· TA获得超过3.3万个赞

该注入语句要做的就是从数据库查询用户jonnybravo，获取数据后立刻终止查询（利用单引号），之后紧接着一条OR语句，由于这是一条“if状态”查询语句，而且这里给出 “or 1＝1”，表示该查询永远为真。1=1表示获取数据库中的所有记录，之后的;–表示结束查询，告诉数据库当前语句后面没有其它查询语句了。

图1 正常方式查看用户信息
将payload注入后，服务器泄露了数据库中的所有用户信息。如图2所示：

图2 注入payload导致数据库中所有数据泄露
至此，本文向读者演示了一种基本SQL注入，下面笔者用BackTrack和Samurai 等渗透测试发行版中自带的SQLmap工具向读者演示。要使用SQLmap，只需要打开终端，输入SQLmap并回车，如下图所示：

如果读者首次使用SQLmap，不需要什么预先操作。如果已经使用过该工具，需要使用—purge-output选项将之前的输出文件删除，如下图所示：

这里必须在请求头中指定一个IP地址，使KALI linux能与XP正常通信，修改如下图所示：

之后命令就能正常执行了，显示结果如下图所示：

下图是笔者系统中SQLmap正在对指定的请求进行检测时显示的数据库列表：

首先它会确定给定的参数是否可注入。根据本文演示的情况，我们已经设置OWASP mutillidae的安全性为0，因此这里是可注入的，同时SQLmap也检测到后台数据库DBMS可能为MYSQL。

如上图所示，工具识别后台数据库可能为MYSQL，因此提示用户是否跳过其它类型数据库的检测。
“由于本文在演示之前已经知道被检测数据库是MYSQL，因此这里选择跳过对其它类型数据库的检测。”
之后询问用户是否引入（include）测试MYSQL相关的所有payload，这里选择“yes”选项：

测试过一些payloads之后，工具已经识别出GET参数上一个由错误引起的注入问题和一个Boolean类型引起的盲注问题。

之后显示该GET参数username是一个基于MYSQL union（union-based）类型的查询注入点，因此这里跳过其它测试，深入挖掘已经找出的漏洞。

至此，工具已经识别出应该深入挖掘的可能的注入点：

这里-p选项表示要注入的参数，“–current-user“选项表示强制SQLmap查询并显示登录MYSQL数据库系统的当前用户。命令得到输出如下图所示：

同时也可以看到工具也识别出了操作系统名，DBMS服务器以及程序使用的编程语言。
“”当前我们所做的就是向服务器发送请求并接收来自服务器的响应，类似客户端－服务器端模式的交互。我们没有直接与数据库管理系统DBMS交互，但SQLmap可以仍识别这些后台信息。
同时本次与之前演示的SQL注入是不同的。在前一次演示SQL注入中，我们使用的是前缀与后缀，本文不再使用这种方法。之前我们往输入框中输入内容并等待返回到客户端的响应，这样就可以根据这些信息得到切入点。本文我们往输入框输入永远为真的内容，通过它判断应用程序的响应，当作程序返回给我们的信息。“
我们已经给出当前的用户名，位于本机，下面看看它在后台做了什么。前文已经说过，后台是一个if判断语句，它会分析该if查询，检查username为jonnybravo且7333＝7333，之后SQLmap用不同的字符串代替7333，新的请求如下：

如上所示，第一个和最后一个查询请求结果为假，另两个查询请求结果为真，因为当前的username是root@localhost，包含字母l和s，因此这两次查询在查询字母表时会给出包含这两个字母的用户名。

有时可能没有成功获取到密码，只得到一个NULL输出，那是因为系统管理员可能没有为指定的用户设定认证信息。如果用户是在本机测试，默认情况下用户root@localhost是没有密码的，需要使用者自己为该用户设置密码，可以在MySQL的user数据表中看到用户的列表，通过双击password区域来为其添加密码。或者可以直接用下图所示的命令直接更新指定用户的密码：

这里将密码设置为“sysadmin“，这样SQLmap就可以获取到该密码了，如果不设置的话，得到的就是NULL。
通过以上方法，我们不直接与数据库服务器通信，通过SQL注入得到了管理员的登录认证信息。
本文描述的注入方法就是所谓的SQL盲注，这种方法更繁琐，很多情况下比较难以检测和利用。相信读者已经了解传统SQL注入与SQL盲注的不同。在本文所处的背景下，我们只是输入参数，看其是否以传统方式响应，之后凭运气尝试注入，与之前演示的注入完全是不同的方式。