SQL注入之Less-2

Posted 2021-04-11 WEB安全之路

得到字段总数

在上一篇的最后，已经判断出less-2为数字型注入，后台的SQL语句的写法大致为

可以通过使用order by的语句来判断select所查询字段的数目。

那么payload变为：

当使用order by 4时程序出错，那么select的字段一共是3个。

 

得到显示位

在页面上会显示从select中选取的字段，接下来判断显示的字段是哪几个字段。

使用如下的payload(两者均可)进行判断。

当使用个如上的payload时，页面的显示如下：

显示第2位和第3位的信息

查选库

在知道了显示位之后，接下来就可以通过显示位来显示我们想知道的信息，如数据库的版本，用户信息等等。使用如下的payload就可以知道相关的信息。

数据库的版本信息和当前使用的数据库

那么接下来我们通过这种方式知道数据库中所有的数据库的名称。

payload如下：

查选表名

由于database()返回的就是当前web程序所使用的数据库名，那么我们就利用database()来查询所有的表信息。当然在上一步中。我们也已经知道当前的database就是security。

那么我们构造的payload如下：

 

返回的结果是：

在当前的数据库中存在4张表，分别是emails,referers,uagents,users

查选列名

在知道了表名之后，接下来我们利用information_schema.columns就可以根据表名来获取当前表中所有的字段。

payload如下：

通过这个语句，我们就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password这些字段。

通过上面的payload，我们也同样可以知道在emails,referers,uagents中的字段名称。

但是有的时候后台的代码可能仅用了使用where子句，那么这个时候就无法通过information_schema.coumns来得到列名了，使用exists子句可以进行猜解。假设在我们已经知道了表名的情况下(当然猜解表名也使用通过exists子句来完成)。

猜解的语句如下:

 

主要的语句就是exists(select 需要猜解的列名 fromusers)这种句式。如果在users表中不存在uname列名，则页面不会显示内容或者是直接出现sql的错误语句。

下面这个就是猜解到了users表中存在的字段。

猜测在users表中存在username列，上面的语句程序可以正常第返回结果，那么寿命在users表中确实存在username列名。

脱裤

在知道了当前数据库所有的表名和字段名之后，接下来我们就可以dump数据库中所有的信息了。比如我们下载当前users表中所有的数据。

可以使用如下的payload：

 

可以得到users表中所有的username和password的数据了，通过这种方式也能够得到其他表中的数据了。