ctfhub-web-整数型SQL注入

本文主要是介绍ctfhub-web-整数型SQL注入，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

语句初识解释

?id=1 and 1=1 ?id=1 and 1=2

‘？’是传值的意思，如果后台没有过滤，and 1=1就会被带入后台SQL语句当中去进行查询，‘and’是并列与关系，必须左右两边都为真才能有返回值，如果出现 ?id=1 and 1=2这种错误的语法就会报错，可以用这种方式来判断SQL注入类型

--+

’--‘在SQL语句中起着注释的作用，能将后面的语句注释掉，’+‘则代表空格，但是必须两者同时出现，才有注释作用，单独的’--‘不能起到注释作用

解题步骤

1.题目已经说明是整数型注入，直接查看字段数量，从order by 1开始直到order by 3，无正常回显，说明一共有两个字段

order by

order by语句用于根据指定的列进行排序，指定的列值也可以为数据所在的列数，但取的数字不可超过原有的列数，否则会报错，所以可以利用到查询中来，试探一共包含多少个字段

2.直到有两个字段后进行union联合查询在url中输入 union select 1,2

union联合查询

union联合查询的作用

将union左右两边的select查询数据合并起来生成一个新的查询结果集，union联合查询语句是为了，判断SQL语句中哪个地方可以被代替，代替的地方是可以在网页上显示出来的。在本次注入语句select1,2中的1和2都可以被代替，我们就可以通过一些SQL语句或函数来代替1或2的位置，让我们需要查询的信息显示到网页上。

select * from 表名 [where 条件]
union
select * from 表名 [where 条件]

合并查询数据后，因为页面只显示第一行的数据，为了让我们自定义的SQL语句显示到网页上，让前面的参数查不出来，所以将id=1改为id=-1（不存在的一个字段，查询出来结果为空，字段2代替了字段1的位置，就只会显示字段2查询出来的内容）

3.成功回显后，将2替换为database（）查看使用数据库名称，得知数据库叫sqli

4.查看数据库sqli中的所有表，找到flag相关表

group_concat

concat函数时将指定查询到的结果拼接之后以一列的形式列举出来，多个数据之间用逗号隔开，但是各个数据之间没有间距，空格需要自己添加并用单引号括起来。

而group_concat函数是用来将查询到的结果进行合并成一行，合并的结果以逗号隔开

information_schema库是mysql自带的一个库，我们常关注库中的schemata、tables、colums三个表，它们分别存储这整个数据库管理系统的所有数据库信息、表信息和字段信息，schemata表中，通过schema_name 字段获取所有的数据库名；在tables表中，通过table_name、table_schema可以获取所有表名与其对应的数据库名；在colums表中，通过colums、table_name、table_schema可以获取所有的字段名以及其所属表与数据库。