- 博客(16)
- 收藏
- 关注
RSS订阅原创 sqli-lab教程——Less-16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)
这道题不管我在登陆框怎么输入,都没有错误信息显示,猜测是延迟型盲注。方法一,时间延迟注入payload和less-15差不多,只需要把上一题正的单引号改为双引号加括号 ") 就完事了。方法二:奇淫技巧:万能账号绕过密码验证:admin")#注入结束。......
2022-07-09 16:04:29
121
1
原创 sqli-lab教程——less-15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)
盲注 - 基于布尔值 - 字符串怎么输入都没有回显,那就时间延迟吧。布尔测试payloaduname=admin' and 1=1 --+&passwd=admin&submit=Submit //登陆成功uname=admin' and 1=2 --+&passwd=admin&submit=Submit //登录失败 时间延迟测试payloaduname=admin' and sleep(5) --+&passwd=admin&submit=Submit明显延迟,确定使用延迟注入。手工延
2022-07-09 15:35:41
285
原创 sqli-lab教程——Less-14 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)
输入内容被放到双引号中,报错型注入,注释符不可用方法一,报错型样例payloaduname=admin" and extractvalue(1,concat(0x7e,(select database()))) and " &passwd=admin&submit=Submit 方法二,时间型盲注效率低,鸡肋样例payloaduname=admin" and if(left(database(),1)='s',sleep(3),1) --+ &passwd=admin&submit=Submit方法三
2022-07-09 15:30:43
99
原创 sqli-lab教程——Less-13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)
通过报错可知 是通过') 闭合的发现没有登入成功返回信息 ,看来是要盲注了。方法一,报错型既然它返回错误信息了,说明有回显,可以报错注入。样例payloaduname=admin') and extractvalue(1,concat(0x7e,(select database()))) and ('在concat()中构造查询语句,完事,和less-12以及之前的报错型注入一样,不再赘述。方法二,时间型盲注因为可以报错注入,这个方法没有回显,就有点鸡肋了,给个样例payload:uname=admi
2022-07-09 15:18:35
761
原创 sqli-lab教程——Less-12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)
双引号报错型注入按照题意应该是可以使用上一题的payload只需要修改单引号为双引号,但是实际测试不行,无论我使用--+还是%23还是#都不行,我就看了一下php文件:可以看到sql查询语句:@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";构造一个能闭合语句而且会报错的payload:admin" and extractvalue(1,concat(0
2022-07-09 15:01:20
725
原创 sqli-lab教程——Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)
模拟真实环境,我们作为Dump用户使用Dump密码登陆,可以看到以下 登陆成功此时打开hackbar选中post可以看到,已经自动载入的刚才提交的表单数据: 我刚测试了一下,hackbar提交uname=admin' and 1=2 --+&passwd=admin&submit=Submit作为post参数时,无论and后面是1=1还是1=2,都能登陆,不知道为什么,可能是提交的时候自动加了+号连接语句的问题。所以现在改用burpsuit,抓包修改参数。 输入admin admin 登陆,抓包,发送到re
2022-07-09 14:50:39
235
原创 sqli-lab教程——Less-10 GET - Blind - Time based - double quotes (基于时间的双引号盲注)
不管怎么输入,显示总是you are ... 考虑时间型盲注,payload ?id=1" and sleep(3) --+ 注意id=1,发现明显延迟,说明注入成功,接下来爆破就完了。这道题的payload构造和第五题的方法一是一样的,一些废话就不多说了,这里就列一下过程,完事儿。爆库payload?id=1" and if(length(database())=4 , sleep(3), 1) --+ 发现当?id=1" and if(length(database())=8 , sleep(3),
2022-07-08 15:16:33
124
原创 sqli-lab教程——Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注)
不管怎么输入,回显总是you are ... 考虑时间型盲注,payload ?id=1' and sleep(3) --+ 注意id=1,发现明显延迟,说明注入成功,接下来爆破就完了。这道题的payload构造和第五题的方法一是一样的,一些废话就不多说了,这里就列一下过程,完事儿。爆库payload?id=1' and if(length(database())=4 , sleep(3), 1) --+ 发现当?id=1' and if(length(database())=8 , sleep(3), 1
2022-07-08 15:01:40
532
原创 sqli-lab教程——Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注)
题目名字暴露一切,本来不想看的,又瞥到了,布尔型盲注,单引号,id=1回显,价格单引号不回显,构造一下验证是不是布尔型payload ?id=1' and 1=1 --+ 回显了,证明没跑了。 那就一步一步来吧,和less5一样的,根据回显判断。可以通过 > < 比较字符大小加速爆破暴库payload ?id=1' and left((select database()),1)='s'--+库名长度可使用?id=1' and length(database())=8--+ 判断,同理表名字,段名等。最后得到
2022-07-08 10:54:24
400
原创 sqli-lab教程——Less-7 GET - Dump into outfile - String (导出文件GET字符型注入)
几次尝试,不难猜出注释符被过滤了,但是看看题目:less 7 GET - Dump into outfile - String (导出文件GET字符型注入)所以大概要使用文件导出。我投机取巧了,找了个简单题less-2直接注入拿到路径,方便导出。这里插个小扩展:winserver的iis默认路径c:\Inetpub\wwwrootlinux的nginx一般是/usr/local/nginx/html,/home/wwwroot/default,/usr/share/nginx,/var/www/htm等ap
2022-07-08 09:53:09
299
原创 sqli-lab教程——Less-6 GET - Double Injection - Double Quotes - String (双注入GET双引号字符型注入)
双引号字符型注入,上一题的单引号改成双引号就可以了,同样是两种方法:时间延迟型的手工盲注、报错型的手工盲注或者sqlmap,再有利用concat()几聚合数。步骤和第五题一样。
2022-07-08 09:36:48
86
原创 sqli-lab教程——Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)
如果看到这个报错信息,第一反应就是布尔型盲注、报错型注入、时间延迟型盲注了下面给出验证时间延迟型的盲注:http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and sleep(5)--+发现明显延迟,说明猜测正确。接下来的思路是通过延迟,依次爆破数据库长度,数据库名,表名,列名,以及字段。布尔型和时间延迟型盲注建议采用sqlmap去跑。其实本题不能称作盲注,因为存在回显,真正的盲注时不存在回显的,只能根据浏览器加载页面情况,判定是否注入成功。......
2022-07-06 09:12:36
264
原创 sqli-lab教程——Less-4 GET - Error based - Double Quotes - String (基于错误的GET双引号字符型注入)
输入单引号,页面无任何变化,输入双引号,页面报错,根据报错信息判断出咱们输入的内容被放到一队双引号和圆括号中,猜想一下:select ... from ... where id=(”1”) ...,把第一题中1后面的引号换成双引号加)就可以了。......
2022-07-06 08:59:12
79
原创 sqli-lab教程——Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)
输入单引号,根据报错信息确定咱们输入的内容存放到一对单引号加圆括号中了,猜想一下咱们输入1在数据库语句中的位置,形如select ... from ... where id=(‘1’) ...,在第一题中id=1‘的后面单引号加上),其它保持不变就行了。其实我推荐,做完题去看看它题目的php传参语句,和过滤语句,对理解sql注入原理很有帮助的。......
2022-07-06 08:51:36
122
原创 sqli-lab教程——Less-2 GET - Error based - Intiger based (基于错误的GET整型注入)
输入单引号,根据报错信息确定咱们输入的内容被原封不动的带入到数据库中,也可叫做数字型注入,就是,把第一题中id=1后面的单引号去掉,其它保持不变就行了。
2022-07-06 08:43:07
173
原创 sqli-lab教程——Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)
输入单引号,页面报错,如下图所示根据报错信息,可以确定输入参数的内容被存放到一对单引号中间,猜想:咱们输入的1在数据库中出现的位置为:select ... from ... where id=’1’ ......,也可以查看sqli-lab中less-1的php文件可以看到,和猜想一致,多余的步骤不多说了,直接开始爆数据吧。注意 id=非正确值爆库payload?id=-1' union select 1,2,database() --+得到‘security’库名爆表payload?id=-1' unio
2022-06-28 11:29:39
359
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人