点进去往下拉就找到第一道题:
打开题目我们可以看到:
然后我们可以在“ http://127.0.0.1/sqllib/Less-1/”后面直接添加一个 “?id=1”,
来看一下效果:
输入“?id=1”之后我们就得到了题目的用户名还有用户密码:
我们可以在 http://127.0.0.1/sqllib/Less-5/?id=1 后面直接添加一个 ‘ ,来看一下效果:
从上述错误当中,我们可以看到提交到 sql 中的 1’在经过 sql 语句构造后形成 ‘1’’ LIMIT 0,1,
多加了一个 ’ 。这种方式就是从错误信息中得到我们所需要的信息,那我们接下来想如何
将多余的 ‘ 去掉呢?
尝试 ‘or 1=1–+
此时构造的 sql 语句就成了
select from information_schema where id=‘1’or 1=1–+’ LIMIT 0,1
此处可以利用 “ 'order by ”。Order by 对前面的数据进行排序,我们就只能用“'order by 3”,超过 3 就会报错。
‘order by 4–+的结果显示结果超出。(?id=1’order by 3) 说明只有三列数据:
图片
此外,此处介绍 union 联合注入,union 的作用是将两个 sql 语句进行联合。Union 可以从
下面的例子中可以看出,强调一点:union 前后的两个 sql 语句的选择列数要相同才可以。U
nion all 与 union 的区别是增加了去重的功能。我们这里根据上述 background 的知识,进行
information_schema 知识的应用。
http://127.0.0.1/sqllib/Less-1/?id=-1’union select 1,2–+
当 id 的数据在数据库中不存在时,(此时我们可以 id=-1,两个 sql 语句进行联合操作时,
当前一个语句选择的内容为空,我们这里就将后面的语句的内容显示出来)此处前台页面返
回了我们构造的 union 的数据。
这里我们先看看登录页面:
回显位为第二和第三个数:由上面我们知道共有列数据,说明只有两列数据有内容
接下来查看数据库的名称:
(2)系统函数
介绍几个常用函数:
- version()——MySQL 版本
- user()——数据库用户名
- database()——数据库名
- @@datadir——数据库路径
- @@version_compile_os——操作系统版本
- database()——数据库名
启动 mysql,然后通过查询检查下数据库:
这个实验用到的数据库名为 security,所以我们选择 security 来执行命令。
我们可以查看下这个数据库中有哪些表(SQL中表用tables)
现在我们可以看到这里有四张表,然后我们来看下这张表的结构。
在继续进行前台攻击时,我们想讨论下系统数据库,即 information_schema。所以我们使用它:
让我们来看下表格。
现在我们先来枚举这张表
desc tables;
现在我们来使用这个查询:
“select table_name from information_schema.tables where table_schema =“security”;”
使用这个查询,我们可以下载到表名。
Mysql 有一个系统数据库 information_schema,存储着所有的数据库的相关信息,一般的,
我们利用该表可以进行一次完整的注入。以下为一般的流程。
猜数据库
select schema_name from information_schema.schemata
猜某库的数据表
select table_name from information_schema.tables where table_schema=’xxxxx’
猜某表的所有列
Select column_name from information_schema.columns where table_name=’xxxxx’
获取某列的内容
Select *** from ****
