1.寻找注入点
初始页面无id参数
自行添加 ?id=1 页面返回正常
id参数末尾添加'
测试,页面报错可能存在SQL注入漏洞
分析报错:
'1'') LIMIT 0,1
处有错误
我们的输入为: 1'
原语句可能为
select * from table where id = ('1') limit 0,1;
需要闭合单引号和括号
继续测试
' and 1 = '1
页面返回正常
此时语句可能为
select * from table where id =('1' and 1 = '1 ') limit 0,1;
继续测试
' and 1 = '2
页面无回显
id参数处存在SQL注入漏洞
2.开始注入
因为页面会回显数据,所以我们用union注入的方法
先判断该表列数,判断列数要使用到order by 子句
注: order by子句只能在select语句的末尾,其后面不能跟任何语句
又因为原语句可能为:
select * from table where id=(‘1’) limit 0,1;
我们的注入点就是参数1所在的位置,所以需要闭合左边的单引号和括号且注释掉后面的limit语句,保证order by 子句可以顺利执行
构造语句为
') order by 4--+
出现此报错语句说明,我们的语句成功执行了只不过该表列数小于4
将4改成3页面成功回显信息,说明此表右3列
确定了列数就可以使用union子句了
先更改id参数为一个不可能查询到的值,导致第一条查询语句为空
两条查询语句使用union联合时,第一条查询为空,就会把第二条的查询内容显示出来
在构造
union select 1,2,3–+
此时我们可以看见数据回显点了
这里我们在2的位置上使用了version()函数查看数据库版本
在3的位置上使用
select group_concat(schema_name) from information_schema.schemata
语句查询出所有库
在数据回显点上使用内置函数查询和mysql函数就可以查到想要的信息了