【SQLi-Labs】Less-5 GET - Double Injection - Single Quotes - String

最新推荐文章于 2024-05-28 10:55:15 发布
最新推荐文章于 2024-05-28 10:55:15 发布
阅读量476 收藏 1
点赞数 1
分类专栏: 【sqli-labs】SQL注入学习笔记 文章标签: sql 安全 安全漏洞 mysqli
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xw1995115/article/details/121329780
版权

 本节练习涉及到了一个新的概念:双注入。

双注入简单理解为一个select查询里嵌套一个select查询,如果要利用双注入,就需要人为构造特定的能够造成报错的查询,从而在报错信息里返回我们需要的数据。需要用到的函数和语句有:

1.concat() 作用为连接括号里的参数。例concat(1,~,2) 结果为 1~2

2.floor() 作用为对括号里的非整数进行取整 如1.9取为1,2.1取为2

3.count() 作用为针对查询结果条数进行计数

4.rand() 作用为生成0-1范围内的随机数 (1.括号内如果填写一个固定参数,则每次生成的随机数固定;2.使用* 运算符,可以使取值范围扩大,如 rand()*2 的取值范围为0-2)

5.group by [key]对查询结果进行分组,针对每一个key 列出一条结果。

6.group by [key]和 conut(*)联用,作用为列出所有可能的key和key的查询结果条数。

最后再介绍一种错误类型:Duplicate entry

       这种错误一般发生于数据库对某一个字段有UNIQUE限制的情况下,例如某员工信息表里对身份证号字段设置的UNIQUE限制,即不能出现重复的身份证号,当我们插入一条新员工信息时,输入表中已存在的身份证号时就会报Duplicate entry错误,即重复录入。

双重注入构造报错查询的原理就大致基于以上的函数、方法和错误类型,下面是构造查询的思路:

1.首先,rand([整数]) from [x表] ,会基于x表的记录条数,生成数量与x表记录条数相同的随机数序列,又因为指定了rand的参数,根据上面第4条,每次生成的随机数序列都是相同的。

2.接着,rand([整数])*2 from [x表],使得生成的随机数序列的范围从0-1变成了0-2

3.然后 floor(rand([整数])*2 from [x表]), 使得结果变成了非0即1(因为随机数结果范围为0.000000...1到1.999999...9)。

4.再然后,使用payload和非0即1的查询作concat连接,例如

select concat((select database()),floor(rand(14)*2))
from information_schema.tables

  得出的结果长得像这样

 5.把这个结果利用group by 进行计数

select
concat((select database()),floor(rand(14)*2)) as a,
count(*) 
from information_schema.tables 
group by a

6.出现报错

且某些信息也通过报错信息显示出来了。

发生这个报错的原因如下:

1.使用count(*)和group by 进行计数时,系统会自动生成一张临时表,这里称它为 T

2.T里有两个字段,一个叫group_key,内容为"group by x" 中的x,另一个字段叫tally,内容是根据x分组而重复的记录数。

3.当我们使用

select
concat((select database()),floor(rand(14)*2)) as a,
count(*) 
from information_schema.tables 
group by a

 这个查询的时候,内层查询首先查询出来的是这个结果序列,然后再对这个序列进行分组计数。

分组计数的时候,会遍历临时表T,查看即将要插入的key值是否在T表中存在。

1.系统在先临时表T中查找concat((select database()),floor(rand(14)*2)))这个关键词,发现没有这个关键词,于是准备要把它填入第一行的group_key字段里。

2.但不巧的是是这句查询本应作为一个字符串被填入,其实它经过了执行才被填入,因此临时表T第一行的group_key被填上security1,tally填1。

3.接着系统又在临时表T中查找concat((select database()),floor(rand(14)*2)))这个关键词,发现还是没有这个关键词,于是准备要把它填入第二行的group_key字段。

4.它又被执行后填入,临时表T的第二行group_key被填上security0,tally填1

5.继续遍历,发现又没有,又填,这次执行后的值是security1,等到执行插入的时候发现这个在第一行已经填过了,而group_key这个字段使UNIQUE的所以报二次输入的错误,并暴露出相关信息。

根据以上所有理论,可以构造payload

?id=-1' union select 1,concat((select table_name from information_schema.tables where table_schema='security' limit 1,1),floor(rand(14)*2)) as a,count(*) from information_schema.tables group by a--+

结果如下:

修改limit限制可以爆本库下所有表名

同理利用payload可以爆更多数据

至此,本节结束。

丶亦洵
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-lab教程——Less-13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)
luosaierdadi的博客
07-09 762
通过报错可知 是通过') 闭合的发现没有登入成功返回信息 ,看来是要盲注了。方法一,报错型既然它返回错误信息了,说明有回显,可以报错注入。样例payloaduname=admin') and extractvalue(1,concat(0x7e,(select database()))) and (' 在concat()中构造查询语句,完事,和less-12以及之前的报错型注入一样,不再赘述。方法二,时间型盲注因为可以报错注入,这个方法没有回显,就有点鸡肋了,给个样例payload:uname=admi
SQL注入攻击】GET-Double Injection-Single Quotes-String(双注入GET单引号字符型注入)
sm1918451478的博客
10-31 425
SQL注入攻击】GET-Double Injection-Single Quotes-String(双注入GET单引号字符型注入)
sqli-lab教程——1-35通关
缘木之鱼
05-08 5673
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇完整的教程。 本教程中使用到的大部分函数可以在我的sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,见谅。 目录 Page-1(Basic Challenges)Less-1 GET - Error...
sqli-labs练习(五)------GET-Double injection-Single Quotes-String
wkend的博客
04-17 895
按提示,输入id参数1,得到回馈结果,但是没用 输入1',报错 查看报错信息near ''1'' LIMIT 0,1' at line 1 输入参数1'',没有报错, 通过以上过程可以发现,当我们改变参数的时候,回显只有两种结果 1>You are in........... 2> 报错信息 没办法,正确的查询只返回第一种情况,那么只能靠第二种回显结果了,...
sqli-labs】 less5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)...
ajxi63204的博客
01-19 429
双注入查询可以查看这两篇介绍 https://www.2cto.com/article/201302/190763.html https://www.2cto.com/article/201303/192718.html 简而言之就是构造如下的查询,会使得查询结果的一部分通过报错的形式显示出来 select count(*),concat((select version())...
sqli-labs练习(十三)--- POST-Double Injection-Single quotes-String-with twist
wkend的博客
07-26 284
payload:uname=123 or 1=1#&passwd=111&submit=Submit,登录失败 payload:uname=123' or 1=1#&passwd=111&submit=Submit, 报错You have an error in your SQL syntax; check the manual that correspon...
sqli-labs通关-------05lesson-double_injection_single_quotes(盲注)
枯藤闲画云
05-31 206
一进来让我们数据id 然后??? 到这来我们解释一下名词 http://www.91ri.org/7636.html 介绍一下双查询注入,什么叫双查询注入,这个有点难以解释,通俗的来说就是嵌套子查询。我们理解一下子查询,查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select,里面的这个select语句就是子查询。 这种方法...
sqli-labs练习(十四)--- POST-Double Injection-Single quotes-String-with twist
wkend的博客
07-26 423
这一关与上一关很相似,唯一的区别就在于是采用双引号来闭合的, 直接可以用万能密码成功登录,比如123" or 1=1# 在获取数据库信息是把')替换为"即可。 payload:uname=123" union select count(*),concat(':',(select database()),':',floor(rand()*2))as a from information_s...
SQLi_LABS less5: GET-Double Injection - Single Quotes - String
dongchijue7318的博客
08-19 198
目录 前言 几种可能的注入方式 补充的相关知识点 前言 最近开始用SQLi_LABS学习注入,刚开始有点摸不到头脑,索性把看到的知识点记录下来,很多细节是看别人博客学的,就直接给链接了,在此向这些作者们表示衷心的感谢。主要为了自己学习记录,如果能帮到别人当然就好了。有大神...
sqli-labs less 13 POST -Double injection -Single quotes -String -with twist
Monster1m的博客
01-19 114
13关的话也没有什么特殊的,和十二关的顺序啊payload啊一模一样,不过13关的闭合方式是’),所以直接参考12就好了 12链接: https://blog.csdn.net/Monster1m/article/details/112850142
SQLi-Labs】Less-8 Blind- Boolian- Single Quotes- String
xw1995115的博客
11-17 3503
本节来练习一下布尔盲注。 有时候,对目标网站进行注入会有这样的情况,对于用户的输入,页面不会有报错提示,只会有两种结果: 1.目标页面有内容(证明用户的输入正确有效) 2.目标界面没有内容(证明用户的输入无效,或页面将要显示的不是开发者想要给用户看的内容) 总结一句话就是,在某些时候服务器只会反馈你“说”的对不对,也就是判断你的输入为“真”或者为“假”。 这时候就要用到布尔盲注来“猜”或者“骗”服务器说出“真话”。 多说无益,实战来叙。 1.在SQLi-Labs Less-8中,添加参数...
sqli-labs练习(十一)--- POST-Error Based-Single quotes-String
wkend的博客
07-25 330
一般看到这种需要登录的可能第一反应就是使用暴力破解,但是这里我们主要讨论的是sql注入,所以爆破就不在这里讲了。 发现需要登录,尝试使用万能密码登录, 万能密码的介绍:https://bbs.ichunqiu.com/thread-10851-1-1.html payload:username=admin' or 1=1#,password=任意输入, 登录成功,同时得到了一个账号的用...
sqli-lab Less-1 GET - Error based - Single quotes - String
qq_45987965的博客
08-08 210
sqli-lab Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) ctf小白的学习笔记。 1. 判断有多少列, 超出列数会报错 通过输入?id=1' order by 正整数 --+ 说明有3列,即参数传递执行的查询有3个字段。 此处有一点搞不懂,输进去1、2、3,为什么就显示两个值呢? 查了资料发现,不是所有的查询都显示在网页前端的,为了确认能否返回前端,需要进行筛选(感觉这种方法有点像信号素)。 通过?id =
Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)
weixin_44368248的博客
04-14 561
1.根据图中的提示在url上加上?id=1 2.输入单引号,发现页面报错(通过在url中修改对应的id值。为正常数字、大数字、字符、(单引号、双引号、双单引号、括号)、反斜杆来探测url是否存在注入点) 由报错信息可知,可以通过单引号闭合 3.通过order by +数字来判断当前的字段数,输入order by 10报错,输入order by 5还报错,输入order by 3没有报错,在输入or...
(手工)【sqli-labs5-6】GET方法、单双引号、报错注入:基本步骤、错误注入过程
05-28 891
报错注入+闭合】
PostgreSQL和GaussDB对比
lee_vincent1的博客
05-22 960
PostgreSQL是一个功能强大、社区活跃的开源关系型数据库,适用于各种应用场景。它具有良好的扩展性和兼容性,是许多企业的首选数据库之一。GaussDB在 PostgreSQL 的基础上进行了大量增强,特别是面向企业级应用的优化和分布式架构,使其加适应大规模、并发和可靠性的业务需求。华为提供的商业支持和定制服务也使其成为企业级数据库解决方案的有力竞争者。选择 PostgreSQL 还是 GaussDB 取决于具体的业务需求、预算和技术支持要求。
数据库-Sql性能分析(慢查询、EXPLAIN详解)
A的博客
05-22 989
select_type为index_merge时,这⾥可能出现两个以上的索引,其他的 select_type这⾥只会出现⼀个。⽤于处理查询的索引⻓度,如果是单列索引,那就整个索引⻓度算进去,如果是多列索引,那么查询不⼀定都能使⽤到所有的列。如果是使⽤的常数等值查询,这⾥会显示const 如果是连接查询,被驱动表的执⾏计划这⾥会显示驱动表的关联字段。这个列包含不适合在其他列中显示单⼗分重要的额外的信息,这个列可以显示的信息⾮常多
PostgreSQL发展史
最新发布
PGCCC的博客
05-28 593
PostgreSQL 的发展史反映了其从学术研究项目到全球领先的开源数据库系统的演变过程。通过不断的创新和社区支持,PostgreSQL 已经成为一个功能强大、性能优越的数据库管理系统,广泛应用于各个行业的关键业务场景中。#postgresql培训。
SQL面试题练习 —— 波峰波谷
hu_wei123的博客
05-21 429
需要比较当天价格与前一天、后一天的价格进行比较,常规想法为进行关联,股票ID相等、日期为当天日期减1,为前一天价格,日期为当天价格加1,为后一天价格,然后进行计算;有如下数据,记录每天每只股票的收盘价格,查出每只股票的波峰和波谷的日期和价格;波峰定义:股票价格于前一天和后一天价格时为波峰。波谷定义:股票价格低于前一天和后一天价格是为波谷。lag 和 lead 函数,可以避免进行表关联;
sqli-labs less
07-28
抱歉,我无法回答关于sqli-labs less的问题。 #### 引用[.reference_title] - *1* *2* *3* [sqli-labs教程——Less 1-10](https://blog.csdn.net/qq_25649867/article/details/111020393)[target="_blank" data-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值