SQLILABS靶场攻略向
Less-1
-
进入靶场,黑漆漆一片呀,没有登录框,网址传参测试了
-
先来测试是什么类型的sql注入,简单来说就是确定时字符型还是数字型
-
火狐打开hackbar
-
先来个id=1‘ 浅尝一下
报错,单引号闭合出错,说明字符型
-
那就先来确定字段数量吧:
-
确定数据库:
拿到数据库security
-
确定表名:
拿到表名:emails,referers,uagents,users,可以确定users为敏感表
-
确定字段名
字段名已经全部拿到,username和password就是我们的目标了
-
最后拿数据了!
-
表数据全部拿到,过关!
Less02
- 确定类型,输入1’ --+ 报错多了一个‘ ,输入 1 --+ 没有报错,可以判定是数字型
- 后续流程同上了
Less03
- 判断类型
- 这里看到输入-1’ 后报错信息带有 ) ,那就说明源代码sql语句带有了()用来防测试,所以这个地方还需要成功闭合()才可以
- 拿到闭合,接下来就同上了
Less04
- 判定类型
根据上面来看,这次换双引号了,其余应该没变,直接一步到位试一下
Less05/Less06
- 两关一样,一起了;判断类型,上来直接用上一关的sql测试了下显示You are in … 这次不会显了,enmmmmm
- 这应该要延时注入了,但是那个手写好麻烦,那就上神器呗,sqlmap!!
- 果然工具不需要脑子,哈哈哈,拿到security,其实这里可以一步到位,还是按照步骤练习一下吧
- 拿到表,下来就是字段了
- 拿数据:
Less07
1、输入?id=1 时,页面没有报错,输入?id=1’ 时,页面报错,但是没有回显,说明sql中有单引号作为闭环
2、?id=1’ --+ 加入注释,发现依然报错,说明除了单引号还有别的符号作为闭环,测试括号
3、确定结果,此时页面给出提示,Use Outfile ,看来是需要导出了
4、果然没有反应!
5、导出联合查询结果,虽然报错,但是文件还是导出来了
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AEcdnJDq-1664212615469)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220927000437351.png)]
6、既然测试没有问题,那就上传一句话木马到服务器路径
成功上传木马!
7、接下来只需要连接进去,就可以为所欲为了~~~~!!!!
Less8
1、判断类型
2、加注释后,页面显示正常,初步可以判断为 单引号作为回路
3、页面没有报错但是无任何回显和提示
4、应该是需要延时注入,只能上sqlmap了
5、爆出数据库 security
6、其余与上面类似,省略,直接爆出数据
Less9
1、判断类型,尝试id=1、id=1’、id=1“ 页面均正常显示
2、延时注入测试 id=1’ and sleep(10) --+
页面明显延缓,所以判定为单引号闭合回路
3、延时注入,还是sqlmap ,不再贴图
Less10
1、判断类型 和Less9一样,只是这次换id=1“ 双引号闭合了
明显的延迟,确定双引号闭合环路
2、延时注入,sqlmap , 略
Less11
1、这次终于换页面了,带有登录框,先去尝试post注入
2、尝试几次后发现 admin’ or ‘1’='1# 显示出的是
3、那么此处可以采用注入 1admin’ union select 1,database() #
4、得到数据库securit ,爆出表1admin’ union select 1,group_concat(table_name) from information_schema.tables where table_schema=‘security’ #
5、发现敏感表 users,爆出字段1admin’ union select 1,group_concat(column_name) from information_schema.columns where table_name=‘users’ #
6、最后爆出用户名和密码
1admin’ union select group_concat(username),group_concat(password) from users #