SQLi-Labs的一些收获

基于 sqlabs - pageage3- 的内容

基于错误

基于错误的注入建立在有错误回显的机制上。当输入畸形构造会出现语法方面的报错。比如：

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

数据库的语法报错为攻击者推测出 $sql 查询语句提供了便利。
除此以外，语法报错还可以有以下用法

• count() + rand()*2

  id=1' union select count(*),concat_ws(':',database(),floor(rand()*2)) as a from information_schema.tables group by a --+
  --------------------------------------------------------------------
   Duplicate entry 'security:0' for key 'group_key' 
  

  这种报错形式是借助 rand()*2 和 group by 的冲突。在上述负载中：

  concat_ws：将三个参数连接成一个字段的内容；
  group by key：循环读取数据的每一行，将结果保存于临时表中。读取每一行的key时，如果key存在于临时表中，则不在临时表中更新临时表的数据；如果key不在临时表中，则在临时表中插入key所在行的数据。
  rand：会生成一个0~1之间的小数

  表一开始是空空如也的。执行第一次查询，（假如）生成的是" dbname : 0 "，数据库左看看右看看发现表里没东西，就打算把这个项插入临时表。但是这一条查询结果不会直接放进临时表，这个结果只是数据库想康康需不需要插入新项，所以数据库现在要再查询一次，将第二次查询的结果放进临时表。但是 rand() 是一个随机函数，可能第二次 rand()*2=1 ，此时真正插入临时表的表项是" dbname : 1"。

  同理，当第三次查询的时候，如果查询结果是 " dbname : 0 "，是临时表中不存在的选项，数据库进行第四次查询，并意图将查询结果放进数据库，如果第四次查询结果是" dbname : 1"，数据库就嗷嗷报错，因为 key value 出现了重复。

  通过这种方法，concat_ws中的查询内容就以报错形式出现了。

• xPath 语法错误
  从mysql5.1.5开始提供两个XML查询和修改的函数，extractvalue和updatexml。这两个函数正常方法不知道怎么用，它要求第二个字段必须符合XPath语法风格，不知道xPath是什么语法风格。
  但是 SQLi 方法很好用。

extractvalue(1,(select 内容),1)
updatexml(1(select 内容))

由于第二个字段不是xPath风格，数据库报错。但是它会先查询一下，像小浣熊不管吃不吃，只要拿到东西都要放水里洗洗一样，查询一下，然后把查询结果跟着报错信息一并输出，显得非常的能者多劳。

双查询

双查询本人是交际花花，不管是报错还是普通查询都可以用。报错查询就是

id=1' union select <上面的报错函数> --+

普通查询是利用数据库的特性：第一个查询如果得不出结果就会接着往下查。

id=-1' union select database(),version(),user() from information_schema.tables --+

由于第一个查询 id=-1 没有返回结果，数据库就接着查 union 后的 query ，得到结果之后显示在第一个查询本来应该显示的地方。

显示位置的判断：

• order by x： 根据第x行排列。x 要是超过了第一个 select 的字段数会报错；
• select 1,2,3,...,x ：有的项虽然select 了但是不一定显示，用这种方法查看会显示的字段；

盲注

盲注和报错注入的区别是前者错了没反应，其他还是一样的。手动太麻烦了，要写脚本，根据返回码来进行判断。

POST 和 GET

堪称本人半只脚掌步入SQLi遇到最大的阻碍，一开始没学 PHP 的时候死活不知道这是什么东西。知道了也就还好，就是一个传值的方法鹅已。
$_GET 从 URL 传入查询，&POST 从表单中提交查询，反正最后都是提交给 PHP 处理的。GET 比 POST 麻烦一点的就是需要 URL encode 一下，比如说 # 变成 %23 之类的，POST 比 GET 麻烦一点的就是查询传入数据库和数据库内数据取出的几次编码，具体内容在宽字节附带的超链接里讲

改包

需要用到大家的好朋友 BurpSuite
改包的包是指 http 头，一个平平无奇的 GET 请求头一般有这些内容可以改：

User-Agent：操作系统和浏览器的识别
Cookie：饼干
X-Forwarded-For：可以伪造IP
Clien-IP：也可以伪造IP
Rerferer：浏览器向服务器表明自己来自哪个URL
Host：客户指定自己想访问的域名和IP 地址和端口号

就，在 Burp 里其实基本上每个都可以改的。SQLi-Labs 里用了 uagent cookie 和 referer 三个字段。

（刚开始看这部分内容的时候一下子没转过弯来，觉得凭什么http头能注入啊，后面得益于 sqli-labs 比较行，直接就哐地一声把从 http 取到的元素显示在前端，然后我才悟了。

头注入本质上就是一个 sql 来处理，所以只要在注入点放进 payload 就会蹦出期望的结果。另外 http 头还有一些其他的题目可以做，比如讲有的题需要特定 IP地址或端口才能访问到flag，还有的对浏览器内核有要求的可以直接改 uagent 字段，都可以用 Burp 抓包然后更改。

sqli-labs 的比较简单，登录成功了看看屏幕上有哪些内容，有 IP 的就在 HOST 加个payload ，有 uagent 就在uagent那里加个payload，更难的暂时还没有做到了。

对了有个 cookie 注入点的判断方法！

1. 进入一个可能有注入点的页面，去掉 URL /id=x ，刷新发现访问不了
2. 在网址栏输入 javascript:alert(document.cookie="id="+escape("id后面的数字"));会蹦出来一个弹窗
3. 再回到最初的 URL ，和第一步一样的操作，回车请求，发现能访问了！
4. 这就证明这个WEB 服务器会通过 cookie 字段做用户查询，有 cookie 注入的机会！

绕过

非常琐碎的绕过！是“道理我都懂为什么你写得出我写不出”类型的问题。
一些比较朴实的内容：
大小写变更

union select => UnIOn SeLEcT

单次过滤绕过

UNunionION SEselectLECT 

一些特殊内容的绕过

or => || ; and => && ; = => LIKE ; ‘ ’ => +或者换行符之类的

编码绕过

可以用 url编码 ，Unicode + url编码， hex编码

宽字节

id=1%df%27%20%23

这个在这里有比较详细的笔记

其他
找到一个非常厉害的绕过笔记，还是看他的吧。

stacked injection

格式

1;insert into users(id,username,passwd) VALUES (123,"admin","admin")

这样就自己插入了一个admin账号。
stacked injection利用 sql 语句以 ; 结尾的特性，在一个传入中包含多个命令。比起上文中的其他注入方法，stacked injection 不常用在信息获取方面上，比较多用来增删改，破坏性蛮强。
不过有时当 数据库引擎不支持、用户权限不够 的时候，stacked injection 发挥不了作用。

后记

暂时现在先写到这里，是这段时间做 sqli-labs 的总结笔记，如果在做题的时候碰上新的内容再添加！