基础三-SQL注入小结上篇

于 2025-08-18 09:15:00 发布
阅读量603 收藏 8
点赞数 15
CC 4.0 BY-SA版权
分类专栏: 渗透测试基础篇 文章标签: 经验分享 sql web安全 渗透测试 sql注入漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45908842/article/details/150384181

微信公众号:白昼信安
如果你觉得文章对你有帮助,欢迎点赞[🍉

1.SQL简介及危害

SQL注入:就是一种通过操作输入来修改后台SQL语句达到代码执行进行攻击目的的技术。
SQL产生原因:1.对用户输入没有严格过滤;2.使用了字符串拼接的方式构造SQL语句。
SQL注入危害:轻则泄露数据库信息,网站数据被篡改、删除,重则导致服务器被拿下,威胁内网安全。

2.如何判断数据库类型

在测试过程中,我们首先需要知道对方使用的什么类型的数据库及其版本,对症下药才能药到病除。
常用的判断方法:

1.常见的前端代码与数据库的固定搭配;
asp:SQL Server,Accessasp.net:SQL Serverphp:MySQL,PostgreSQLjava:Oracle,MySQL
2.端口判断
Oracle:默认端口1521SQL Server:默认端口1433MySQL:默认端口3306DB2:默认端口号为:5000;PostgreSQL:默认端口号为:5432等等
3.根据特有函数来判断
len():SQL Server 、MySQL以及db2返回长度的函数。length():Oracle和INFORMIX返回长度的函数。version():MySQL查询版本信息的函数@@version:MySQL和SQL Server查询版本信息的函数MySQL:substring和substr都可调用Oracle: 只可调用substrSQL Server: 只可调用substring
4.根据表名判断

1.MySQL(version>5.0)

http://127.0.0.1/test.php?id=1 and (select count() from information_schema.TABLES)>0 and 1=1

2.Oracle

http://127.0.0.1/test.php?id=1 and (select count() from sys.user_tables)>0 and 1=1

3.SQL Server

http://127.0.0.1/test.php?id=1 and (select count(*) from sysobjects)>0 and 1=1
等等
5.Sqlmap等工具识别
sqlmap -u "http:\127.0.0.1"

3.SQL注入分类(细分)  【2,3,4中篇再写】

1.从注入手法上分类:联合、报错、布尔、延时、堆叠、宽字节、DNSlog
2.根据注入点类型分类:数字型、字符型、搜索型
3.提交方式分类:GET,POST,Cookie,HTTP头(XFF注入、UA注入、REFERER注入)
4.根据查询方式分类:select、insert、delect、update、order by等

4.SQL注入各类型简析

4.1 联合查询(union注入)
联合查询适用于有回显的注入,我们可以将id=1写为id=-1'(前面错误即可),然后我们再后面加上union语句即可。
案例演示:sqllab靶场第一关

图片

图片

图片

之后就可以直接按正常注入语句开始即可

// 获得所有的数据库(mysql5.0以上版本默认information_schema库,存放着关于MySQL服务器所维护的所有其他数据库的信息)

http://127.0.0.1:8989/sqli-labs-master/sqli-labs-master/Less-1/index.php?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+

// 获得所有的表

http://127.0.0.1:8989/sqli-labs-master/sqli-labs-master/Less-1/index.php?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables--+

// 获得所有的列

http://127.0.0.1:8989/sqli-labs-master/sqli-labs-master/Less-1/index.php?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns --+

等等操作

4.2 报错查询

报错查询属于盲注类型,因为它主要用于无法回显的页面,利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。

利用前提:页面上没有显示位。

缺点:但是需要输出 SQL 语句执行错误信息。
常用的报错回显函数:floor,updatexml(常用),extractvalue等
案例演示:pikachu靶场insert/updata关卡
1.使用floor函数报错(主要检测时和插入时两次计算的所以输不一致就会报错)

图片

2.updatexml:如果XPath_string的值不符合xpath的语法格式则会报错。

图片

3.extractvalue:如果Xpath格式语法书写错误的话,就会报错。

图片

当然,除此之外,还有很多报错函数,可以看下面这篇文章:
mysql 二十余种报错注入姿势(推荐):
https://www.cnblogs.com/feizianquan/p/10794681.html
报错注入原理探究(有兴趣可以看一下):
http://blog.csdn.net/he_and/article/details/80455884

4.3 延时判断
sleep和if函数
sleep函数:通过在语句中添加一个sleep(n)函数,强制让语句停留n秒钟

图片

if函数:if[格式:if(condition,A,B)],当condition为真,返回A,为假,返回B,相当于if….else….语句,常于sleep联合使用

图片

案例演示:sqllab靶场

图片

图片

之后操作逐个拆解即可

4.4 bool盲注
延时注入会用到布尔盲注的所有函数,包括:length()、substr()、ascii()函数
页面只返回True和False两种类型页面,利用页面返回不同,逐个猜解数据。
函数推荐优先使用ascill码
理由:1,引号会转义 2.使用for循环更快,简单 3.使用二分法可以很快排除
案例演示:sqllab靶场

图片

图片

之后操作和其他一致

4.5 堆叠注入
在SQL中,分号(;)是用来表示一条SQL语句结束的。试想一下我们在分号结束一个SQL语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而堆叠注入可以执行的是任意语句(增删改查)。
案例演示:sqllab靶场38关

在id=1后面插入sql语句

http://127.0.0.1:8989/sqli-labs-master/sqli-labs-master/Less-5/index.php?id=1’;insert into users(id,username,password) values(‘10000’,‘abcd’,‘abcd’) --+

然后我们再去查看数据库,成功被插入了一条数据。

图片

虽然这个注入姿势很牛逼,但实际遇到很少,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,
前提条件:1、已知的支持堆叠注入漏洞,2、已经通过其他方式获取了数据库表的相关信息
真实案例:两道CTF题中的堆叠注入
https://www.cnblogs.com/Tkitn/p/11964240.html

4.6 宽字节注入
原理:宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围。

宽字节利用条件

1.数据库查询设置为GBK编码;

2.使用了addslashes(),mysql_real_escape_string(),mysql_escape_string()这类的过滤函数。

案例演示:sqllab靶场32关

图片

输入?id=1%df%27,页面会错说明单引符号起作用了。

图片图片

通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。在php中,我们可以通过输出echo strlen("中");页面编码为gbk时输入2,utf-8时输入3;mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%df%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' 。所以如果我们输入%df%27(%27就是单引符号会被转义成\' 也就是%5c%27),在后台%df会将%5c“吃掉”,组成一个汉字(%df%5c是一个汉字)。

4.7 DNSlog盲注回显
这个比较特殊要用到一个平台,后面到时候具体出一片文章具体分析一下。

一篇学会SQL注入 | 详解SQL注入基础向,基础到每个参数)
weixin_47075747的博客
06-14 1374
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
PHP中全面阻止SQL注入式攻击分析小结
10-28
SQL注入攻击指的是攻击者通过在Web表单输入或页面请求的查询字符串中插入恶意SQL代码,以此来篡改后台数据库查询的结构,从而达到非法获取数据、修改数据库内容、执行管理操作等目的。 为阻止SQL注入,开发者必须...
SQL注入绕WAF小结
05-08
### SQL注入绕WAF小结 #### 一、概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过向Web应用程序提交恶意SQL语句来获取敏感数据、修改数据或执行其他非法操作。随着网络安全技术的发展,Web应用防火墙...
PHP+mysql防止SQL注入的方法小结
12-20
SQL注入 例:脚本逻辑 $sql = "SELECT * FROM user WHERE userid = $_GET[userid] "; 案例1: 复制代码 代码如下:SELECT * FROM t WHERE a LIKE ‘%xxx%’ OR (IF(NOW=SYSDATE(), SLEEP(5), 1)) OR b LIKE ‘1=1 ...
大模型算法岗面试准备经验分享
最新发布
2401_85592132的博客
08-17 753
本文分享了大模型算法岗面试的实用准备经验。针对有无实习经历两种背景,给出了具体建议:无实习者应优先争取中厂实习积累实战经验;有实习者需系统复习八股文、研读技术报告和练习手撕代码。重点推荐了必读技术报告(如DeepSeekV3、LLama3.1等)和7个核心模块代码实现(MHA、LayerNorm等)。最后强调面试前应快速复盘笔记要点和关键代码,以展示真实能力和学习潜力。
深入浅出 SQL 视图:从创建到实战价值全解析
XDLYSJ的博客
08-14 986
本文深入解析数据库视图的核心价值与使用技巧。首先介绍了视图的基础操作(创建、修改、删除),强调其作为虚拟表的特性;其次剖析视图的大核心作用:简化复杂查询、保障数据安全和实现逻辑独立性;然后详细说明可更新视图的限制条件及典型使用场景;最后提出视图使用的注意事项(性能、权限、一致性)和使用建议。文章指出视图不仅是工具,更体现了封装隔离的编程思想,能显著提升数据库操作的效率、安全性和可维护性,建议开发者在实际工作中灵活运用。
技术解读 | 搭建NL2SQL系统需要大模型么?
MatrixOrigin的博客
08-15 884
近年来,大模型(LLMs)的热潮推动了自然语言处理(NLP)任务的广泛进展,NL2SQL(自然语言转SQL)作为热门任务之一也不例外。但是普遍的这些模型的参数量都在100B以上,而NL2SQL作为一个相对niche的场景,并且和业务场景结合密切的情况下,是否可以在一些小参数量的模型上也获得比较好的表现呢?效果立竿见影,准确率从 0.44 → 0.81,说明大模型“理解错误”更多是输入结构的问题。这时候,如果不先过滤schema,大模型也会“幻觉”严重,因为注意力被不相关字段稀释。
如何在 Linux 上安装 SQL Server 2022 和 Azure Data Studio
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
08-15 1059
本文介绍了如何在Linux系统(以Ubuntu 20.04为例)上安装SQL Server 2022及Azure Data Studio。SQL Server自2017版开始支持Linux平台,通过平台抽象层实现跨平台兼容性。文章详细说明了安装步骤:导入GPG密钥、注册存储库、安装软件包并配置管理员密码。同时介绍了SQL Server在Linux上的不同版本(企业版、标准版等)和主要功能差异。安装完成后,用户可通过Azure Data Studio等工具进行连接管理,文中提供了连接参数设置指南。整个过程简便
PostgreSQL——视图
吴声子夜歌的博客
08-14 1028
视图是一个虚拟表,是从数据库中一个或多个表中导出来的表。视图还可以从己经存在的视图基础上定义。视图一经定义便存储在数据库中,与其相对应的数据并没有像表那样在数据库中再存储一份,通过视图看到的数据只是存放在基本表中的数据。对视图的操作与对表的操作一样,可以对其进行查询、修改和删除。当对通过视图看到的数据进行修改时,相应的基本表的数据也要发生变化,同时,若基本表的数据发生变化,则这种变化也可以自动地反映到视图中。
PostgreSQL——索引
吴声子夜歌的博客
08-13 1118
索引是一个单独的、存储在磁盘上的数据库结构,它们包含着对数据表里所有记录的引用指针。使用索引可以快速找出在某个或多个列中有一特定值的行,所有PostgreSQL列类型都可以被索引,对相关列使用索引是提高查询操作效率的最佳途径。。如果没有索引,必须遍历整个表,直到num等于10000的这一行被找到为止:如果在num列上创建索引,PostgreSQL不需要任何扫描,直接在索引里面找10000,就可以得知这一行的位置。可见,索引的建立可以提高数据库的查询速度。
10 SQL进阶-SQL优化(8.15)
m0_56327159的博客
08-17 302
SQL优化:插入、主键优化、group by、limit、count、update
SQL进阶-学习路线梳理(一)
xfzldxfz的博客
08-13 936
本文档是MySQL 8.0+的SQL学习指南,内容涵盖从基础到进阶的完整知识体系。主要包含SQL基础概念、数据类型与约束、CRUD操作、函数、表连接、分组聚合、子查询、窗口函数等核心语法,以及索引优化、事务锁机制、存储过程、触发器、视图等高级特性。特别介绍了MySQL 8.0的新功能如CTE、JSON数据处理等,并提供了数据库设计、性能优化、安全管理、备份恢复等实战经验。文档强调生产环境验证的重要性,建议根据实际业务场景调整SQL语句,并定期关注MySQL官方更新。
Text2SQL实战
leiya_163的博客
08-13 352
主要部署到企业中,私有搭建。QWen 3,提供各种尺寸的模型8B、32B、mini MOE等。
如何在 MacOS 上安装 SQL Server
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
08-16 818
本文详细介绍了在MacOS系统上安装SQLServer Express的完整流程。主要内容包括:1) 通过Docker Desktop或命令行安装Docker;2) 使用Docker容器部署SQL Server 2022,包括必要的参数配置;3) 安装sql-cli工具并连接数据库的步骤。文章强调安装过程中需要注意密码设置、端口映射等关键配置项,并提供了验证安装成功的方法。该教程适用于开发者和学习者,帮助他们在Mac环境下搭建SQL Server开发环境。
SQL中windows函数
qq_53195433的博客
08-15 149
LAG() 将函数里面的值传给下一位。PARTITION BY 分开。
SQL181 第二快/慢用时之差大于试卷时长一半的试卷
weixin_68458989的博客
08-14 768
解释:试卷9001被作答用时有58分钟、50分钟、30分1秒、11分钟、10分钟,第二快和第二慢用时之差为50分钟-11分钟=39分钟,试卷时长为60分钟,因此满足大于试卷时长一半的条件,输出试卷ID、时长、发布时间。找到第二快和第二慢用时之差大于等于试卷时长的一半的试卷信息,按试卷ID降序排序。💡 技巧提示:这种“条件求和”是 SQL 中实现“取第 N 值”的常用技巧。
sqli-libs通关教程(51-65)
m0_75212639的博客
08-13 1267
id=1 and updatexml(1,concat(1,(select group_concat(column_name) from Information_schema.columns where table_name='表名' )),1)--+id=1 and updatexml(1,concat(1,(select group_concat(字段) from challenges.表名 )),1)--+同六十二,闭合变为 '?同六十二,闭合变为 "?
PostgreSQL 免安装
hongsegeming的博客
08-14 213
本文介绍了EDB(EnterpriseDB)PostgreSQL数据库管理系统的安装与基本操作。下载解压后,需在指定目录(如D:\postgresql)创建data文件夹存放数据。通过bin目录下的initdb命令初始化数据库,设置UTF-8编码和postgres用户。使用pg_ctl命令启动/停止数据库服务,psql命令连接数据库。这些步骤为Windows系统下PostgreSQL的快速部署提供了简明指南。
SQL 查询慢?先从 EXPLAIN 看起
Java是世界上最好的语言
08-13 731
在日常开发中,我们经常会遇到 SQL 查询变慢的情况。明明只是简单的查询,却要等上好几秒,严重影响了应用的性能。这时,很多人会下意识地去调整索引、修改 SQL 语句,但往往效果不佳。其实,想要优化 SQL 查询,首先要做的是了解查询的执行过程,而EXPLAIN 命令就是我们的 “透视镜”,它能帮我们看清 SQL 语句的执行计划,找到性能瓶颈所在。
T-SQL编程练习、存储过程练习实验小结
05-26
好的,关于T-SQL编程练习和存储过程练习的实验小结,我可以给出以下几点总结: 1. 需要掌握基本的T-SQL语法和SQL Server数据库操作知识,包括表的创建、插入、更新、删除、查询等操作。 2. 在编写T-SQL代码时,需要注意代码的规范性和可读性,命名规范、缩进、注释等都需要注意。 3. 在进行存储过程的编写时,需要考虑存储过程的目的和功能,以及参数的传递和使用。 4. 在实验中,需要注意安全性问题,例如避免SQL注入攻击等。 5. 需要对T-SQL编程和存储过程的实现有一定的思考和创新,不仅仅是简单的复制粘贴。 总的来说,T-SQL编程练习和存储过程练习是提高SQL Server数据库开发能力的重要途径,需要不断进行实践和总结。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值