sql-labs-less1/2|SQL注入
前言:
此系类文章为SQL注入讲解,在本地搭建sql-labs环境进行sql注入,我也是刚开始学sql注入,本篇文章为sql-labs前两关注入讲解,后面的会在学过以后陆续发布,写此系类文章是为了以后方便回顾,也希望能够帮到大家,如果有不正确的地方欢迎指正,由于讲解比较详细,操作过程截图比较多,全文比较干,大家谅解、感谢支持。
所需环境:
phpstudy,sql-labs
工具:
hackbar,可以不用这个工具,只是为了方便一点,我用的是免费版的。
关卡:
Less-1、Less-2
正文:
Less-1:
话不多说,直接看图:
直接在地址栏url注入,我为了方便使用hackbar,注入id=1测试:
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
echo "<hr/>";
echo $sql;
echo "<hr/>";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}
?>
</font> </div></br></br></br><center>
<img src="../images/Less-1.jpg" /></center>
</body>
</html>图2为sql-labs less1部分源码,可以看到我在源码sql语句下面在浏览器输出了sql语句,这样看起来会更明白,注入id=1后正确显示,然后测试id=1’ ,注意这里多了一个单引号:
根据报错信息和sql语句可以看出是因为单引号没有闭合,我们在后面加入注释–+,如果不加上加号依然不能注释后面的limit语句,+在后端会变成空格,这样连起来就可以起到注释作用:
接下来使用order by依次猜测有多少字段(order by作用可以百度),http://localhost/sql-labs/Less-1/?id=1’ order by 1/2/3–+测试到第四个四段就不行了,所以只有三个字段,然后查看字段信息:
这里注意,使用union(union为拼接两个不同的操作)以后前面的id的值要为不存在的,因为后面limit语句只显示一个字段,如果前面的id为正确的就会显示第一个结果,可以看到,第一个字段没有显示出来,不可用,可以在2,3任意字段执行sql命令,我们来查看当前数据库信息:
成功得到数据库security,接下来就可以查看数据库里面的表信息,这里要使用group_concat函数连接字符串,因为查询出来的是多个字符串,而浏览器只显示一个字段,所以要拼接在一起:
这里面的table_name、table_schema都是数据库的信息表information_schema里面的,具体信息请自行百度,可以看到已经查询出来了security数据库里面的表,flag表是以前大佬帮我搭环境的时候给我创建的,查询到flag里面的信息即可,当然大家查询其他信息方法都是一样的,接下来查看flag表里面的字段名:
可以看到flag表里面的字段名也是flag,这里用到的查询语句同上一步都为information_schema里面的信息,现在知道表名字段名以后直接select 字段名 from 表名就可以了:
成功得到所有信息,至此sql注入成功。
Less-2:
第二关和第一关几乎一样,只是id那里没有了单引号,大家看源码:
所以这一关不用在添加单引号,所有命令都为第一管去掉单引号即可,再次感谢支持!