联合注入的 一些小心得

一、

1、首先贴一个参考博客https://blog.csdn.net/u012763794/article/details/51207833

2、关于联合注入的很多细节博客中已经提及,这里只是说一下所需要的一些步骤

注:以下实验来自bugku 中ctf中的成绩单一题

二、首先判断数据库中是字符型或者是数字型。

(1)使用单引号,双引号判断,id=1'或者id=1"

(2)数字回显比如id=1和id=2-1两者返回页面信息相比较

三、其次使用order by命令来判断使用整个数据表中的字段如:id=1' order by 4 #

(1)先说说order by 原理吧,他主要是将查询到的内容按照一定顺序排列,而我们这里的id=1’ order by 4 则就是按照第四列的顺序进行排列,那么你可以试想,当我们这个列数取得很大,超出他的列数范围的时候,那这时他返回的页面肯定是错误的,所以我们就可以不断尝试,一直到达到返回正确和错误的临界。什么意思呢?就是说order by 4 显示结果为正确,order by 5 显示结果为错误,那么试想,他的列数为多少,那肯定是4啊!!!

(1)根据上面的测试我们发现这是一个字符型的注入,当他是一个字符型的注入时候我们可以要把其中的单引号闭合,

以免在执行order by的时候受到影响,那当我们尝试闭合时候其中有两种注释后面单引号的方式,--+(两个减号代表注释,加号代表空格),或者使用#号注释,你可以两种都尝试一下,看看id=1' # id=1‘ --+两种哪个页面返回正确

(2)当我们判断出哪种注释能用的时候我们开始要去使用order by 可以先随机选一个,我一般选5 ,id=1' order by 5#,

然后看页面的返回状态,返回不正确,可以采用二分法先取3看看,然后再看返回结果,发现正确,那结果肯定在3和5之间

那我们再试试id=1’ order by 4 # 查看他返回状态,发现正确,这就是我们想要的结果,id=1‘ order by 4#

四、知道有多少字段之后开始使用union语句爆出相应的数据库名,表名,以及列名,列的数据

这是整个联合查询的核心,首先使用payload id=-1 union select 1,2,3,database()#

说明:id=-1 是因为查询的时候mysql的函数只会执行一次所以只能让id前面的参数为错,

所以可以让id=0 或者字符串之类的,这个在文章开始的博客里面有说明

select 1,2,3, 是因为我使用order by 知道它的字段数为4 后面的#用来注释

联合注入的 一些小心得_第1张图片

如图得到数据库名字

那么从上图我们可以看到,图中有1,2,3,还有一个函数database()的返回值,那么其实就是因为我们有四个字段,所以作为第四个字段返回显示到页面,那么同样我们可以让他在其他三个字段显示结果

联合注入的 一些小心得_第2张图片

(2)、得到数据库名字之后再将爆破表名使用payload:

id=-1’ union select 1,2,3,table_name from information_schema.tables where table_schema='skctf_flag' limit 0,1#

联合注入的 一些小心得_第3张图片

说明:information_schema在一开始的博客中又说明,可以自行查看,其中limit 0,1代表一行一行地爆表也可在博客中看到说明

(3)得到表名爆破列名 使用payload:

id=-1' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name='fl4g' limit 0,1#

联合注入的 一些小心得_第4张图片

说明:本次的payload使用了group_concat字符串连接函数,说明同样在开头的博客中有

(4)、得到列名,就可以去爆列的值payload:

id=-1' union select 1,2,3,concat_ws(char(32,58,32),skctf_flag) from fl4g #

如果想要将内容一次性全部加载可以使用

id=-1' union select 1,2,3,group_concat(concat_ws(char(32,58,32),skctf_flag)) from fl4g #

联合注入的 一些小心得_第5张图片

 

说明:concat_ws函数同样是连接字符串,concat_ws()函数用于在拼接的时候指定分隔符,payload中的char(32,58,32)就是ASCII码值,大家可以自行准备一个mysql手册,以便随时查阅相关函数的特性。

 

记一次简单的ctf题目所获心得。

 

你可能感兴趣的:(联合注入的 一些小心得)