注入的分类
基于从服务器接收到的响应
- 基于错误的SQL注入
- 联合查询的SQL注入
- 堆查询的SQL注入
- SQL盲注
基于布尔SQL盲注
基于时间的SQL盲注
基于报错的SQL盲注
基于如何处理输入的SQL查询(数据类型)
- 基于字符串
- 数字或整数为基础的
基于程度和顺序的注入(哪里发生了影响)
- 一阶注入
- 二阶注入
一阶注入是指输入的注入语句对WEB直接产生了影响,出现了结果。
二阶注入类似于存储型XSS,是指输入提交的语句,无法直接对WEB应用程序产生影响,通过其他的辅助间接的对WEB产生危害,这样的就被称为二阶注入。
基于注入点的位置上的
- 通过用户输入的表单域的注入
- 通过COOKIE注入
- 通过服务器变量注入(基于头部信息的注入)
系统函数
数据库注入时常用的函数
- version()————数据库版本信息
- user()————数据库用户名
- database()————数据库名
- @@datadir()————数据库路径
- @@version_compile_os———操作系统版本
字符串链接函数
- concat(str1,str2,...) 没有分隔符地链接字符串
- concat_ws(separator,str1,str2,.....) 含有分隔符地链接字符串
- group_concat(str1,str2,....) 链接一个组的所有字符串,并以逗号分隔每一条数据
参考:https://blog.csdn.net/Fly_hps/article/details/80223915
一般用于尝试的语句
or 1=1--+ 'or 1=1--+ "or 1=1--+ )or 1=1--+ ')or 1=1--+ ") or 1=1--+ "))or 1=1--+一般的代码为:
id=id=_GET['id']; $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
此处考虑两个点:
一个是闭合前面你的’,另外一个是处理后面的’,一般采用两种思路,闭合后面的引号或者注释掉,注释掉采用 --+或者#(%23)
union操作符的介绍
union操作符用于合并两个或多个SELECT语句的结果集。请注意,UNION内部的SELECT语句必须拥有相同数量的列数。列也必须有相同的数据类型,同时,每条SELECT语句中列的顺序必须相同。
SQL union语法:
SELECT column_name(s) FROM table_name1 UNION SELECT column_name(s) FROM table_name2 注释:默认地,UNION 操作符选取不同的值。如果允许重复的值,请使用 UNION ALL。
注入的流程
猜数据库 select schema_name from information_schema.schemata 猜某库的数据表 select table_name from information_schema.tables where table_schema='xxxxx' 猜某表的所有列 Select column_name from information_schema.columns where table_name='xxxxx' 获取某列的内容 Select *** from ****