一、SQLi-labs靶场搭建
首先我们需要在本地安装好Apache、MySQL和PHP环境。
<VirtualHost *:80>
ServerName sqlilabs.local
DocumentRoot /var/www/sqlilabs
<Directory /var/www/sqlilabs>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
</VirtualHost>
接着,在MySQL中创建一个名为sqli-labs的数据库,并执行数据库初始化脚本。
mysql> create database `sqli-labs`;
mysql> use `sqli-labs`;
mysql> source /path-to-your-sqli-labs/sqli-labs/sql-connections/db-creds.inc
最后,下载并解压sqli-labs,并将其放置在Apache的虚拟主机根目录下,此时就完成了SQLi-labs靶场的搭建。
二、基础注入
基础注入是SQLi-labs中最简单的级别,我们通过构造特定的SQL语句,获取数据库内部信息。
除了在Web应用程序中输入“普通的”注入字符串外,还可以采用空格、字符转义和其他技术来绕过输入过滤。
http://localhost/sqlilabs/Less-1/?id=1\'
这样举个例子,我们在Less-1中探测一个单引号,看看程序如何响应。
在页面中输入
http://localhost/sqlilabs/Less-1/?id=1\'
就会得到一个SQL语句,因为单引号没有被转义且跟在数字1的后面,导致SQL语句错误。
You have an error in your SQL syntax; check the manual that corresponds
to your MySQL server version for the right syntax to use near '\'' at line 1
这表明单引号没能被过滤,那么我们就可以构造出自己的SQL语句。
http://localhost/sqlilabs/Less-1/?id=1' or 1=1 --+
攻击者成功注入了一个SQL语句,从而绕过了应用程序的输入过滤,实现查询全部信息的目的。
三、盲注
当应用程序不返回真正的错误信息,而只是简单地发布了一个页面时,就发生了盲注漏洞。强制应用程序在查询结果方面发出明确的“是”或“否”响应。
通过判断响应的时间或页面上的特定元素,来获取内部数据库信息。
http://localhost/sqlilabs/Less-11/?id=1' and sleep(10) or '1'='1
攻击者构造了一段SQL语句,当id为1,而且表达式“and sleep(10)”返回True的时候,这就会导致应用程序等待10s,否则一下就跳过继续执行,最后表达式得到True。
四、联合注入
使用联合注入技术,攻击者可以在单个请求中查询多个表并从中检索信息。
联合SQL语句允许开发人员从多个表中选择数据,并返回链接结果。攻击者可以使用这个SQL联合语句来轻松绕过用户输入过滤。
http://localhost/sqlilabs/Less-5/?id=-1' union select 1,2,3,4,5#
攻击者构造了一段SQL语句,它使用了UNION SELECT语法,询问数据库提供每个被选列的数据,列的数量必须与另一个select语句中的列的数量匹配。
其中在Less-5中,我们把id变成了负数,以避免查询原有数据并直接执行我们的SQL语句。这时候我们就可以利用union select,往其他表查询信息,得到了一张新的匹配结果表。