怎么寻找sql注入点

Ⅰ 部分sql注入总结

本人ctf选手一名，在最近做练习时遇到了一些sql注入的题目，但是sql注入一直是我的弱项之一，所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。

在可以联合查询的题目中，一般会将数据库查询的数据回显到首页面中，这是联合注入的前提。

适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库,因为MYSQL会有一个系统数据库information_schema， information_schema 用于存储数据库元数据(关于数据的数据)，例如数据库名、表名、列的数据类型、访问权限等

联合注入的过程：

判断注入点可以用and 1=1/and 1=2用于判断注入点

当注入类型为数字型时返回页面会不同,但都能正常执行。

sql注入通常为数字型注入和字符型注入：

1、数字型注入

数字型语句：

在这种情况下直接使用and 1=1/and 1=2是都可以正常执行的但是返回的界面是不一样的

2、字符型注入

字符型语句：

字符型语句输入我们的输入会被一对单引号或这双引号闭合起来。

所以如果我们同样输入and 1=1/and 1=2会发现回显画面是并无不同的。

在我们传入and 1=1/and 1=2时语句变为

传入的东西变成了字符串并不会被当做命令。

所以字符型的测试方法最简单的就是加上单引号 ' ，出现报错。

加上注释符--后正常回显界面。

这里还有的点就是sql语句的闭合也是有时候不同的，下面是一些常见的

这一步可以用到order by函数，order by 函数是对MySQL中查询结果按照指定字段名进行排序，除了指定字 段名还可以指定字段的栏位进行排序，第一个查询字段为1，第二个为2，依次类推，所以可以利用order by就可以判断列数。

以字符型注入为例：

在列数存在时会正常回显

但是列数不存在时就会报错

这步就说明了为什么是联合注入了，用到了UNION，UNION的作用是将两个select查询结果合并

但是程序在展示数据的时候通常只会取结果集的第一行数据，这就让联合注入有了利用的点。

当我们查询的第一行是不存在的时候就会回显第二行给我们。

讲查询的数据置为-1，那第一行的数据为空，第二行自然就变为了第一行

在这个基础上进行注入

可以发现2，3都为可以利用的显示点。

和前面一样利用union select，加上group_concat()一次性显示。

现在非常多的Web程序没有正常的错误回显，这样就需要我们利用报错注入的方式来进行SQL注入了

报错注入的利用步骤和联合注入一致，只是利用函数不同。

以updatexml为例。

UpdateXML(xml_target, xpath_expr, new_xml)

xml_target： 需要操作的xml片段

xpath_expr： 需要更新的xml路径(Xpath格式)

new_xml： 更新后的内容

此函数用来更新选定XML片段的内容，将XML标记的给定片段的单个部分替换为 xml_target 新的XML片段 new_xml ，然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。

这个函数当xpath路径错误时就会报错，而且会将路径内容返回，这就能在报错内容中看到我们想要的内容。

而且以~开头的内容不是xml格式的语法，那就可以用concat函数拼接~使其报错，当然只要是不符合格式的都可以使其报错。

[极客大挑战 2019]HardSQL

登录界面尝试注入，测试后发现是单引号字符型注入，且对union和空格进行了过滤，不能用到联合注入，但是有错误信息回显，说明可以使用报错注入。

利用updatexml函数的报错原理进行注入在路径处利用concat函数拼接~和我们的注入语句

发现xpath错误并执行sql语句将错误返回。

在进行爆表这一步发现了等号也被过滤，但是可以用到like代替等号。

爆字段

爆数据

这里就出现了问题flag是不完整的，因为updatexml能查询字符串的最大长度为32，所以这里要用到left函数和right函数进行读取

报错注入有很多函数可以用不止updatexml一种，以下三种也是常用函数：

堆叠注入就是多条语句一同执行。

原理就是mysql_multi_query() 支持多条sql语句同时执行，用;分隔，成堆的执行sql语句。

比如

在权限足够的情况下甚至可以对数据库进行增删改查。但是堆叠注入的限制是很大的。但是与union联合执行不同的是它可以同时执行无数条语句而且是任何sql语句。而union执行的语句是有限的。

[强网杯 2019]随便注

判断完注入类型后尝试联合注入，发现select被过滤，且正则不区分大小写过滤。

那么就用堆叠注入，使用show就可以不用select了。

接下去获取表信息和字段信息

那一串数字十分可疑大概率flag就在里面，查看一下

这里的表名要加上反单引号，是数据库的引用符。

发现flag，但是没办法直接读取。再读取words，发现里面有个id字段，猜测数据库语句为

结合1'or 1=1#可以读取全部数据可以利用改名的方法把修改1919810931114514为words，flag修改为id，就可以把flag读取了。

最终payload：

盲注需要掌握的几个函数

在网页屏蔽了错误信息时就只能通过网页返回True或者False判断，本质上是一种暴力破解，这就是布尔盲注的利用点。

首先，判断注入点和注入类型是一样的。

但是盲注没有判断列数这一步和判断显示位这两步，这是和可回显注入的不同。

判断完注入类型后就要判断数据库的长度，这里就用到了length函数。

以[WUSTCTF2020]颜值成绩查询为例

输入参数后，发现url处有个get传入的stunum

然后用到length函数测试是否有注入点。

发现页面有明显变化

将传入变为

页面回显此学生不存在

那么就可以得出数据库名长度为3

测试发现过滤了空格

然后就是要查数据库名了，这里有两种方法

一、只用substr函数，直接对比

这种方法在写脚本时可以用于直接遍历。

二、加上ascii函数

这个payload在写脚本时直接遍历同样可以，也可用于二分法查找，二分法速度更快。

接下来的步骤就和联合注入一样，只不过使用substr函数一个一个截取字符逐个判断。但是这种盲注手工一个一个注十分麻烦所以要用到脚本。

直接遍历脚本

二分法脚本

时间盲注用于代码存在sql注入漏洞，然而页面既不会回显数据，也不会回显错误信息

语句执行后也不提示真假，我们不能通过页面的内容来判断

所以有布尔盲注就必有时间盲注，但有时间盲注不一定有布尔盲注

时间盲注主要是利用sleep函数让网页的响应时间不同从而实现注入。

sql-lab-less8：

无论输入什么都只会回显一个you are in...，这就是时间盲注的特点。

当正常输入?id=1时时间为11毫秒

判断为单引号字符型注入后，插入sleep语句

明显发现响应时间为3053毫秒。

利用时间的不同就可以利用脚本跑出数据库，后续步骤和布尔盲注一致。

爆库

爆表

爆字段

脚本

在进行SQL注入时,发现union,and,or被完全过滤掉了,就可以考虑使用异或注入

什么是异或呢

异或是一种逻辑运算，运算法则简言之就是：两个条件相同（同真或同假）即为假（0），两个条件不同即为真（1），null与任何条件做异或运算都为null，如果从数学的角度理解就是，空集与任何集合的交集都为空

即 1^1=0,0^0=0,1^0=1

利用这个原理可以在union，and，or都被过滤的情况下实现注入

[极客大挑战 2019]FinalSQL

给了五个选项但是都没什么用，在点击后都会在url处出现?id。

而且union，and，or都被过滤

测试发现?id=1^1会报错

但是?id=1^0会返回?id=1的页面，这就是前面说的原理，当1^0时是等于1的所以返回?id=1的页面。

根据原理写出payload，进而写出脚本。

爆库

爆表

爆字段

据此可以写出基于异或的布尔盲注脚本

实验推荐：课程:SQL注入初级(合天网安实验室)

Ⅱ 查找sql的注入点

这种情况，1.屏蔽了错误回显。2.该网站使用了安全狗。 3.使用了SQL防注入文件。 等等....
解决办法
1.列目录
2.数据库默认地址，爆数据库
3.后台默认密码，弱口令尝试

4.编辑器默认密码，弱口令尝试
5.cookie欺骗
6.旁注
7.找网站的漏洞
8.社工
.....等等，关键是思路、方法，灵活应用

Ⅲ 如何批量找SQL注入

SQL注入：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。
总结：Sql注入其实就是你在url中提交的payload它带入数据库查询了，这说明就有Sql注入，也就是数据交互了。

相信很多人刚开始学渗透的时候看的教程几乎都是从注入漏洞开始讲，那么我会带着大家一起去批量找注入点。
准备工作：Sqlmap丶URL采集器丶超级SQL注入工具
那么Sqlmap大家都不陌生吧，我在这里就不讲Sqlmap的使用命令了，我只讲Sqlmap如何批量找注入：

Ⅳ 怎么百度搜索sql注入点的搜索语法

.“加引号”法
在浏览器地址栏中的页面链接地址后面增加一个单引号，如下所示：
http://www.xxx.com/xxx.asp?id=YY’
然后访问该链接地址，浏览器可能会返回类似于下面的错误提示信息：
Microsoft JET Database Engine 错误’80040e14’
字符串的语法错误在查询表达式’ID=YY’中。
/xxx.asp 行8
如图1.3所示，页面中如果返回了类似的错误信息，说明该网站可能存在SQL注入攻击的漏洞。

.“1=1和1=2”法
“加引号”法很直接，也很简单，但是对SQL注入有一定了解的程序员在编写程序时，都会将单引号过滤掉。如果再使用单引号测试，就无法检测到注入点了。这时，就可以使用经典的“1=1和1=2”法进行检测。
如果正常页面链接地址为：http://www.xxx.com/xxx.asp?id=YY，在浏览器中分别输入以下两个链接地址，分别查看它们返回的结果值。
Ø http://www.xxx.com/xxx.asp?id=YY and 1=1。
Ø http://www.xxx.com/xxx.asp?id=YY and 1=2。
如果存在注入点的话，浏览器将会分别显示为：
Ø 正常显示，内容与正常页面显示的结果基本相同。
Ø 提示BOF或EOF(程序没做任何判断时)，或提示找不到记录，或显示内容为空(程序加了on error resume next)。
如果没有注入点的存在，也很容易判断。
上述两种链接一般都会有程序定义的错误提示，或提示类型转换时出错。

注意事项
可能的SQL注入点一般存在于登录页面、查找页面或添加页面等用户可以查找或修改数据的地方

Ⅳ 寻找SQL注入点,除了经典的1=1,1=2的测试方法,还有什么方法吗

常见的sql注入语句
?ID=1‘
?ID=1 and 1=1
?ID=1 and 1=2

Ⅵ 找到一个SQL注入点

计算机虽然认得1和2，知道他们的value，但是仍然不清楚他们到底是什么。你告诉服务器，让他显示数据库里wm=2012043533的信息，网页就显示了。你让他显示这个之外，同时告诉他1=1，他同意，正常显示，可是你告诉他1=2，他脑子就崩溃了，怎么1能等于2呢？！网页就不显示原来的信息，而是数据库错误了！如果仅依靠变量的value加and，1＝1和1＝2返回的页面不同做注入点判断，你被网页设计者玩死都不知道怎么死的。已经有很多网站，前台故意引你们这些喜欢用工具的上当，以为从注入点扫出东西来了，去后台，输入，呵呵，总是不对。其实故意记录你的犯罪证据的。至少我见过小日本有很多这么干的。

Ⅶ 什么是SQL注入

SQL注入：利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。
随着B/S模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些他想得到的数据。

SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的web访问没有区别，隐蔽性极强，不易被发现。
SQL注入攻击过程分为五个步骤：
第一步：判断Web环境是否可以SQL注入。如果URL仅是对网页的访问，不存在SQL注入问题，如：http://www.../162414739931.shtml就是普通的网页访问。只有对数据库进行动态查询的业务才可能存在SQL注入，如：http://www...../webhp?id＝39，其中?id＝39表示数据库查询变量，这种语句会在数据库中执行，因此可能会给数据库带来威胁。
第二步：寻找SQL注入点。完成上一步的片断后，就要寻找可利用的注入漏洞，通过输入一些特殊语句，可以根据浏览器返回信息，判断数据库类型，从而构建数据库查询语句找到注入点。

第三步：猜解用户名和密码。数据库中存放的表名、字段名都是有规律可言的。通过构建特殊数据库语句在数据库中依次查找表名、字段名、用户名和密码的长度，以及内容。这个猜测过程可以通过网上大量注入工具快速实现，并借助破解网站轻易破译用户密码。

第四步：寻找WEB管理后台入口。通常WEB后台管理的界面不面向普通用户

开放，要寻找到后台的登陆路径，可以利用扫描工具快速搜索到可能的登陆地址，依次进行尝试，就可以试出管理台的入口地址。

第五步：入侵和破坏。成功登陆后台管理后，接下来就可以任意进行破坏行为，如篡改网页、上传木马、修改、泄漏用户信息等，并进一步入侵数据库服务器。
SQL注入攻击的特点:

变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。

攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。

危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至。

SQL注入的危害和现状

SQL注入的主要危害包括：

未经授权状况下操作数据库中的数据

恶意篡改网页内容

私自添加系统帐号或者是数据库使用者帐号

网页挂木马

如何防止SQL参数：
1，检查上传的数据，并过滤
2. 禁止拼接SQL字符串
3.使用SQL参数化处理
4．加载防入侵等硬件设施