写sql跑

① 部分sql注入总结

本人ctf选手一名，在最近做练习时遇到了一些sql注入的题目，但是sql注入一直是我的弱项之一，所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。

在可以联合查询的题目中，一般会将数据库查询的数据回显到首页面中，这是联合注入的前提。

适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库,因为MYSQL会有一个系统数据库information_schema， information_schema 用于存储数据库元数据(关于数据的数据)，例如数据库名、表名、列的数据类型、访问权限等

联合注入的过程：

判断注入点可以用and 1=1/and 1=2用于判断注入点

当注入类型为数字型时返回页面会不同,但都能正常执行。

sql注入通常为数字型注入和字符型注入：

1、数字型注入

数字型语句：

在这种情况下直接使用and 1=1/and 1=2是都可以正常执行的但是返回的界面是不一样的

2、字符型注入

字符型语句：

字符型语句输入我们的输入会被一对单引号或这双引号闭合起来。

所以如果我们同样输入and 1=1/and 1=2会发现回显画面是并无不同的。

在我们传入and 1=1/and 1=2时语句变为

传入的东西变成了字符串并不会被当做命令。

所以字符型的测试方法最简单的就是加上单引号 ' ，出现报错。

加上注释符--后正常回显界面。

这里还有的点就是sql语句的闭合也是有时候不同的，下面是一些常见的

这一步可以用到order by函数，order by 函数是对MySQL中查询结果按照指定字段名进行排序，除了指定字 段名还可以指定字段的栏位进行排序，第一个查询字段为1，第二个为2，依次类推，所以可以利用order by就可以判断列数。

以字符型注入为例：

在列数存在时会正常回显

但是列数不存在时就会报错

这步就说明了为什么是联合注入了，用到了UNION，UNION的作用是将两个select查询结果合并

但是程序在展示数据的时候通常只会取结果集的第一行数据，这就让联合注入有了利用的点。

当我们查询的第一行是不存在的时候就会回显第二行给我们。

讲查询的数据置为-1，那第一行的数据为空，第二行自然就变为了第一行

在这个基础上进行注入

可以发现2，3都为可以利用的显示点。

和前面一样利用union select，加上group_concat()一次性显示。

现在非常多的Web程序没有正常的错误回显，这样就需要我们利用报错注入的方式来进行SQL注入了

报错注入的利用步骤和联合注入一致，只是利用函数不同。

以updatexml为例。

UpdateXML(xml_target, xpath_expr, new_xml)

xml_target： 需要操作的xml片段

xpath_expr： 需要更新的xml路径(Xpath格式)

new_xml： 更新后的内容

此函数用来更新选定XML片段的内容，将XML标记的给定片段的单个部分替换为 xml_target 新的XML片段 new_xml ，然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。

这个函数当xpath路径错误时就会报错，而且会将路径内容返回，这就能在报错内容中看到我们想要的内容。

而且以~开头的内容不是xml格式的语法，那就可以用concat函数拼接~使其报错，当然只要是不符合格式的都可以使其报错。

[极客大挑战 2019]HardSQL

登录界面尝试注入，测试后发现是单引号字符型注入，且对union和空格进行了过滤，不能用到联合注入，但是有错误信息回显，说明可以使用报错注入。

利用updatexml函数的报错原理进行注入在路径处利用concat函数拼接~和我们的注入语句

发现xpath错误并执行sql语句将错误返回。

在进行爆表这一步发现了等号也被过滤，但是可以用到like代替等号。

爆字段

爆数据

这里就出现了问题flag是不完整的，因为updatexml能查询字符串的最大长度为32，所以这里要用到left函数和right函数进行读取

报错注入有很多函数可以用不止updatexml一种，以下三种也是常用函数：

堆叠注入就是多条语句一同执行。

原理就是mysql_multi_query() 支持多条sql语句同时执行，用;分隔，成堆的执行sql语句。

比如

在权限足够的情况下甚至可以对数据库进行增删改查。但是堆叠注入的限制是很大的。但是与union联合执行不同的是它可以同时执行无数条语句而且是任何sql语句。而union执行的语句是有限的。

[强网杯 2019]随便注

判断完注入类型后尝试联合注入，发现select被过滤，且正则不区分大小写过滤。

那么就用堆叠注入，使用show就可以不用select了。

接下去获取表信息和字段信息

那一串数字十分可疑大概率flag就在里面，查看一下

这里的表名要加上反单引号，是数据库的引用符。

发现flag，但是没办法直接读取。再读取words，发现里面有个id字段，猜测数据库语句为

结合1'or 1=1#可以读取全部数据可以利用改名的方法把修改1919810931114514为words，flag修改为id，就可以把flag读取了。

最终payload：

盲注需要掌握的几个函数

在网页屏蔽了错误信息时就只能通过网页返回True或者False判断，本质上是一种暴力破解，这就是布尔盲注的利用点。

首先，判断注入点和注入类型是一样的。

但是盲注没有判断列数这一步和判断显示位这两步，这是和可回显注入的不同。

判断完注入类型后就要判断数据库的长度，这里就用到了length函数。

以[WUSTCTF2020]颜值成绩查询为例

输入参数后，发现url处有个get传入的stunum

然后用到length函数测试是否有注入点。

发现页面有明显变化

将传入变为

页面回显此学生不存在

那么就可以得出数据库名长度为3

测试发现过滤了空格

然后就是要查数据库名了，这里有两种方法

一、只用substr函数，直接对比

这种方法在写脚本时可以用于直接遍历。

二、加上ascii函数

这个payload在写脚本时直接遍历同样可以，也可用于二分法查找，二分法速度更快。

接下来的步骤就和联合注入一样，只不过使用substr函数一个一个截取字符逐个判断。但是这种盲注手工一个一个注十分麻烦所以要用到脚本。

直接遍历脚本

二分法脚本

时间盲注用于代码存在sql注入漏洞，然而页面既不会回显数据，也不会回显错误信息

语句执行后也不提示真假，我们不能通过页面的内容来判断

所以有布尔盲注就必有时间盲注，但有时间盲注不一定有布尔盲注

时间盲注主要是利用sleep函数让网页的响应时间不同从而实现注入。

sql-lab-less8：

无论输入什么都只会回显一个you are in...，这就是时间盲注的特点。

当正常输入?id=1时时间为11毫秒

判断为单引号字符型注入后，插入sleep语句

明显发现响应时间为3053毫秒。

利用时间的不同就可以利用脚本跑出数据库，后续步骤和布尔盲注一致。

爆库

爆表

爆字段

脚本

在进行SQL注入时,发现union,and,or被完全过滤掉了,就可以考虑使用异或注入

什么是异或呢

异或是一种逻辑运算，运算法则简言之就是：两个条件相同（同真或同假）即为假（0），两个条件不同即为真（1），null与任何条件做异或运算都为null，如果从数学的角度理解就是，空集与任何集合的交集都为空

即 1^1=0,0^0=0,1^0=1

利用这个原理可以在union，and，or都被过滤的情况下实现注入

[极客大挑战 2019]FinalSQL

给了五个选项但是都没什么用，在点击后都会在url处出现?id。

而且union，and，or都被过滤

测试发现?id=1^1会报错

但是?id=1^0会返回?id=1的页面，这就是前面说的原理，当1^0时是等于1的所以返回?id=1的页面。

根据原理写出payload，进而写出脚本。

爆库

爆表

爆字段

据此可以写出基于异或的布尔盲注脚本

实验推荐：课程:SQL注入初级(合天网安实验室)

② SqlServer怎么定时跑一段SQL语句

1、请把这段SQL语句写成一个存储过程，然后需要在B上面开启SQLServerAgent服务，如下图：

③ 数据分析师日常工作是什么

(1)写SQL 脚本：俗称“跑数据”。leader要一组 季度数据/月数据/周数据 ，写一段或者N段SQL把数据跑出来。一般是临时性需求，不过当发现默默地演变成一个常规性需求时，最好直接封装SP（存储过程）了……每次跑一下方便省事。这项工作内容需要的技能点有：数据库，SQL
(2)数据分析项目前中期：这个是耗时很长很麻烦的部分。前期是基础数据的处理清洗，基础汇总聚合，然后设计监测指标，指标的设计不仅仅是数学分析，更多需要跑业务需求方那边了解，毕竟最终目的是要让别人用，提升效率，不是为了凸显模型高大上。所有需要的数据都有了之后，开始建立业务模型(数学模型)，整个建模的过程也是反复探索数据的过程，在一定数据量的情况下，初期的建模应用起来一定会这种问题那种问题balabala烦死人……以后边应用边调整优化。技能点：数据库，SQL，excel，R语言，数理统计，数据挖掘，业务知识。
(3)兼职产品经理：业务模型完了后，就有了指标结果。把数据落地到数据库中。然后接下来需要找开发帮你做可视化站点。作为数据分析师我是最了解这个项目 逻辑流程、核心算法、业务应用的。找开发帮你做可视化站点：曲线图啊 柱状图啊 饼图啊 balabala 让别人一眼就能看到指标的整体状况。技能点：逻辑思维，流程规划，数据可视化，一定的开发知识（方便和开发沟通），表达能力力和表情。
(4)模型和指标正式应用起来自后：收集业务部的反馈，不停的跟他们沟通邮件，不停地优化模型，数据表。以及给业务部一些特定需求的分析评估报告（临时性需求）。技能点：逻辑思维，表达能力
(5)个人学习：有时候会遇到等待别人工作进度的情况，比如别人的上一批数据没出来，你完全没法工作。那就上网或者看书 学习知识。数理统计和数据挖掘博大精深，如何能应用得好，产生最高性价比更是一门学问啦。多了解些总是没坏处的。
(6)大数据部分：涉及到”大数据“已经不是我个人工作内容部分了，而是整组的工作内容。具体需要有专门比较懂hadoop和spark的人负责在上面跑数据，写最终实现代码。我们组里的分工大概就是：数据分析师，数据工程师，（半个产品经理），有人身兼三种，有人只爱专精。技能点：无特定加点法则，团队加点。

④ SQL中累计求和与滑动求和函数sum() over()用法

在SQL中，sum()函数的扩展功能——窗口函数sum() over()提供了三种主要用法：分组求和、累计求和和滑动求和。让我们通过实例来理解这些场景的实现方式。

首先，以数据表dws_js_team_gmv为例，包含团队名、月份和成交额字段。我们来看三种求和需求的SQL代码：

1. 要求是计算每个销售团队的年累计成交额及其对累计值的贡献占比，这可以通过分组求和并保留当前行数实现，SQL代码如下：

SQL逻辑：

SQL跑数结果：

2. 对于逐月累计业绩，从1月开始，同样需要分组求和并保留当前行，代码如下：

SQL逻辑：

SQL跑数结果：

3. 接下来是近3个月的累计业绩（包括统计月）。这里涉及到滑动求和，用window函数over()设置滑动范围，例如范围从当前行前2行到当前行，代码示例：

SQL逻辑：

对于不包含统计月的近3个月累计业绩，有三种处理方法：

① 通过减去统计月的值，计算近4个月的滑动求和：range between 2 preceding and 0 following 或 2 preceding and current row

② 调整滑动区间为3个前一月到前两个前一月：range between 3 preceding and 1 preceding

③ 或者调整为3个前一月到后一个前一月：range between 3 preceding and -1 following

这些SQL代码展示了sum() over()函数在不同场景下的应用，帮助我们灵活处理累计和滑动求和需求。