1.获取当前数据库

一、sql…在做题之前先复习了数据库的增删改查然后自己用本地的环境在自己建的库里面进行了sql语句的测试主要是回顾了一下sql注入联合注入查询的语句和sql注入的一般做题步骤。

1.获取当前数据库

SQL注入是一种安全漏洞它允许攻击者通过在应用程序的输入中插入或者操作SQL命令来改变后端数据库的查询和操作。

SQL注入的主要原因是代码中直接将用户输入与SQL命令拼接在一起没有进行适当的验证或清理导致输入可以被解释为SQL的一部分而不是数据。

攻击者通过将恶意的

Sql

服务器上解析执行进行的攻击实现无账号登录甚至篡改数据库等它是目前黑客对数据库进行攻击的最常用手段之一。

布尔型盲注根据返回页面判断条件真假

select语句其次是将联合语句与用户输入相结合让联合语句能够在服务器上执行实现我们对数据的查询与获取在查询的过程中页面只会呈现数据中的一行数据这时候就得不到我们要的数据此时要用-将前面的注释掉也可以把-1理解为空字符那么他就会执行后面的联合语句最后实现注入

代码审计

include(../sql-connections/sql-connect.php);

//这行代码引入了位于上级目录sql-connections下的sql-connect.php文件这个文件通常包含了数据库连接所需的参数和函数。

error_reporting(0);

函数将ID信息追加到一个名为result.txt的文本文件中。

//

connectivity

//构建SQL查询语句用于从users表中检索与给定ID匹配的用户记录。

//使用mysql_query函数执行SQL查询并将结果存储在$result中。

$row

//从查询结果中获取一行数据并将其存储在$row数组中。

if($row){echo

font

#FFFF00;print_r(mysql_error());echo

/font;

//如果$row不为空即找到了匹配的记录则输出用户名和密码否则输出MySQL错误信息。

else

echo

总体来说这段代码的目的是从数据库中检索与给定ID匹配的用户信息并将结果或错误信息显示在页面上。

方法一

1,2,group_concat(username,id,password)

from

利用数据库在执行错误的sql语句时会返回相应的错误信息这些错误信息可以帮助攻击者了解数据库的结构和内容因为想要的信息会跟着报错的信息一起出现

代码审计

include(../sql-connections/sql-connect.php);//

关闭错误报告不推荐在开发环境中使用

color#FFFF00;print_r(mysql_error());

MySQL

(updatexml(1,concat(~,database()),3))--

4.判断表

布尔是一种类型核心是在于判断正确与否。

布尔就是指这个页面有回显但是不会显示具体内容只会显示语句是否正常执行

代码审计

include(../sql-connections/sql-connect.php);//

关闭错误报告不建议在生产环境中这么做

将连接参数记录到文件中$fpfopen(result.txt,a);fwrite($fp,ID:.$id.\n);fclose($fp);//

构造SQL查询语句$sqlSELECT

注意这里使用了mysql_*系列函数这是PHP的废弃函数应使用mysqli_*或PDO$resultmysql_query($sql);//

获取查询结果$row

1.在测试的过程中发现不会有报错信息这个也从源代码中体现了使用布尔盲注判断出为字符型注入且由源代码可得闭合方式为单引号

2.判断字段数

4.知道了数据库的长度现在要来判断数据库的名称得到数据库名字为security

?id1

7.判断第一个表的名称为emails剩下的表名都是以此类推得到最后的表为users

and

10.爆第一个列的列名得到第一列为id其他的两个也是以此类推分别得到username,password

and

时间注入和布尔盲注两种没有多大差别只不过时间盲注多了if函数和sleep()函数。

sleep函数是令来控制响应时间的sleep(5)就是令页面等5秒后再响应

if函数(条件条件成功返回结果条件失败返回结果)if(a,sleep(10),1)如果a结果是真的那么执行sleep(10)页面延迟10秒如果a的结果是假执行1页面不延迟。

通过页面时间来判断出id参数是单引号字符串。

先进行分析:

分析代码可得:这段代码与上一个代码不一样的地方在else查询到数据与没有查到都是一样的回显由此也可以知道页面都只有一种响应结果的原因以及使用时间盲注的原因

方法一

2.接下来与布尔盲注差不多判断数据库长度判断数据库的名称.......

判断数据库名长度

database()),1,1))115,sleep(5),1)--

?id1

0,1),3,1))101,1,sleep(5))–-.....

?id1

时间盲注和布尔盲注的其他方法可参考SQL注入的相关例题ctfhub_sql注入练习-CSDN博客

(5)堆叠注入(less-38)

第38关的代码与之前的代码的不同之处主要在于出现了mysqli_multi_query()函数mysqli_multi_query()函数支持同时执行多条SQL语句‌而mysqli_query()函数一次只能执行一条SQL语句。

‌由此可见可以使用堆叠注入

方法一

2.这里根据前面的方法可以知道相关的数据使用堆叠注入实现插入用户

http://sql/Less-38/?id-1;insert

into

table_name(column_name_1,column_name_2,column_name_3)

value(value_1,value_2,value_3);

#删除数据

资料https://www.cnblogs.com/backlion/p/9721687.html

(6)sql注入写马(less-7)

第七关的源代码与他之前的关卡的代码类似只是在第七关中出现了outfile在这里先了解几个函数

into

outfile()load_file()详细的函数解释可以去这个网站看https://www.cnblogs.com/7-58/p/14101610.html

方法一

我们可以选择basedir和datadir来获取MYSQL的安装路径和数据路径。

然后利用outfile和load_file()函数我们可以将查询结果写入文件并读取文件内容。

本题的路径为D:\phpstudy\phpstudy_pro\WWW\sqli-labs-master\Less-7

4.用into

D:\\phpstudy\\phpstudy_pro\\WWW\\sqli-labs-master\\Less-7\\shell.php--

5.使用蚁剑连接

一般来说比较常见的请求头注入包括User-Agent注入Referer注入Cookie注入

代码审计

2.使用bp抓包修改cookie部分判断出为字符型注入且为单引号闭合

and

updatexml(1,concat(~,database()),3)--

4.判断表

由于这题是post请求所以先使用burp进行抓包然后将数据包存入txt文件中打包

用-r

D:\phpstudy\phpstudy_pro\WWW\sqli-labs-master

\Less-20\1.txt

D:\phpstudy\phpstudy_pro\WWW\sqli-labs-master\Less-20\1.txt

security

D:\phpstudy\phpstudy_pro\WWW\sqli-labs-master\Less-20\1.txt

security