SQL注入能做什么

在《SQL注入基础》一文介绍了SQL注入的基本原理和实验方法,那接下来就要问一下,SQL注入到底能什么?

估计很多朋友会这样认为:利用SQL注入最多只能获取当前表中的所有记录,但无法获取其它表的内容,事实果真的如此?

正像小偷从窗户爬进入房间,难道他只能在房间内偷东西?非也,他可以将整个房子洗劫一空。

不相信?那来看看如何对MySQL进行爆库。

如何将MySQL数据库连根拔起

如果作为一名黑客,根本无法知道系统中有哪些表,表中有哪些字段,那如何将数据库的内容窃取出来呢?

答案是MySQL数据有一个元数据库,它会描述整个MySQL服务器有哪些数据库,每个数据有哪些表,每个表有哪些字段,这就相当于把自家房子有什么宝贝统统告诉别人了。

那这个元数据库就一个根,只要抓住了这根据,沿着:

元数据库 -> 数据库列表->表列表->字段列表->表内容

这个树状分层的检索顺序,就可以将整个数据库内容全部窃取出来,下面就跟大家演示。

元数据库在哪

刚才谈到MySQL里面有个元数据库,但它在藏在哪里呢?别急,请登录MySQL数据库,并运行show databases;命令,就可以获取所有数据库列表,如下图所示:

图片中标红色的数据库information_schema就是元数据库,里面应用尽有,可以尽情开拓处女地。

进入information_schema数据库,看看里面有哪些数据表,使用如下命令:

我们所说的根就在SCHEMATA表,它里面描述了整个MySQL 下所有数据库。 
然后再利用TABLES表,则可以看到数据下的表名,再利用COLUMNS表,则可以看到每个表下的字段名。下面依次展示如何查看这些数据。

查看所有数据库

SCHEMATA表描述所有数据库信息,只需标准的select语句:

SELECT * FROM information_schema.SCHEMATA

即可将该表的内容全部显示出来:

请注意,从这里开始不再入进入某个数据库之后再访问表,而是采用<数据库名>.<表名>的标准格式来访问某个数据库下的表。上述的information_schema.SCHEMATA表示查询information_schema数据库下的SCHEMATA表。

图中SCHEMA_NAME字段为数据库名,从查询结果可以知该MySQL服务器有5个数据库。

查看表

有了数据库列表,就可以进一步查看某个数据库下所有表(当前也可以查看所有数据库下的所有表)。比如查看lyt_test数据库下的所有表,使用SQL语句:

SELECT TABLE_SCHEMA, TABLE_NAME FROM information_schema.TABLES WHERE TABLE_SCHEMA = 'lyt_test'

查询结果如下图所示:

TABLE_NAME表示表名,左列TABLE_SCHEMA为数据库名,由于lyt_test数据库下只有accounts这个表,所以输出结果只有一列。

查看表中的所有字段

然后使用COLUMNS表可以查询表的所有字段信息,使用下面SQL语句可查询accounts表的所有字段名类型: 
SELECT TABLE_NAME, COLUMN_NAME, DATA_TYPE FROM information_schema.COLUMNS WHERE TABLE_NAME = 'accounts'

查询出accounts表所有字段和类型信息如下图所示:

查看表中的所有记录

查看accounts表中的内容更是小菜一碟了,学过数据库的都知道SQL写成下面这样: 
SELECT * FROM lyt_test.accounts

结果如下: 

好了,到这里相信你已经学习如何从MySQL中窃取所有数据库内容了。

寻找个支点

伟大的物理学家阿某米德曾经说过:

给我一个支点,我可以撬起整个地球

前面从技术上介绍了在不知道MySQL数据如何设计的情况下,通过元数据库informatio_schema,一步步将整个数据库内容窃取出来。

那么如何利用SQL注入来窃取整个数据库呢?,这就是要寻找的支点

还记得上篇文章介绍的实验吗?利用SQL注入技术,可以将userinfo表中的所有数据都窃取出来。但该SQL能注入的部分只是WHERE部分,而SELECT ... FROM ...部分中的字段和表名却是无法注入的,那怎么可以将其它表的数据窃取出来呢?

这个密秘就就是利用UNION语句。是的,标准SQL提供了UNION语句,可以将两个SELECT结果联合起来(即对两个SELECT结果作并集)。UNION语句的语法如下:

SELECT column_name1(s) FROM table_name1
UNION
SELECT column_name2(s) FROM table_name2
  • 1
  • 2
  • 3
  • 1
  • 2
  • 3

唯一的要求就是两个SELECT语句的列数要相等。

有了UNION语句,就可以将SELECT * from userinfo WHERE ...和 SELECT * from lyt_test.accounts两个结果联合起来。

等等,作为一个黑客,没有拿到源代码,怎么知道SELECT * from userinfo查询结果有多少列呢? 
显然是不知道的,但可通过试探方法拿到这个数值:依次注入UNION SELECT 1, ... N这样的语句来试探。先尝试SELECT 1, 再SELECT 1,2, 然后SELECT 1,2,3,直到不运行出错为止。可以先在MySQL上测试一下,结果下图所示:

从上图测试结果可知UNION后面跟的SELECT结果必须是两列,否则会出错。

对了,还记得注入时WHERE后是两个条件吗?(name = ‘name′ANDpasswd=′passswd ‘),在实际代码中可能会是更复杂的条件,甚至黑客也很难猜测的条件,那这个UNION语然该插在那个变量呢?使得整个SQL还是个合法的查询语句。

最好安全的做法是将UNION SELECT ...注入到第一个变量中,然后注入的尾部增加一个注释符号,将后的语句注释掉,就不会考虑后面的是什么语句了。在MySQL数据库,使用#符号即可实现注释。

说了这么多,可以做一下注入测试,验证一下:

username文本框中输入:ivan' union select 1,2#,如下图:

login 按钮后的运行结果如下图所示:

请留注下红框中生成的SQL语句:

SELECT * FROM userinfo WHERE name = ‘ivan’ union select 1,2# AND passwd = ”

#将后面的SQL内容注释掉了,MySQL解析时直接将它干掉,相当于下面的SQL语句:

SELECT * FROM userinfo WHERE name = ‘ivan’ union select 1,2

select 1, 2的结果是常数行, 在后面的例中尝试从表中查询数据,而不完全是常数行。

好了 ,UNION#就是撬动爆库的那个支点

实践爆库

万事俱备,只欠东风。那就让吹起东风吹起来吧,吹得更猛烈一些。

以下实验都是基于《SQL注入基础》一文开发的数据库应用demo来实验的,如果读者没有SQL注入的基础知识,建议看看这篇文章;同时建议SQL注入的初学者也按此文搭建相同的数据应用demo来实验测试一把。

爆数据库列表

username中注入:

ivan’ union select 1,SCHEMA_NAME from information_schema.SCHEMATA #

即可查询所有数据库列表如下图:

图示标红色框的就是数据库列表。我们在UNION SELECT ...语句中第一列为常数1,第二列是information_schema.SCHEMATA表中SCHEMA_NAME这一列,它刚好就是数据库名。

爆某个数据库下的所有表名

为了精减输出结果,这里只爆lyt_test数据库下的表名,往username中注入:

ivan’ union select 1,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA = ‘lyt_test’#

即可查询得lyt_test数据库下所有表,如下图所示:

不同的地方是lyt_test数据库下只有accounts一个表,其它与爆数据库原理相同,不作过多解释。

爆某个表下所有字段

这里只爆accounts表下的所有字段,往username中注入:

ivan’ union select 1, COLUMN_NAME from information_schema.COLUMNS WHERE TABLE_NAME = ‘accounts’ #

结果如下图所示:

标红的是字段名。那么类型呢? 修改注入内容为:

ivan’ union select 1, DATA_TYPE from information_schema.COLUMNS WHERE TABLE_NAME = ‘accounts’ #

就可以获取字段类型信息,如下图所示:

标红色的分别是前面两个字段的类型,即ID类型为charbalance类型为float

从上面可以发现规律:每个注入可以获取到目标表中的每个列表数据, 如果表中有N表,注入N次可以获取完整的表信息。

爆某个表下的所有记录

这里就不写的,读者可以自己练习一下,原来跟上面完全一样。

总结

原来SQL注入爆数据库是这么容易的,但有几个必备条件

  1. MySQL中出现一个元数据库information_schema,它描述整个MySQL服务器所有数据库->表->字段关系树
  2. SQL语言提供了UNION语句,可以新增窃取其它数据合并到被注入SELECT结果
  3. MySQL对SQL做扩展,提供注释符#,让注入可以为所欲为

爆库的精髓掌握了吗?快来试试。

注:本文转自http://blog.csdn.net/linyt/article/details/52966555#

如何利用sql注入进行爆库的更多相关文章

  1. 利用SQL注入漏洞登录后台的实现方法

    利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...

  2. [视频]K8飞刀 SQL注入点脱库演示教程

    K8飞刀 SQL注入点脱库演示动画教程 链接:https://pan.baidu.com/s/15gLTxiv9v1Te5QNFZnfV4A 提取码:eaa1

  3. KPPW2.5 漏洞利用--SQL注入

    KPPW2.5 漏洞利用--SQL注入 SQL注入--布尔型盲注 环境搭建 1,集成环境简单方便,如wamp,phpstudy.... 2,KPPW v2.2源码一份(文末有分享)放到WWW目录下面 ...

  4. WEB 安全之 SQL注入 < 二 > 暴库

    SQL注入是一个比较"古老"的话题,虽然现在存在这种漏洞的站点比较少了,我们还是有必要了解一下它的危害,及其常用的手段,知己知彼方能百战不殆.进攻与防守相当于矛和盾的关系,我们如果 ...

  5. 利用SQL注入漏洞登录后台

    所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询 ...

  6. 利用SQL注入漏洞登录后台的实现方法 。。。。转载

    一.SQL注入的步骤 a) 寻找注入点(如:登录界面.留言板等) b) 用户自己构造SQL语句(如:' or 1=1#,后面会讲解) c) 将sql语句发送给数据库管理系统(DBMS) d) DBMS ...

  7. 利用sql注入

    INSERT查询中实现注入攻击 1. 思路就是在含有insert语句的页面插入目标值信息.经常包含的是一个子查询. 2. 注意在insert过程中,左边的注入点和右边的注入点会有不同 3. 在mysq ...

  8. WEB安全--高级sql注入,爆错注入,布尔盲注,时间盲注

    1.爆错注入 什么情况想能使用报错注入------------页面返回连接错误信息 常用函数 updatexml()if...floorextractvalue updatexml(,concat() ...

  9. C# 利用*.SQL文件自动建库建表等的类

    /// <summary> /// 自动建库建表 /// </summary> public class OperationSqlFile { SqlConnection sq ...

随机推荐

  1. 云计算VDI相关职位招聘

    中电科华云信息技术有限公司是中国优秀的云计算方案提供商和服务商之中的一个.公司依托中国电子科技集团公司,实施"自主.可信.定制.服务"的差异化发展战略,以实现自主创新的技术研发.自 ...

  2. Java基础笔记(一)

    本文主要是我在看<疯狂Java讲义>时的读书笔记,阅读的比较仓促,就用 markdown 写了个概要. 第一章 Java概述 Java SE:(Java Platform, Standar ...

  3. react-color 颜色选择器组件

    demo链接:github demo 安装: npm install react-color --save 有一下几种类型组件 <AlphaPicker /> <BlockPicke ...

  4. MySQL-数据表锁定

    MySQL允许客户端会话明确获取表锁,以防止其他会话在特定时间段内访问表.客户端会话只能为自己获取或释放表锁.它不能获取或释放其他会话的表锁. 创建一个数据表: CREATE DATABASE IF ...

  5. javascript总结02

    1 如何打开和关闭一个新的窗口? 2 Window对象的哪个属性能返回上一个浏览页面? 3 一次或多次执行一段程序的函数是什么? 定时函数 4 如何查找并访问节点? 5 给表格新增行和单元格的方法分别 ...

  6. win下IE设置

    当win7系统时需要升级IE为11版本,需要先安装sp1版本补丁,再装IE11,若还是装不了,可借助第三方平台(电脑管家等)升级安装.或 更新系统再安装IE11 https://jingyan.bai ...

  7. 关于Android热点模式下的UDP广播

    最近尝试让easylink3在热点模式下连接,发现用普通的广播地址会报错,Network unreachable 尝试按照stackoverflow上的方法: public static int ge ...

  8. leetcode 690. Employee Importance——本质上就是tree的DFS和BFS

    You are given a data structure of employee information, which includes the employee's unique id, his ...

  9. expandableListview的默认箭头箭头怎样移到右边

    1 . ExpandableListView布局:<ExpandableListView    android:id="@+id/bbs_category_expandable_lis ...

  10. luogu3899谈笑风生

    https://www.zybuluo.com/ysner/note/1298140 题面 设\(T\)为一棵有根树,我们做如下的定义: 设\(a\)和\(b\)为\(T\)中的两个不同节点.如果\( ...