sql注入学习笔记 详解篇

sql注入的原理以及怎么预防sql注入(请参考上一篇文章)　　

　　https://www.cnblogs.com/KHZ521/p/12128364.html

（本章主要针对MySQL数据库进行注入）

sql注入的分类：

　　根据注入类型分类：

　　　　1.union联合注入  

　　　　2.报错注入

　　　　3.盲注

　　　　　　布尔类型盲注

　　　　　　延时盲注

　　根据注入位置分类

　　　　get注入

　　　　post注入

　　　　请求头注入

　　根据sql语句不同分类

　　　　数字型注入

　　　　字符型注入

sql 注入的步骤：

　　1.寻找注入点

　　　　哪些地方可能存在注入点（所有与数据库交互的地方都有可能存在注入点）

　　　　一般get请求注入点判断的方式，例：假设参数为?id=1在携带参数的后面使用?id=1'，(请注意单引号，如果单引号被数据库查询)

 ?id=1'            
//使用单引号使数据库报错，引发数据库异常（有时候使用双引号闭合的时候，单引号是不会报错的 在可能存在注入点的地方多尝试就好了）假如提交了?id=1'
//和id=1时候出现出现明显不一样的页面，就表示可能存在注入点，当然，也有可能是被waf拦截了

//假设php中查询的sql语句为 
sql = "select * from user where id='$id' limit 0,1";
如果id正常为1是可以查询成功的，加上单引号（?id=1'）报错是因为使sql语句变成了
select * from user where id='1'' limit 0,1 所以会出现sql异常

　　2.判断字符型注入还是数字型

　　　　常用的类型判断方式(%23为url编码中的# ， 表示sql中的注释，以下出现%23都表示#) ：判断 1'and 1=1%23 与 1' and 1=2%23的区别

　　　　

//假设php中查询的sql语句为 
sql = "select * from user where id='$id' limit 0,1";
假设当前id的值为1'and 1=1%23当前的sql语句为
select * from user where id='1' and 1=1#' limit 0,1
id值为1' and 1=2%23的sql语句为
select * from user where id='1' and 1=2#' limit 0,1
因为and 1=1 恒定为真 和 and 1=2 恒定为假的区别进行比较判断字符型的闭合类型

注意：如果select * from user where id="1' and 1=1#" limit 0,1 只判断一次是无法进行判断闭合符号的 这样和直接查询id=1的结果是一样的
注意2：数字型的判断也可以通过and 1=1和and 1=2进行判断的 只不过不需要闭合单引号和添加后面的注释
例：sql="select * from user where id=$id limit 0,1";将传递来的id设置为1 and 1=1和1 and 1=2 就可以根据页面结果的不同判断是否为数字型（因为不存在多余的闭合符号所以不需要添加注释）
小知识：字符型sql是可以不加注释来验证的 我们可以构造特殊的参数让其正常显示：id=1' and '1'='1 
这样实际的sql语句就是select * from user where id='1' and '1'='1' limit 0,1 也可以正常使用哦，适用于注释被屏蔽的情况下使用

　　获取数据：

　　　union联合注入：

　　　　什么是union联合注入：通过使用union联合查询查询数据库中的数据

　　　　特点：简单，有数据的回显位置，效率高

　　　　union的使用条件：两条查询语句必须具有相同的列，所以想要使用union，必须先判断本次查询的列数是多少

　　　　　

 　　　　如果不相同，就会出现错误

 　　　　　

 　　　　假设我们不确定当前sql语句查询的列数是多少，我们可以通过使用order by判断当前查询

　　　　 如果指定的列数小于等于当前列数，语句正常，

　　　　

　　　　语句大于当前使用的列数就会出现数据库异常，可以根据order by 指定第几列判断当前查询的字段是多少

　　　　

　　　　具体操作步骤：

　　　　　1.查找注入点  单引号报错，证明存在注入点

　　　　　

 　　　　2.判断字符闭合类型：

　　　　　　（1）尝试数字型

　　　　　　　id=1 and 1=1

　　　　　　　

　　　　　　　id=1 and 1=2

 　　　　　　　

 　　　　　　　　与id=1 and 1=1 比较，页面结果相同，如果and 1=2被数据库执行，页面结果一定与id=1 and 1=1不同 所以肯定不是数字型注入

　　　　　　　(1)单引号尝试

　　　　　　　　　id=1' and 1=1--+　　

　　　　　　　　

 　　　　　　　　id=1' and 1=2%23

　　　　　　　　　

 　　　　　　　　证明闭合符号为单引号

 　　　　3.使用order by判断字段数：

　　　　　　id=1' order by 4%23页面不是正常结果，字段数不为4

　　　　　　

　　　　　　id=1‘ order by 3%23结果正常，表名字段数为3

　　　　　　

 　　　　4.判断数据回显位置

　　　　　　id=-1' union select 1,2,3%23 　　在这里解释以下为什么使用-1，当我们正常使用id=1查询数据的时候，会正常查询到数据库中的内容，使用-1是为了使第一个查询语句查询到的结果为空，当第一个查询语句查询结果为空的时候，我们给定的1，2，3才会在页面中显示出来，有时候，可以使用id=1' and 1=2来使查询到的结果为空

　　　　　　

　　　　　　由此可知2，3位置可以显示数据

 　　　　5.查询数据内容：

　　　　　　(1)查询数据库名和版本信息

　　　　　　?id=-1' union select 1,database(),version()%23

　　　　　　

　　　　　　(2)查询数据表名(可以通过limit控制查询第几个表)

　　　　　　

　　　　　　查询到的表分别是1.emails 2.referers 3.uagents 4.users（账号密码信息可能存放在users表中）

　　　　　　(3)查询数据字段名

　　　　　　

 　　　　　　字段名分别为：1.id 2.username 3.password

　　　　　　(4)查询数据表内容

　　　　　　　拿到了表名，字段名就可以直接在表中查询数据了。（也可以通过limit控制显示的行数）

　　　　　　　

报错注入的特点：（有的人会将报错注入分类到盲注里面）

　　学习报错注入之前，让我们先来学习几个sql函数

　　　　concat

　　　　updatexml 和 ExtractValue

　　　　效率增加函数：group_concat

报错注入的原理：

　　当sql语句拥有语法错误的时候，我们可以使用指定的错误的显示结果为我们向要的显示结果

　　　　只要页面的出现了详细的错误信息（明显不是服务器提供的专门的错误页面，而是打印出来的sql具体语法错误

）就可以尝试使用报错注入 例如：

　　　　

 　　构造注入语句:

　　　　将报错的语句指定为我们的xml语法错误（是因为xml解析的时候存在了xml没有的特殊字符0x7e(0x7e是16进制~的表示)，当然，也可以直接使用xml解析中不存在的字符串，注意别忘了加引号哦）

　　　　　　　不要问为什么这个报错可以把数据库的名字显示出来  你这就好像在问为什么select能够查找到数据一样

　　　　

盲注：

　　先来学习一下我们需要用到的函数　　

　　　　left(字符串, 字符个数)：截取字符串 返回从左往右数几个字符

　　　　substr(字符串,第几个字符,截取几个)：截取字符串

　　　　mid() 同substr

　　　　ascii(字符) 将字符串转换为ASCII码（区别大小写）

　　　　ord() 同ascii函数

　　　　length() 返回字符串的长度

　　　　count() 返回字段数

　　盲注一般都会采用工具进行注入（太麻烦），但是盲注的原理大家还是了解的 （有时候工具不行，但是就是存在注入点，没办法，只能使用手工了）

get注入

post注入

请求头注入

数字型注入

字符型注入