[SWPUCTF 2024 新生赛]easy_sql SQL(1)

大家好，我是讯享网，很高兴认识大家。

对sql的猜测为：SELECT*FROM table WHERE id=1

判断数字型漏洞的sql注入点：

① 先在输入框中输入一个单引号 ’

这样的 SQL 语句就会变为：

SELECT * FROM table WHERE id=1’，

不符合语法，所以该语句肯定会出错，导致脚本程序无法从数据库获取数据，从而使原来的页面出现异常。

② 在输入框中输入 and 1 = 1

SQL语句变为：

SELECT * FROM table WHERE id=1 and 1 = 1

语句正确，执行正常，返回的数据与原始请求无任何差异。

③ 在数据库中输入 and 1 = 2

SQL 语句变为：

SELECT * FROM table WHERE id=1 and 1 = 2

虽然语法正确，语句执行正常，但是逻辑错误，因为 1 = 2 为永假，所以返回数据与原始请求有差异。

如果以上三个步骤全部满足，则程序就可能存在数字型 SQL 注入漏洞。

2.字符型注入

字符型注入——参数字符串——字符型注入漏洞

数字型不需要单引号闭合，而字符型一般需要使用单引号来闭合

关键：如何闭合 SQL 语句以及注释多余的代码。

假设后台的 SQL 语句如下：

SELECT * FROM table WHERE username = ‘admin’

判断字符型漏洞的 SQL 注入点：

① 还是先输入单引号 admin’ 来测试

这样的 SQL 语句就会变为：

SELECT * FROM table WHERE username = ‘admin’'。

页面异常。

② 输入：admin’ and 1 = 1 –

SELECT * FROM table WHERE username = ‘admin’ and 1 = 1 –

页面显示正确。

③ 输入：admin’ and 1 = 2 –

SQL 语句变为：

SELECT * FROM table WHERE username = ‘admin’ and 1 = 2 –

页面错误。

讯享网

满足上面三个步骤则有可能存在字符型 SQL 注入。

3.搜索型注入

搜索型注入——数据搜索时没过滤搜索参数

这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数，一般在链接地址中有 “keyword=关键字” 有的不显示在的链接地址里面，而是直接通过搜索框表单提交。此类注入点提交的 SQL 语句，其原形大致为：select * from 表名 where 字段 like ‘%关键字%’ 若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：

select * from 表名 where 字段 like ‘%测试%’ and ‘%1%’=‘%1%’

知识补充

GROUP_CONCAT函数用于将GROUP BY产生的同一个分组中的值连接起来，返回一个字符串结果
GROUP_CONCAT函数首先根据GROUP BY指定的列进行分组，将同一组的列显示出来，并且用分隔符分隔，由函数参数(字段名)决定要返回的列
GROUP_CONCAT([DISTINCT] 要连接的字段 [ORDER BY 排序字段 ASC/DESC] [SEPARATOR ‘分隔符’])