SQL手工注入基础篇

0.前言

本篇博文是对SQL手工注入进行基础知识的讲解，更多进阶知识请参考进阶篇（咕咕），文中有误之处，还请各位师傅指出来。学习本篇之前，请先确保以及掌握了以下知识：

• 基本的SQL语句
• HTTP的GET、POST请求，URL编码

文中所有例题选自sqlilab，可以先配置好一起边看边操作。因为虚拟机炸了，所以我自己搭建了一个简陋的平台，sqlilab可自行进行搭建练习，在后面的博客也会写一些关于sqlilab的wp。

1.准备工作

在开始SQL注入之前，我们首要需要了解SQL注入的原理，对于一个新安装好的MySql数据库，你至少会包含三个已经建立好的数据库分别是user、infomation_schema、performance_schema如下图所示

而SQL注入要干的，这些系统数据库中存储了MySql各个数据库的属性以及用户信息，我们要做的就是绕过过滤再来利用这些系统表进行查询。

了解了这个之后我们还要了解一点就是PHP的GET方法和POST方法传参的区别，如果使用GET方法，则会自动进行一次url解码，例如传入%23实际得到‘#’，而POST则会将数据原封不动的传输。下面我们开始进入正式的SQL注入阶段。

2.判断注入类型

一般的对于SQL的查询语句，有字符型和数值型查询，而这两者的区别就是是否有单引号，这决定了我们接下来应该如何构造SQL注入语句。

　　判断方法有如下几种，

1. +-数值，如果是数值型的，你可以尝试使用1+1，1+2，这样的语句，例如　　看网页回显是否正确。
2. and 1=1,and 1=2，直接在后面添加“1 and 1=1”和“1 and 1=2”（前面有个空格）来进行查询，若1=1回显正确而1=2回显错误则为数值型。
3. 加‘#，在后面添加'#进行查询，若回显正确则表明为字符型。

除了上述几种方法还可以用其他方法进行判断，但原理都是构造SQL语句进行判断。

3.查列数

　　通过上述方法知道了注入类型之后，我们就可以进行下一步的操作了，在这里我搭建了一个简易的存在字符型查询漏洞的页面，大家可以在本地搭建一下一边学习一边练习。

SQL代码如下：

 /*
 Navicat MySQL Data Transfer

 Source Server         : Mysql
 Source Server Version : 50553
 Source Host           : localhost:3306
 Source Database       : test

 Target Server Type    : MYSQL
 Target Server Version : 50553
 File Encoding         : 65001

 Date: 2019-09-18 23:17:53
 */

 SET FOREIGN_KEY_CHECKS=0;

 -- ----------------------------
 -- Table structure for secret_table
 -- ----------------------------
 DROP TABLE IF EXISTS `secret_table`;
 CREATE TABLE `secret_table` (
   `fl4g` varchar(32) DEFAULT NULL
 ) ENGINE=MyISAM DEFAULT CHARSET=utf8;

 -- ----------------------------
 -- Records of secret_table
 -- ----------------------------
 INSERT INTO `secret_table` VALUES ('flag_is_here');

 -- ----------------------------
 -- Table structure for student
 -- ----------------------------
 DROP TABLE IF EXISTS `student`;
 CREATE TABLE `student` (
   `id` int(11) NOT NULL AUTO_INCREMENT,
   `name` varchar(255) DEFAULT NULL,
   `class` varchar(255) DEFAULT NULL,
   `age` int(11) DEFAULT NULL,
   `note` varchar(16) DEFAULT '',
   PRIMARY KEY (`id`)
 ) ENGINE=MyISAM AUTO_INCREMENT=9 DEFAULT CHARSET=utf8;

 -- ----------------------------
 -- Records of student
 -- ----------------------------
 INSERT INTO `student` VALUES ('', 'zhangsan', 'nss', '', '');
 INSERT INTO `student` VALUES ('', 'lisi', 'nss', '', '');
 INSERT INTO `student` VALUES ('', 'wangwu', 'nss2', '', '');
 INSERT INTO `student` VALUES ('', 'zhaoliu', 'nss2', '', '');
 INSERT INTO `student` VALUES ('', 'sunqi', 'nss2', '', '');
 INSERT INTO `student` VALUES ('', 'qianba', 'nss', '', '');
 INSERT INTO `student` VALUES ('', 'liujiu', 'nss', '', '');

PHP代码如下：

 <?php
     if (!empty($_POST['st'])) {
         $conn = mysqli_connect("localhost","root","root","test");
         $name = $_POST['name'];
         $sql = "select * from student where name='".$name."';";

         $result = mysqli_query($conn,$sql);

         echo "<table border='1'>
         <tr>
         <th>Id</th>
         <th>Name</th>
         <th>Class</th>
         <th>Age</th>
         <th>Note</th>
         </tr>";

         while($row = mysqli_fetch_array($result)) {
             echo "<tr>";
             echo "<td>" . $row['id'] . "</td>";
             echo "<td>" . $row['name'] . "</td>";
             echo "<td>" . $row['class'] . "</td>";
             echo "<td>" . $row['age'] . "</td>";
             echo "<td>" . $row['note'] . "</td>";
             echo "</tr>";
         }
         echo "</table>";

         mysqli_close($conn);
     }
 ?>

 <!doctype html>
 <!-- flag in SQL -->
 <form action="" method="POST">
     <input type="text" placeholder="Input A Name" name="name" value="">
     <button type="submit" name="st" value='1'>提交</button>
 </form>
 <div style="position: absolute;bottom:0;width:100%;display:flex;flex-direction:column;">
     <hr >
     <a style="align-self:center;" href="./source.txt">Source</a>
 </div>

通过上面的判断我们知道是字符型注入，现在我们需要查出这个数据表的列数来为后面的联合查询做铺垫。

当查询语句最后为where xx 的时候我们使用order by num;

当查询语句最后为limit xx的时候我们使用into @,@;

对于第一种order by num; num代表数值，语义就是以第几列进行排序，当列不存在是就会报错，我们就可以用二分的方法找出正确的列数。如下

对于lisi' order by 6#，lisi是数据库中的正常数据，单引号是为了闭合前面的select语句，#是mysql的单行注释语句，提示报错，换成5则正确，说明该表有5列。

对于limit xx的情况，我会在另一篇额外讲解。

4.确定字段位置

　　当我们获得表的列数之后，就可以通过联合查询获得数据库的信息，但在此之前，我们还需要确定每个字段显示在网页上的位置，方便查看后面的数据。

　　对于例题，我们知道列数为5之后，构造参数lisi' and 1=2 union select 1,2,3,4,5#即可知道每个字段的位置

　　完整的SQL语句就是select * from student where name = ‘lisi’ and 1=2 union select 1,2,3,4,5#';

　　and 1=2是为了避免一些只显示一行的页面过滤掉后面的联合查询的数据，所以让前面的查询条件永远为false，这里你不加这个，但为了方便我们都加上这个。

　　union就是合并操作，完整语义就是使用union合并两个select的结果集，前者为空，后者结果为1，2，3，4，5，所以就会把这些结果合并然后显示到对应的字段。

5.获取数据库信息

　　当列数和字段位置都知道后，我们就可以通过进一步的查询来获取数据库信息了，下面提供一些常用的数据库函数。

　　database()：查看当前数据库名称
　　version()：查看数据库版本信息
　　user()：返回当前数据库连接的用户
　　char()：将ASCII码转化成字符，用于分隔每个字段的内容

　　使用方法就是将函数放在列的位置，例如提交lisi' and 1=2 union select 1,user(),database(),4,5#，结果如下：

　　

　　同样在最开始的时候我们提到了MySql的几个系统表，我们也可以从这些系统表中获取所有表名，列数，字段名等数据。

　　例如查询所有表名，提交lisi' and 1=2 union select 1,2,3,4,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA='test，结果如下

　　

　　第五个位置也就是查询INFORMATION_SCHEMA.TABLES表中数据库为test的所有表名，MySql的表属性会存储在这个表中，因为后面还有一个单引号，所以这里右边就不要单引号了。

　　这样我们就查询到了所有的表名，现在我们发现有个表叫做secret_table，猜测flag隐藏在其中，那么我们再来获取这个表所有的字段名。

　　提交lisi' and 1=2 union select 1,2,3,4,COLUMN_NAME from INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='secret_table。结果如下

　　

　　语义同上，这里就不在做解释了，现在我们可以看到这个表有一个叫fl4g的字段，那flag就藏在这里没错了。

　　接下来要做的就简单了，我们只需要提交lisi' and 1=2 union select 1,2,3,4,fl4g from secret_table#

　　

　　到此我们就找到了最终的flag。

6.总结

　　SQL手工注入的基础知识道驰就结束了，推荐看完了这篇再去学习SQLmap的知识，可以很快上手也可以了解其本质的东西，不推荐直接学习SQLmap成为脚本小子。

　　再梳理一遍上述知识，首先找到注入点，注入点一般是网页的某个提供查询的地方，然后确定是字符型还是数值型，当确定了注入类型之后，就是进行确定一些数据表的信息，方便后面的盲注，最后在从这些注入点得到我们想要的信息。

　　对于CTF题目来说，一般不是让你盲注，会将代码给你，这时候注入点肯定是会有诸多的过滤，这时候我们就不能直接执行上述语句了，我们就需要构造一些语句去绕过执行，但最终要达到的效果和上述内容是一致的。

　　对于更多的SQL注入知识，以及一些绕过技巧我将会在后面的进阶篇详解阐述。