笔记 sql-labs(一)
前言
在线靶机地址:https://buuoj.cn/challenges#sqli-labs
less-1
首先说明sql注入的大致步骤:
- 判断注入类型。如整型字符型注入等。
- 判断列数
- 判断数据的回显位
- 构造sql语句
根据题目提示,说明是一个单引号注入题目,构造一个带单引号的语句?id=1',发现数据库报错
通过后面的报错语句1'' LIMIT 0,1的分析,我们的单引号被数据库解析,那么说明我们也可以使用连接查询union插入我们想要查询的语句。
推出数据库的查询的部分语句可能为where id = '$id'LIMIT 0,1,那么通过构造闭合?id=1' [这里添加语句] --+添加自己想要语句,语句后面的--+作用是将后面的其他语句注释掉。
首先是判断字段个数:?id=1' order by 1 --+,页面显示正常,直到尝试?id=1' order by 4 --+发现数据库报错
说明数据库的字段值只有四个。
接下来测试数据的回显位,构造语句?id=' union select 1,2,3 --+,这里需要注意的有,前面id的查询一定是要不存在的,因为数据库只会回显第一条查询的数据,如果第一条语句查询成功则后面union构造的语句就不会显示;union连接查询语句后面查询的字段数需要和前面的字段数相等,详细用法可以自行查询。
执行后页面显示。
说明查询语句的2,3是回显位,之后就可以将查询的语句进行替换。如:
获取数据库版本,数据库路径,当前用户,当前数据库:
?id=' union select 1,concat_ws('_',user(),version(),database()),@@basedir --+
页面显示
利用元数据库来爆表、爆数据
?id=' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
之后大家可以自行发挥。
flag的话我做的题是在ctftraining.flag表中,答案在:?id=' union select 1,flag,3 from ctftraining.flag --+
less-2
第二题看题目名称intiger based知大意,是id的数据类型由字符型变成了数字类型,这次就不使用单引号直接构造语句,和第一题差不多。
less-3
看标题Single quotes with twist,是在前面题的基础上加上了括号包裹,所以语句就成了where id = ('id')所以我们闭合的方式也要改变。附源码
less-4
标题Double Quotes,说明是个引号注入,把前面题的单引号改成双引号构成闭合即可。
less-5
标题Double Injection-Single Quotes,很明显提示是单引号,然后套用前面的方法, 发现这次题目变了,不管输入啥页面只显示一个You are in...........,但是数据库报错还是会显示,只要数据库错误还能显示,我们就可以是用一个新的技术把数据显示在错误信息上。
双查询注入也是我第一次听,贴一个讲大致原理的帖子:点我。
构造语句:
?id=' union select 1,2,3 from (select 1,count(*),concat_ws('____________',floor(rand()*2),concat_ws('********',version(),database()))a from information_schema.tables group by a)b --+
讲一下CONCAT_WS(separator,str1,str2,…)函数的用法:把str1、str2连接起来,并使用separator做分隔符。