Sqli-labs之sql注入基础知识

傷城~ 2024-04-07 11:06 66阅读 0赞

#### (1)注入的分类 ####

**基于从服务器接收到的响应**

▲基于错误的SQL注入

▲联合查询的类型

▲堆查询注射

▲SQL盲注

•基于布尔SQL盲注

•基于时间的SQL盲注

•基于报错的SQL盲注

**基于如何处理输入的SQL查询(数据类型)**

•基于字符串

•数字或整数为基础的

**基于程度和顺序的注入(哪里发生了影响)**

★一阶注射

★二阶注射

一阶注射是指输入的注射语句对WEB直接产生了影响，出现了结果；二阶注入类似存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其它的辅助间接的对WEB产生危害，这样的就被称为是二阶注入.**基于注入点的位置上的**

▲通过用户输入的表单域的注射。

▲通过cookie注射。

▲通过服务器变量注射。 (基于头部信息的注射)

**url编码**：一般的url编码其实就是那个字符的ASCII值得十六进制，再在前面加个%

具体可以看[http://www.w3school.com.cn/tags/html\_ref\_urlencode.html][http_www.w3school.com.cn_tags_html_ref_urlencode.html]，这里可以查到每个字符的url编码，当然自己编程或者用该语言应该也有自带的函数，去实现url编码

常用的写出来吧： 空格是%20，单引号是%27， 井号是%23，双引号是%22

**判断sql注入(显错和基于错误的盲注)**：单引号，and 1=1 和and 1=2，双引号，反斜杠，注释等

**判断基于时间的盲注**:在上面的基础上，加个sleep函数 ，如sleep(5) (函数不同[数据库][Link 1]有所不同)例子： ' and sleep(5) " and sleep(5)

#### (2)系统函数 ####

**常用函数：**  
1. version()——MySQL版本  
2. user()——数据库用户名  
3. database()——数据库名  
4. @@datadir——数据库路径  
5. @@version\_compile\_os——操作系统版本

#### (3) 字符串连接函数 ####

函数具体介绍: [http://www.cnblogs.com/lcamry/p/5715634.html][http_www.cnblogs.com_lcamry_p_5715634.html]

1.  concat(str1,str2,...)——没有分隔符地连接字符串
2.  concat\_ws(separator,str1,str2,...)——含有分隔符地连接字符串
3.  group\_concat(str1,str2,...)——连接一个组的所有字符串，并以逗号分隔每一条数据

#### (4) 一般用于尝试的语句 ####

Ps:--+可以用\#替换，url提交过程中Url编码后的\#为%23

or 1=1--+

'or 1=1--+

"or 1=1--+

)or 1=1--+

')or 1=1--+

") or 1=1--+

"))or 1=1--+

一般的代码为：

id=\_GET\['id'\];

$sql="SELECT \* FROM users WHERE id='$id' LIMIT 0,1";

此处考虑两个点，一个是闭合前面你的 ' 另一个是处理后面的 ' ，一般采用两种思路，闭合后面的引号或者注释掉，注释掉采用--+ 或者 \#(%23)

#### (5) union操作符的介绍 ####

UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意，UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每条 SELECT 语句中的列的顺序必须相同。

##### SQL UNION 语法 #####

SELECT column\_name(s) FROM table\_name1

UNION

SELECT column\_name(s) FROM table\_name2

注释：默认地，UNION 操作符选取不同的值。如果允许重复的值，请使用 UNION ALL。

##### SQL UNION ALL 语法 #####

SELECT column\_name(s) FROM table\_name1

UNION ALL

SELECT column\_name(s) FROM table\_name2

另外，UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。

#### (6)sql中的逻辑运算 ####

提出一个问题Select \* from users where id=1 and 1=1; 这条语句为什么能够选择出id=1的内容，and 1=1到底起作用了没有？这里就要清楚sql语句执行顺序了。

同时这个问题我们在使用万能密码的时候会用到。

Select \* from admin where username='admin' and password='admin'

我们可以用 'or 1=1\# 作为密码输入。原因是为什么？

这里涉及到一个逻辑运算，当使用上述所谓的万能密码后，构成的sql语句为：

Select \* from admin where username='admin' and password=''or 1=1\#'

Explain:上面的这个语句执行后，我们在不知道密码的情况下就登录到了admin用户了。

原因是在where子句后，我们可以看到三个条件语句 **username='admin**' and **password=''**or **1=1****。**三个条件用and和or进行连接。在sql中，我们and的运算优先级大于or的元算优先级。因此可以看到 第一个条件(用a表示)是真的，第二个条件(用b表示)是假的，a and b = false,第一个条件和第二个条件执行and后是假，再与第三个条件or运算，因为第三个条件1=1是恒成立的，所以结果自然就为真了。因此上述的语句就是恒真了。

①Select \* from users where id=1 and 1=1;

②Select \* from users where id=1 && 1=1;

③Select \* from users where id=1 & 1=1;

上述三者有什么区别？①和②是一样的，表达的意思是 id=1条件和1=1条件进行与运算。

③的意思是id=1条件与1进行&位操作，id=1被当作true，与1进行 & 运算 结果还是1，再进行=操作，1=1,还是1(ps：&的优先级大于=)

Ps:此处进行的位运算。我们可以将数转换为二进制再进行与、或、非、异或等运算。必要的时候可以利用该方法进行注入结果。例如将某一字符转换为ascii码后，可以分别与1,2,4,8,16,32.。。。进行与运算，可以得到每一位的值，拼接起来就是ascii码值。再从ascii值反推回字符。(运用较少)

#### (7)注入流程 ####

![cff292e5e003ce88fb2a5114ce40d2c1.png][]

我们的数据库存储的数据按照上图的形式，一个数据库当中有很多的数据表，数据表当中有很多的列，每一列当中存储着数据。我们注入的过程就是先拿到数据库名，在获取到当前数据库名下的数据表，再获取当前数据表下的列，最后获取数据。

现在做一些mysql的基本操作。启动mysql，然后通过查询检查下数据库:

show databases;

![bb8d3419b514e9e00d8bfede76edb894.png][]

这个实验用到的数据库名为security,所以我们选择security来执行命令。

use security;

![bcd21c7be1ad7f27e6ad542bcf9dc3bf.png][]

我们可以查看下这个数据库中有哪些表

show tables;

![30b5f183a1a8d849c6244617b56c86f4.png][]

现在我们可以看到这里有四张表，然后我们来看下这张表的结构。

desc emails;

![22dcee442fc936901aa2379626baba9d.png][]

在继续进行前台攻击时，我们想讨论下系统数据库，即information\_schema。所以我们使用它

use information\_schema；

![9b5ffe4cc43c615ad4739200f9708f23.png][]

让我们来看下表格。

show tables;

![d08fea0b7a16df0b5c8648c7e0ec7213.png][]

现在我们先来查看表的结构：

desc tables;

![ceac60c7ebf8759c0b997950dce732ec.png][]

现在我们来使用这个查询：

select table\_name from information\_schema.tables where table\_schema = "security";

![34f447c87bf6d3e9c10ba5538e80a459.png][]

使用这个查询，我们可以下载到表名。

Mysql有一个系统数据库information\_schema，存储着所有的数据库的相关信息，一般的，我们利用该表可以进行一次完整的注入。以下为一般的流程。

猜数据库

select schema\_name from information\_schema.schemata

![e9518b63fcf77949ba7e496f85a41510.png][]

猜某库的数据表

select table\_name from information\_schema.tables where table\_schema='xxxxx'

猜某表的所有列

Select column\_name from information\_schema.columns where table\_name='xxxxx'

获取某列的内容

Select \*\*\* from \*\*\*\*

上述知识参考用例：less1-less4

\-----------------------------------------------------------------------------------------------------------------------------------

**附录：**

环境搭建：

1.从[https://github.com/Audi-1/sqli-labs][https_github.com_Audi-1_sqli-labs]下载源代码。  
2.将源代码复制到Apache webroot文件夹(htddocs，/var/www)。这里是用phpstudt搭建的环境，将其拷贝到D:\\phpStudy\\WWW目录下

![3dc8f19b0b5345eb1507635947f0e707.png][]

3.打开sql-connections文件夹下的“db-creds.inc”文件  
4.修改[MySQL][Link 1]用户名和密码为你自己的。这里我本地mysql的数据库用户名和密码为root/root，因此将其db-ceds.inc的password改为root

![4e5d07d1d1769d0cf652d1684a2cef0f.png][]

5.打开浏览器，通过localhost的index.html访问文件夹。  
6.点击setup/resetDB链接在你的[mysql][Link 1]中创造[数据库][Link 1]。

![f727299e61e34fdc344c16431a4b9c16.png][]

注：

如果有兴趣也可以通过视频进行学习，其下载地址为：

[http://pan.baidu.com/s/1bo7PMaV][http_pan.baidu.com_s_1bo7PMaV]

[http_www.w3school.com.cn_tags_html_ref_urlencode.html]: http://www.w3school.com.cn/tags/html_ref_urlencode.html
[Link 1]: http://lib.csdn.net/base/mysql
[http_www.cnblogs.com_lcamry_p_5715634.html]: http://www.cnblogs.com/lcamry/p/5715634.html
[cff292e5e003ce88fb2a5114ce40d2c1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/aa0882f496b94765998cea70b5828e1b.png
[bb8d3419b514e9e00d8bfede76edb894.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/508094ff3883469caf846006f24a47da.png
[bcd21c7be1ad7f27e6ad542bcf9dc3bf.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/ed24b7312fdd4cdb805c9a7f5c95a9df.png
[30b5f183a1a8d849c6244617b56c86f4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/95338bb08cc940e2b7f30ff87808f2ab.png
[22dcee442fc936901aa2379626baba9d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/7ca53f8cb5424f289823bdeef30301f5.png
[9b5ffe4cc43c615ad4739200f9708f23.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/362d81bcf39a4f9fa09ae0439a63cf77.png
[d08fea0b7a16df0b5c8648c7e0ec7213.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d1dccd6ea67b426fa43836c60309bd42.png
[ceac60c7ebf8759c0b997950dce732ec.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/a6fc05bde86b4fd380f17bb249e0df34.png
[34f447c87bf6d3e9c10ba5538e80a459.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/ae3ee1a6b4a34736a0f490941253bbae.png
[e9518b63fcf77949ba7e496f85a41510.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9264ec1b28564288b7006933c117792a.png
[https_github.com_Audi-1_sqli-labs]: https://github.com/Audi-1/sqli-labs
[3dc8f19b0b5345eb1507635947f0e707.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/04ebad7fc7f8457ab4d4ed1090c717a2.png
[4e5d07d1d1769d0cf652d1684a2cef0f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/a28efa994fb44e6c9f838f4dbfeb3312.png
[f727299e61e34fdc344c16431a4b9c16.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/ede3b1010fa747f385b2ffebdb79ee08.png
[http_pan.baidu.com_s_1bo7PMaV]: http://pan.baidu.com/s/1bo7PMaV