前言

  本文只作为技术探讨，请不要用于非法目的或侵犯他人隐私。

漏洞原理

  sql注入指的是web应用程序没有对用户输入的数据进行合法化的判断或过滤，前端传入的参数攻击者可以进行控制。攻击者可以通过构造恶意slq代码注入到应用程序的数据库中查询，从而执行一些未授权的数据库操作。

  例如，有一条sql语句如下：

  select*from students where username='张三' and password='xxx'

  这条语句的意思是查询张三的信息。他有两个条件，username和password，当我们输入这两个参数并且全部正确时，他才会返回张三信息。假设这里没有对用户输入的数据进行判断，此时有位攻击者在username中输入了这样的数据：张三’and 1=1#。此时这条sql语句就变成了下面这样：

  select*from students where username='张三’ and 1=1#' and password='xxx'

       可以看到，攻击者输入的张三’与前面的单引号闭合了，形成了一个完整的参数，而后面的and1=1成为了sql语句的一部分，最后#为注释，把后面的语句注释掉了，此时这条语句变成了这样：

  select*from students where username='张三’ and 1=1

  可以看到，张三的信息在没有输入密码的情况下就显示出来了。这个例子就是sql注入。

SQL注入的分类

 报错注入

   利用数据库的机制，故意制造错误使数据库报错，从而获得一些想要的信息。

  extractvalue()函数报错注入：

    对XML文档进行查询的函数，格式为extractvalue(目标xml文档，xml路径)。函数的第二个参数为可控的，xml文件中查询使用的是/xx/xx/的格式，如果我们写成其他的格式，就会                    报错，并且会返回我们写入的非法格式内容，而这个非法格式的内容就是我们想要查询的内容，如果是正常的格式，即查询不到也不会报错。

    构造一个正常格式的语句:select extractvalue(1,concat('/',(select database())));结果既没数据返回也没有报错：

    构造非正常格式的语句：select extractvalue(1,concat(0x5c,(select database())));

    0x5c相当于‘\’也可以‘\\’

    还可以使用0x7e (~)

     可以看到查询出来了数据库名称。

  updatexml函数报错注入：

   大佬写的文章：https://blog.csdn.net/m0_60988110/article/details/123544853

    updatexml(xml_doument,XPath_string,new_value)
    第一个参数：XML的内容
    第二个参数：是需要update的位置XPATH路径
    第三个参数：是更新后的内容
    所以第一和第三个参数可以随便写，只需要利用第二个参数，他会校验你输入的内容是否符合XPATH格式
    函数利用和语法明白了，下面注入的payload就清楚明白

   payload：updatexml("anything",concat('~',(select语句())),"anything")

  exp()函数报错注入：

   原理可以参考这位大佬：https://blog.csdn.net/weixin_41594045/article/details/83547103

    exp()数学函数，用于计算e的x次方的函数。

    版本约束：5.5<mysql版本<5.6

   payload：select exp(~(select*from(select user())a))

  联合查询注入

  布尔盲注

  时间盲注

  堆叠查询注入

  宽字节注入     

SQL注入常用payload

SQL注入的绕过

SQL注入的防御