实例1的链接为:http://192.168.10.163/sqli/example1.php?name=root(注:每个人机器上的可能不太一样),从URL中可以看出,参数为字符串”root”,从表中返回一行数据,如下图所示。
为了理解服务器端代码,我们需要对其进行探测。
1. 添加多余字符。比如“1234”,使用?name=root1234,表中未显示任何记录。从这里我们可以猜测,请求以某种匹配方式来使用我们的值。
2. 在请求中加入空格。使用?name=root+++(编码后),结果正常显示。进行比较时,MySQL忽略字符串后添加的空格。
3. 加入双引号。使用?name=root”,表中未显示结果。
4. 加入单引号。使用?name=root’,表格消失,我们可能破坏了某些东西。
从上面我们可以推测,请求很有可能如下面所示:
SELECT* FROM users WHERE name=’[INPUT]’
现在对假设进行验证
若假设是对的,以下注入应该会返回相同的结果:
1.?name=root’and ‘1’=’1’ #(需要对#进行编码,%23):原来的查询语句中的引号被注释掉了。
2.?name=root’and 1=1 #(需要对#进行编码,%23):原来查询语句中的引号被注释掉,并且我们不需要’1’=’1’中的单引号。
3.?name=root’ #(需要对#进行编码):原查询语句中的引号被注释掉,且不需要1=1。
下面这些请求可能会返回不同的值。
1.?name=root’and ‘1’=’0:原查询语句中的单引号和用户输入字符串中最后一个单引号闭合。网页中不会返回任何结果,因为选择条件总是返回false.
2.?name=root’and ‘1’=’1 #(对#进行编码):原始查询语句中的引号被注释掉。返回结果和上面的相同。
3.?name=root’or ‘1’=’1:原始语句中的单引号与用户注入字符串中最后一个单引号闭合。由于or语句的第二部分总是返回true,将会选择所有的结果,将所有条目显示到表格中,如图所示。
4.?name=root’or ‘1’=’1’ #(对#进行编码):原始查询语句中的引号被注释掉,返回结果与上个请求相同。
通过所有这些测试,我们可以确定存在SQL注入。