前言
SQL注入,其实就是用户浏览器提交的变量内容,应用程序(代码可能是asp、aspx、php、jsp等)对浏览器提交过来的数据未过滤,直接去数据库查询,导致把数据库里面其他内容(如管理账户和密码)查询返回到页面上。但凡使用数据库开发的应用系统,就可能存在SQL注入攻击的媒介。自1999年起,SQL注入漏洞就成了常见安全漏洞之一。至今SQL注入漏洞仍然在CVE列表中排前10。2011年美国国土安全局,Mitre和SANA研究所将SQL注入作为第一危险的安全漏洞。至今,SQL注入仍然是首要的难以修复的安全威胁漏洞
由此可见sql注入漏洞危害,而今天在这里,我们就对sql注入漏洞的其中一种———union联合注入进行一个注入思路讲解,当然这里只做最基本的讲解,靶场没有进行过滤处理。
声明:本次注入演示使用的是墨者靶场,为合法注入测试。本文章仅用于学习,请遵守中华人民共和国网络安全法,请勿用于违法用途。
注入思路简介
1.判断注入类型(数字型or字符型)
2.判断闭合(如为数字型则跳过这一步)
3.判断查询个数及回显位
4.获取表名
5.获取列名
6.进行数据查询
详细注入过程
1.判断注入类型
这一步还是比较简单的,我们可以在URL后面加上and 1=1和and 1=2,这两条语句不用做过多解释吧,如果是字符型,那么在输入这两个之后则不会有回显,如果是数字型的话,在1=1是有回显,1=2时无回显。当然,我个人认为更好的方法是把id=1改为id=2-1,如果是数字型,则会显示id=1的内容,如果是字符型,则会报错或不回显。
http://124.70.22.208:41279/new_list.php?id=2-1
这里我们的靶场是数字型
2.判断闭合
这里是数字型,不需要判断闭合,懒得讲了,等以后给大家讲字符型时再讲吧,大体思路就是加符号看报错,不会的自己研究一下吧
3.判断查询个数及回显位
http://124.70.22.208:41279/new_list.php?id=1 order by 4
使用order by来进行查询个数判断,为什么要判断查询个数呢,因为union的最大特点就是要前后查询个数相等,所以我们如果要用到union,就必须知道它前面查询了多少,这个判断也很简单,当我们输入URL+order by X(X为任意数值)时,当前面查询个数大于等于X时,网页正常回显,当小于X时,不回显。这里推荐使用二分法来进行判断的,这样比较快,不知道什么是二分法的可以baidu一下。
http://124.70.22.208:41279/new_list.php?id=-1 union select 1,2,3,4 --+
之前我们使用order by判断出查询个数为四个,我们可以用union select 1,2,3,4来进行回显位判断。
这里我给不会sql的人解释一下,union是个联合命令,讲前后语句联合起来,select是一个查询语句,–+则为注释命令,和#是一个作用
4.获取表名
想要获取表名,我们就要了解一个非常非常重要的知识(划重点哟),在sql数据库下,有一个叫做information.schema的数据库,它是系统自带的数据库,里面有一张叫做tables的表,里面存储了这个sql数据库的全部表名。你现在能理解它的重要性了吗,当然了,连你这样的人都知道它的重要性,安全工程师怎么可能不知道,所以在实战环境下,网站会对这张表,乃至整个information.schema这个数据库,可以说是严防死守,密不透风。但是,之前说过了,我们的靶场没有进行任何防护,所以我们可以轻轻松松的进入这个数据库。
http://124.70.22.208:41279/new_list.php?id=-1 union select
1,database(),group_concat(table_name),4 from information_schema.tables where table_schema=database()--+
这个就是查询表名的命令了,哇,是不是一脸茫然,其实这个是非常简单的,我来给大家讲解一下,database()是一个获取当前数据库名称的命令,group_concat()则是使查询到的内容在一行回显,因为大多数情况都是默认只回显一行。from呢顾名思义,是用来规定从哪里查询的。where表示限定条件,只有满足where后面的条件的数据才会被查询到。
连起来给大家翻译一下,从information.schema这个数据库的tables这张表里查询table_name这一列的数据,并且要满足table_schema=database(),即只查询当前数据库的所有表名,并回显到一行。
我们需要用到的就是stormgroup_member这个表名
5.获取列名
http://124.70.22.208:41279/new_list.php?id=-1 union select 1,database(),group_concat(column_name),4 from information_schema.columns where table_schema=database() and table_name='StormGroup_member'--+
与获取表名相似,从columns这张表里获取column_name这个列的数据,并且要满足where后的两个条件,道理相同,这里就一带而过
6.密码数据查询
http://124.70.22.208:41279/new_list.php?id=-1 union select 1,2,group_concat(name,password),4 from StormGroup_member--+
翻译一下,从stormgroup_member这个表里面,查询name和password这两列数据,并回显到一行
这是你是不是就明白了为什么要查询表名和列名了,没错,只有我们知道表名和列名才能知道从哪里查询数据
编者的话
别问我为什么没有图片,问就是懒得配图
网络IT技术交流
270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
