SQL注入的原理和一些练习

原理介绍&＃xff1a;SQL注入演练
SQLi注入平台相关介绍&＃xff1a;SQLi-Labs SQL注入练习平台(第一关)
练习平台&＃xff1a;SQL injection&＃xff0c;自己搭建的dvwa练习平台
同时&＃xff0c;自己也搭建了PHP&＃43;Apache&＃43;Mysql的环境。

一些常见的sql注入的命令使用方法

使用select database();可以获得当前所使用的的数据库名称。
又比如user()返回当前用户信息&＃xff1b;
version()返回当前数据库以及系统版本信息。

熟悉mysql中一些本来就有的数据库&＃xff0c;如information_schema

从mysql的关于TABLE_SCHEMA的sql语句和nformation_schema表这篇文章讲述了这个数据库中的表所包含的内容&＃xff0c;如使用以下命令可以获得当前用户下其他数据库内包含表的情况&＃xff1a;

select table_name from information_schema.tables where table_schema&＃61;&＃39;dvwa&＃39;


其中数据库information_schema有一个名为tables的表&＃xff0c;table_name和table_schema是该表中的数据&＃xff0c;这个tables的表是包含了当前用户所拥有的所有数据库的所有数据&＃xff0c;table_schema包含了当前用户所有的数据库的名字&＃xff0c;如上面查询的就是当前用户的dvwa数据库的内的情况&＃xff0c;teble_name就包含了数据库中所有表的名字。
所以&＃xff0c;当我们知道当前使用的数据库的名字&＃xff0c;我们就可以通过上述命令来获得当前数据库的所有表的名字.
又比如&＃xff0c; 以下命令可以查询表中的列的名字 &＃xff1a;

select column_name from information_schema.columns where table_name&＃61;&＃39;users&＃39;


之后&＃xff0c;你就可以通过select相应的列来获取自己想要的信息。
&＃xff08;以上也是dvwa中sql注入的简单内容&＃xff09;

SQL双重查询注入&＃xff08;错误查询&＃xff09;

主要是使用类似以下语法&＃xff0c;使得多次rand之后的结果与之前的结果有冲突&＃xff0c;键值数量发生变化&＃xff0c;引起相应的错误信息——重复键值&＃xff0c;rand、group、count缺一不可&＃xff0c;参考原理&＃xff1a;双重查询注入原理

select count(*),concat_ws(&＃39;:&＃39;,(select user()),floor(rand()*2)) as a from information_schema.tables group by a;


由于具有随机性&＃xff0c;所以可能会出现如下的错误信息&＃xff1a;

ERROR 1062 (23000): Duplicate entry &＃39;mysite&＃64;localhost:0&＃39; for key &＃39;group_key&＃39;


可以看到&＃xff0c;user()的信息也一并返回了

SQL盲注

select * from mysite where name&＃61;&＃39;1&＃39; and if(ascii(substr(version(),1,1))&＃61;53,sleep(5),1)#


形如上述表达式的式子被称为盲注的一种&＃xff0c;当sql语句执行得到的结果并不能直接观察到时&＃xff0c;可以通过上述的sleep()语句观察延时&＃xff0c;如上述的表达式&＃xff0c;当观测到延时时&＃xff0c;则说明ascii(substr(version(),1,1))&＃61;53&＃xff0c;即mysql版本号的左边第一个字符为ASCII等于53的“5”&＃xff0c;依次类推&＃xff0c;利用二分法可以推出所有的字符。

SQLmap使用方法

或者使用sqlmap实现自动化注入查询

sqlmap -u "http://192.168.50.123/vulnerabilities/sqli/?id&＃61;1&Submit&＃61;Submit#" --COOKIE&＃61;"PHPSESSID&＃61;q78nsagdu2k5bic82749emp9u1;security&＃61;low" --batch -D dvwa -T users -C password --dump


sqlmap使用方法可以通过sqlmap -h来查询&＃xff0c;在上述命令中&＃xff0c;COOKIE是登录信息和dvwa的难度设置等级
注意&＃xff1a;上述sqlmap的使用方法仅限于使用get方式的请求&＃xff0c;当提交的表单信息是以post方式提交时&＃xff0c;需要使用以下方法&＃xff1a;

1. 将浏览器的代理服务器(proxy)设置成localhost:8080,
2. 打开burpsuite将proxy选项卡的开关intercept开关打开
3. 用浏览器打开相应网页&＃xff0c;提交表单&＃xff08;submit&＃xff09;&＃xff0c;此时请求就会发到代理服务器端口上&＃xff0c;因此就会被burpsuite拦截到&＃xff0c;如下所示&＃xff1a;
4. 右键上述界面&＃xff0c;将其保存在系统中&＃xff0c;接着使用以下命令来使用该请求文件&＃xff1a;
   sqlmap -r /root/桌面/sql-injection-medium -p id --batch --dbs
   通过上述命令即可获知当前的数据库信息。