利用SQL注入

1. 识别数据库

要想成功发动SQL注入攻击，最重要的是知道应用正在使用的DBMS。
线索：

ASP或者.NET应用通常使用Microsoft SQL Server
PHP应用很可能使用Mysql
JAVA则可能是Oracle或者Mysql
安装IIS（Internet信息服务器）作为服务器平台标志着应用基于Windows，后台数据库很可能是SQL Server
运行Apache和PHP的Linux服务器则很可能使用Mysql等开源数据库

识别数据库的最好方法很大程度上取决于是否处于盲态。

非盲跟踪

• 通过报错信息
• 通过特定查询返回DBMS版本信息

盲跟踪

基于不同DBMS所使用的SQL“方言”上的细微差异
从字符串推断DBMS版本

从数字函数推断DBMS版本

有一个有趣的技巧 可以确定MySQL的准确版本
对于MySQL,有三种不同方法来包含注释：
1.“#”字符

2. "-- "(不要忘记两个减号后的空格)
3. "/* /"包含注释
   对于第三种方法，如果在注释开头部分添加一个感叹号并在后面跟上数据库版本编号，那么剩余注释将会被解释为代码，只要安装的数据库版本大于或者等于注释中的版本*，代码就会被执行。

SELECT 1 /*!40119 + 1*/
上述语句将返回两种可能结果：

• 2（MySQL版本大于40019）
• 1 （其他情况）

2.使用UNION查询语句提取数据

可以使用 UNION 语句连接两条或多条SELECT语句的查询结果

SELECT column_1,column_2,column_3... FROM table_1
UNION
SELECT column_1,column_2,column_3... FROM table_2

(上述语句自动去重，可以使用 UNION ALL 语句获取重复的值）
使用 UNION 语句的规则：

• 两个查询结果的列必须相同
• 两个查询结果对应的列必须类型相同或兼容

如果应用只返回几行，需要通过永假式使得原始查询结果为空，让应用返回UNION查询的结果，为了高效，总是还需要通过各种字符串连接函数连接多个结果

匹配列数

• 通过UNION null,null...null, 逐个确定列数（null值可以转换成任何数据类型）
• 通过 order by 语句二分查找到正确的列数（简单高效）
  注意：Oracle无法使用null

匹配数据类型

逐个替换，没什么好说的