1.首先我们应该确定sql注入的类型
利用id=1 and 1=1 和id=1 and 1=2 判断是数字类型注入还是字符型注入,如果两者都可以正常显示界面,则为字符型注入,否则是数字型
两个都正常显示,所以为字符型注入(也可以使用id=2-1,来判断,若是显示与id=1相同,则是数字型注入,若是和id=2相同则是字符型)
2.判断完类型之后就要去找闭合方式
这一步主要是利用 ‘(单引号)和 “(双引号)来和数据库的指令中的单双引号引号形成闭合,方便我们注入自己的代码,因为不管是在指令还是代码中,像引号,括号一类的都是成对存在
我们可以将ip=x 后面添加单引号或者双引号来查看报错
可以看到添加单引号后页面提示,发生了报错
报错原因如图(因为多加了一个单引号,与之前的单引号产生了闭合,从而多出来一个单引号,所以我们需要在id=1’ 后加上指令,从而避免出现这种情况)
3.获取数据库,表名,列名,因为我们想要拿到管理员的账号密码,所以我们需要找到账号密码的存放位置,而在这之前,我们就要想办法找到表名,列名,而获取的的方法就是 猜
这里可以看到没有报错,而是提示列不同(最后实际是 --空格,用来忽略之后的所有指令,防止数据库中代码对我们的指令有影响,但是由于是ul,所以空格变+)
然后我们继续猜,但是要动脑子去猜,如果说他有几十列,我们不可能挨个去试,所以人还是要多读书,此时,我们就可以采取二分法,我们往大的猜,一半一半的缩小范围,专业又高效,但是这里并不是直接去更改select后的数字,而是利用数据库本身的代码order by(排序)去钻个空子
下面依次是对第十列,第五列和第三列进行排序,可以看到第三列正常显示,由此可以判断出这个表有三列
利用这个我们直接查询1,2,3列
到那时我们发现前端的显示没有任何变化,原因是在mysql的联合查询中,如果前面条件为真,则后面条件不生效,如果前面条件为假,则后面条件生效,所以此时我们需要更改前方的id=1为id=-1,因为id肯定不存在-1的,这样后面的指令就可以执行
index.php?id=-1' union select 1,2,3--+(也可以将数字换成version(),查询版本号)
通过更改,我们已经拿到了数据库名 security
可以看到security库中包含的内容,其中information为默认数据库包含着该库的所有信息(列,表等),所以我们借用informaton来查询我们需要的信息
group_concat()是mysql的一个分组合并函数,通过这个函数可以把查询出来的表合并到一起现实,如果没有该函数,那么返回的内容如下:
pass: 如果没有该函数,那么查询的内容将是多行,网页上面无法显示完整,故需要使用该函数;
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users';-- + (该指令为查询列信息使用,若是需要表细腻些,更改column为table 即可)
这样我们就拿到一些关键信息,username,password
?id=-1' union select 1,2,group_concat(username,2,password) from users;-- +
到此一切完成
