基于字符型的SQL注入
简而言之,基于字符型的SQL注入即存在SQL注入漏洞的URL参数为字符串类型(需要使用单引号表示)。
字符型SQL注入的关键—–单引号的闭合
mysql数据库对于单引号的规则如下:
- 单引号必须成对出现,否则数据库就会报错。
- 如果两个单引号之间内容为空,数据库自动忽略。
应用程序数据库的字符型SQL语句为:
- select * from tables where idproduct=’13’;
- select * from tables where name=’bike’;
- select * from tables where data=’01/01/2016’;
sqli-labs>>Less-1
我们将在sqli-labs/less-1实验环境下学习基于字符型的SQL注入。
网页原始页面如下图所示:
此时URL为:
http://127.0.0.1/sqlilabs/less-1/?id=1
接下来,我们判断此SQL注入是基于整型还是基于字符型(区别在于是否需要使用单引号表示)。
在原始URL后添加单引号(’),此时页面显示错误,由此可见我们输入的单引号被后台数据库成功执行:
此时URL为:
http://127.0.0.1/sqlilabs/less-1/?id=1'
在原始URL后面添加两个单引号(’‘),此时页面显示正常:
此时URL为:
http://127.0.0.1/sqlilabs/less-1/?id=1''
因此,我们可以推断这是一个基于字符型的SQL注入。原因如下:
①输入一个单引号时,系统显示
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
根据系统的错误回显页面中的‘1” LIMIT 0,1,可以推断出原始URL的后台数据库的SQL查询语句为:
select ... from ... where id = '1' limit 0,1;
当我们注入了单引号之后,此时的后台数据库的SQL查询语句为:
select ... from ... where id = '1'' limit 0,1;
单引号被数据库系统执行,导致SQL语句错误,系统返回错误页面。
②当我们注入两个单引号之后,此时的后台数据库的SQL查询语句为:
select ... from ... where id = '1''' limit 0,1;
数据库自动忽略两个单引号内容为空的部分,SQL语句仍然正确,系统返回正确页面。
接下来,使用order by语句判断表中的字段数目。
在原始URL后面添加 order by 3时,页面显示正常:
在原始URL后面添加order by 4时,页面显示错误:
由此可见,表中的字段数目为3。
接下来,使用union语句来判断各字段的类型以及判断能够在页面显示的字段。
现在,就按照mysql数据库的结构一步一步的枚举数据库内容了。
枚举数据库名:
枚举表名:
枚举字段名:
枚举字段的数据项内容: