虑单引号闭合

less3字符型注入通过两个单引号闭合‘’

less4字符型注入通过两个单引号加上括号闭合‘’）

0x01 实例

_________________________________________

sqllib-5：

0x00 判断注入类型

首先还是像之前一样判断注入类型，字段长度以及错误回显等，在这一关发现无论怎么输入函数，永远只显示相同画面，错误输入则不显示，从此判断出这里不在使用联合注入查询，因为数据库不会回显输出字符，输出结果只存在0和1，程序已经禁止了数据库信息的返回显示。这是我们就要尝试进行盲注，可以尝试布尔型盲注、报错注入、时间延迟型盲注。这类型手工注入工程量很大，所以建议大家使用sqlmap，直接利用工具进行注入。

判断条件函数
like ‘ro%’ #判断ro或ro…是否成立
regexp ‘^xiaodi[a-z]’ #匹配xiaodi及xiaodi…等
if(条件,5,0) #条件成立返回5 反之返回0
sleep(5) #SQL语句延时执行5秒
mid(a,b,c) #从位置b开始，截取a字符串的c位
substr(a,b,c) #从b位置开始，截取字符串a的c长度
left(database(),1)，database() #left(a,b)从左侧截取a的前b位
length(database())=8 #判断数据库database()名的长度
ord=ascii ascii(x)=97 #判断x的ascii码是否等于97