当前位置：首页 > news >正文

sqli第一关

news 文章来源：https://blog.csdn.net/qq_52178594/article/details/132799908 2024/11/1 10:21:03

1.在下使用火狐访问sqlilabs靶场并使用burpsuite代理火狐。左为sqlilabs第一关，右为burpsuite。

2.输入?id=1 and 1=1 与?id=1 and 1=2试试

可以看出没有变化哈，明显我们输入的语句被过滤了。在?id=1后面尝试各种字符，发现单引号 ' 包裹后可以绕过。

虽然注入成功了，但是这两种结果还是一样的，说明语句没有被执行并且这是字符型注入。报错提示我们说SQL语法错误，哦，原来是后端代码在注入点后还有个'LIMIT 0,1'，意思就是从你表中的第0个数据开始只读取一个，此处可以使用--+或者%23来注释掉后面的LIMIT 0,1

--起着注释的作用，将后面的语句注释掉，+ 则代表空格，为什么要加一个+而不是单纯的空格呢？因为使用-- （后接一个单纯的空格），在传输过程中空格会被忽略，会导致无法注释，所以在get请求传参注入时才会使用--+的方式来闭合，因为+在SQL语句中会被解释成空格。空格的urlencode编码格式是%20，所以使用--%20也不会报错。

同理#的urlencode编码格式是%23，那为什么不能直接用#而必须要使用urlencode编码格式呢？这个问题问的好，在url解释执行的时候，url中#号是用来指导浏览器动作的，对服务器端无用，所以我们要将#写成%23来完成注入。那为什么有些注入使用了#呢？这个问题问的也很好，说明小伙子你做事细心，根骨清奇。在get请求时是不可以直接使用#的，如果是post请求，则可以直接使用#来进行闭合。常见的就是表单注入，如我们在后台登录框中进行注入。为什么--后面必须要有空格，而#后面就不需要？哈哈哈哈，这个问题问的有点刁钻，果然阁下是人中龙凤，马中赤兔，不鸣则已，一鸣惊人。且容在下细细道来。在使用--注释时，后面有空格才能形成有效的SQL语句，而#后面有没有空格是不做要求的，简单来说就是，#后面有没有无所谓。

成功注释了'LIMIT 0,1'之后，阁下就可以大展身手了。接下来我们使用union联合注入。在注入前我们还需要使用order by来确定表中的列数，为什么我们要确定表中字段的列数呢？这就不得不说联合查询特点：

1、要求多条查询语句的查询列数是一致的
2、要求多条查询语句的查询的每一列的类型和顺序最好一致
3、union关键字默认去重，如果使用union all 可以包含重复项

?id=1' order by 1--+
好，那我们开始构造语句如上。

一直往1后面的数字尝试，终于在4的时候发现了错误，回显说这是一个未知的列，于是我们确定了字段数为3.

从这里我们使用burpsuite来注入，因为后面的语句太长了而且也不习惯用浏览器的插件，不过使用burpsuite注入跟url直接注入是并没有太大区别的。

抓取请求后右键发送到Repeater模块更容易操作。

注意看红框框的地方哈，后面的图就不标啦（单击放大查看图片，单击图片外区域退出，不用谢

骗你的，那种确实比较费眼睛，在下心疼giegie，这种样式怎么样。

虽然图片有点失真，不过您就知足吧。

?id=1' union select 1,2,3--+
如上接下来使用联合查询看看有没有回显位。

咦，发生甚么事了，怎么没有动静。定睛一看原来是后端代码没有执行我们的语句，有什么办法让它不执行前面的id=1转来执行后面我们想要它执行的union select 1,2,3呢？好办，让id=一个不存在的值就OK啦。一般都是使用负数或者较大的数，这里0也可以，但我们就按照习惯使用-1好了。

这个2和3是个是什么意思呢？这是两个回显位啦。喂，能不能讲清楚点？好小子，敢于挑战权威，我欣赏你。返回的结果为2和3，意味着我们可以在2和3的位置输入SQL语句。比如我们试一试查看当前数据库名以及数据库的版本名。

?id=-1' union select 1,database(),version()--+

好，我们知道了当前数据库名为security，数据库的版本为5.5.24。知道了数据库名接下来我们尝试获取表名，只是知道了当前数据库名怎么构造语句来获取表名呢？嘿嘿，小伙子你不用担心这个，在MySQL中，除了自己新建的几个数据库之外，还有自带的四个数据库，名字分别是

information_schema数据库

保存了MySQl服务所有数据库的信息。具体MySQL服务有多少个数据库，各个数据库有哪些表，各个表中的字段是什么数据类型，各个表中有哪些索引，各个数据库要什么权限才能访问。

mysql数据库

这个是mysql的核心数据库，类似于sql server中的master表，主要负责存储数据库的用户、权限设置、关键字等mysql自己需要使用的控制和管理信息。

performance_schema数据库

主要用于收集数据库服务器性能参数，提供进程等待的详细信息，包括锁、互斥变量、文件信息；保存历史的事件汇总信息，为提供MySQL服务器性能做出详细的判断；对于新增和删除监控事件点都非常容易，并可以随意改变mysql服务器的监控周期

test数据库空的，这里面啥都没有。另外我们还需要知道这些知识information_schema.tables:包含了数据库里所有的表table_schema:数据库名table_name:表名column_name:字段名好的，了解了这些之后我们来试一试构造语句获取表名。

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+

看到这里你是不是又要问了，group_concat()是干嘛的？老夫我早就准备好了，group_concat()是MySQL中的一个函数。它将group by产生的同一个分组中的值连接起来，返回一个字符串结果，并且默认使用逗号分隔。可是group by又是个啥？额，一看你就没学过MySQL，小伙子我这就帮不了你啦，在工作或者学习中，总有很多东西是我们不了解甚至闻所未闻的，这很正常。没有人生而知之，但是你既然遇到了，你就得面对它。记住这样用就行了，还是去了解甚至抽空学习它，都取决于你自己，非学无以广才，非志无以成学。学到的知识都是有用的，它总会在潜移默化中改变你。加油，鲜衣怒马少年时，不负韶华行且知。

成功啦！它返回了四个表名（这里我们只使用了2这个回显位）。毫无疑问，users表中的内容是我们需要的，接下来我们尝试获取字段名。

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+

从两段如此相似的代码中我们可以看出，MySQL查询语句大体是相似的，只需要改变其中的表名，列名以及属性值。

OK，从返回的结果来看，我们获得了三个字段名，分别是id,username以及password。有一点数据库基础的小伙子都知道，id字段名下的字段一般都是普通的id，对我们并没有实质的意义。而另外两个字段名username和password就不一样，对我们这些练习注入的人来讲，获取这两个字段中的数据无疑就是拿到了钥匙。闲话少说，我们继续构造语句来获取其中的数据。

?id=-1' union select 1,group_concat(username,password),3 from users--+

这一句语句是不是简单多啦，偷着乐吧你。

诶，看到这里你是不是感觉非常奇怪但是又说不上来。没错，两个字段中的数据连接起来了，group_conccat()函数只是用逗号将每一列分隔开了。这该如何是好呢？不用担心，函数是死的，人是活的嘛。在字段名之间再加上某个字符的十六进制，不就可以通过它将同一列的用户名和密码分隔开了嘛.

?id=-1' union select 1,group_concat(username,0x2a,password),3 from users--+

到此就结束啦

sqli第一关

相关文章：

sqli第一关

入行IC | 新人入行IC选择哪个岗位更好？

时间旅行的Bug 奇怪的输入Bug

解决nbsp；不生效的问题

【Lidar】Cloud Compare介绍安装包

Java中的Maven是什么?

计算机操作系统

海学会读《乡村振兴战略下传统村落文化旅游设计》2023年度许少辉八一新书

tkinter树形图组件

多线程的创建

【django】APPEND_SLASH 路由末尾的斜杠问题

iOS16.0：屏幕旋转

Carla学习笔记（二）服务器跑carla，本地运行carla-ros-bridge并用rviz显示

数学建模--退火算法求解最值的Python实现

地理地形sdk：Tatuk GIS Developer Kernel for .NET Crack

Day_81-87 CNN卷积神经网络

关于mybatisplus报错:Property ‘sqlSessionFactory‘ or ‘sqlSessionTemplat的问题

Spring AOP基础动态代理基于JDK动态代理实现

第一章计算机系统概述五、中断和异常、系统调用

【C语言】文件操作(上)

【Linux】让笔记本发挥余热，Ubuntu20.04设置WiFi热点

【云平台】遥感地信云平台收录

23种设计模式之---单例模式

蓝桥杯官网练习题（纸牌三角形）

一辆新能源汽车的诞生之旅：比亚迪常州工厂探营

【算法专题突破】双指针 - 最大连续1的个数 III（11）

java实现备忘录模式

aardio语言的通用数据表维护

手写RPC框架--7.封装响应

Linux入门教程||Linux系统目录结构

网站制作熊猫建站/大数据分析

7月新闻大事件30条/深圳seo教程

九江做网站哪家好/手机优化器

网站左侧qq客服代码/苏州网站制作推广

舟山网站建设开发/品牌推广方式有哪些

自己做网站挣钱不/360优化大师下载