【靶场实操】sql-labs通关详解----第一节:基础注入方式(Less-1~Less-10)

最新推荐文章于 2025-03-03 09:31:47 发布
最新推荐文章于 2025-03-03 09:31:47 发布
阅读量1.3k 收藏 15
点赞数 28
分类专栏: 靶场实操 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/goldfish8848/article/details/140768591
版权

目录

一、注入方式简要概括

1.1 SQL常见注入方式

1.2 爆破函数

二、靶场实操

2.1 Less-1

2.1.1 判断类型

2.1.2 联合注入查询

2.2 Less-2

2.2.1 判断类型

2.2.2 注入攻击

2.2.3 字符型与数字型漏洞对比

2.3 Less-3

2.3.1 判断

2.3.2 注入

2.4 Less-4

2.4.1 判断

2.4.2 注入

2.5 Less-5(布尔盲注)

2.5.1 单引号闭合和不闭合测试

2.5.2 布尔盲注一般步骤

2.5.3 注入

2.6 Less-6

2.7 Less-7

2.8 Less-8

2.9 Less-9(时间盲注)

2.9.1 测试注入点

2.9.2 时间注入简述

2.9.3 注入

在一切开始之前,我们先来了解一下sql-labs。

SQL-Labs是一个专注于SQL注入攻击的在线靶场,提供了从基础到高级的多个关卡,供学习者实践和挑战

一、注入方式简要概括
1.1 SQL常见注入方式
  • 错误注入(Error-based Injection):攻击者利用应用程序返回的错误消息来识别漏洞。通过在SQL查询中插入恶意代码引发数据库错误,根据错误消息获得关于数据库结构和内容的信息;
  • 联合查询注入(Union-based Injection): 利用UNION操作符将多个查询结果合并成一个结果集,获取数据库中其他表的数据,从而泄露敏感信息;
  • 时间盲注(Time- based Blind Injection):攻击者通过在SQL查询中插入恶意代码,利用数据库的延时函数来确定查询是否成功执行,通过观察应用程序在响应时间方面的差异推断数据库信息;
  • 布尔盲注(Boolean-based Blind Injection):通过在SQL查询语句中插入恶意代码,利用布尔逻辑来逐位猜测查询结果,通过观察应用程序在不同条件下的行为来推断数据库信息;
  • 存储过程注入(Stored Procedure Injection):攻击者利用应用程序调用的存储过程中存在的漏洞,通过插入恶意参数执行未经授权的数据库操作;
  • 盲注(Blind Injection):包括布尔盲注、时间盲注和基于报错的注入,攻击者通过观察页面的响应来判断数据库中的信息;
  • 堆叠注入:在SQL语句末尾添加额外的SQL语句,执行多条SQL命令;
  • 二次注入:攻击者通过构造数据,使得在第二次请求中执行第一次请求中构造的SQL语句;
  • User-Agent注入:通过修改HTTP头中的User- Agent字段进行注入;
  • Cookie注入:通过在Cookie中注入恶意的SQL代码;
  • 宽字节注入:利用字符编码特性进行注入,常见于使用GBK编码的数据库。
1.2 爆破函数

1.经度爆破(mysql>=5.7x)

and ST_LatFromGeoHash(concat(0x7e,(select user()),0x7e))--+

2.纬度爆破(mysql>=5.7x)

and ST_LongFromGeoHash(concat(0x7e,(select user()),0x7e))--+

3.获取数据库版本信息

')or (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+
​
select count(*), concat(version(), floor(rand(0) * 2))x from information

4.获取当前数据库

')or (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

5.updatexml()

updatexml(1,1,1) 一共可以接收三个参数,报错位置在第二个参数

6.extractvalue()

extractvalue(1,1) 一共可以接收两个参数,报错位置在第二个参数

二、靶场实操
2.1 Less-1
2.1.1 判断类型

现在,让我们来正式开始靶场实操。

来到第一关

对于很多SQL注入漏洞,我们第一步要做的是判断“是否存在漏洞”,下面的字提示我们输入数字值的id作为参数,我们输入一个1来试一下

?id=1

同理再将id改为2或3,输入结果不同。不同的数字值返回不同的内容,这说明我们输入的内容被直接代入到数据库查询语句中,在数据库里面查询了。


接下来我们判断SQL语句是否拼接,是字符型还是数字型

我们在id=1后加了一个单引号,结果数据库报错,这说明数据库存在漏洞。继续使用--注释掉后续的内容,又返回了正确的结果,至此注入初获成功。

上面的实验验证了第一关为字符型且存在SQL注入漏洞。因为该页面存在回显,所以我们可以使用联合查询来攻破。

2.1.2 联合注入查询

联合注入的第一步首先要知道表格有几列,如果报错就是超过列数,如果正常显示就是没有超出

?id=1'order by 3 --+

order by 3的时候还正常输出,4的时候报错,这证明此数据库有三列。

第二步我们要爆出显示位,也就是看表格里面哪一列会在页面显示。

?id=-1'union select 1,2,3 --+

可以看出表格的第2,3列是在页面中显示的,这说明本表格大概是一个如下的结构,第一列是id之类的标识字段,在页面中不显示,第二列是名字,第三列是密码。(注意:我们这里只说明了有三列数据,并没有证明有几行,在上面博主只是做了id=1,2,3的三个例子,很可能不只三行)

最低0.47元/天 解锁文章
SQL-labs通关1-10
yang2684805720的博客
10-19 473
1---(单引号联合注入) 判断注入点,判断注入类型 ?id=1' 回显报错,说明存在注入点 ?id=1'--+ 回显正常说明为字符型注入 判断字段数 ?id=1 'order by 4--+ ?id=1 'order by 3--+ 4报错,3不报错,说明字段数为3 判断显示位 ?id=-1 'union select 1,2,3--+ 回显在2和3位置 获取当
sql-labs 详解
m0_52314120的博客
03-28 2012
文章目录前言一、第一关1.and 1=2测试 :2.尝试闭合:3.尝试将 ‘ 注释4.利用order by函数爆字段数5.设置错误的id值使其通过报错带出查询结果6.判断回显点7.查询当前库名与用户8.联合查询爆库名9.爆表名10.查询user下的列名11.从username和password中得到账号密码二、第二关总结 前言 sql-labs注入样例 若有不足请留言指正 一、第一关 1.and 1=2测试 : http://127.0.0.1/sql/Less-1/?id=1 2.尝试闭合: 127
sql-lab靶场原理详解1-22关)
cz020907020808的博客
06-01 1391
id=1 'and if ((ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101),sleep(5),1) – qwe 延时,说明数据库的第一个的第一位是e。id=1 'and if ((ascii(substr(database(),1,1))=115),sleep(5),1) --qwe 延时,说明数据库第一位是s。
Sql-labs靶场(1~28)
xhx836161547的博客
12-29 5964
sql注入经典靶场Sql-labs全关详解,正在加急更新中
sql-labs靶场环境搭建(手把手保姆级教学)
最新发布
bigbangbangbang1的博客
03-03 1283
SQL-Labs 是一个践环境,旨在用于数据库SQL(结构化查询语言)学习。它提供了一个介绍性的验室,对于刚开始学习数据库的人来说非常有用。这个验室对于程序员和其他IT专业人员来说也很有帮助,尤其是那些工作涉及到数据库管理和作的人员。SQL-Labs 靶场通常包含了一系列的挑战和练习,允许用户在一个安全、隔离的环境中学习和测试SQL查询技能。这些练习可能包括数据查询、数据作、数据库设计、安全性和性能优化等方面。
sql-labs
qq_62553635的博客
11-05 208
​​​​​​SQLi-LABS Page-1(Basic Challenges) 第一题 根据题目提示,先单引号测试 说明单引号被数据库成功解析, 使用联合表的方式来提取自己想要的信息(union),但是使用union语句有个前提就是union 后面的语句必须与前面的语句字段数以及类型必须一直,否则数据库会报错。 查字段运用order by 语句。直到order by 4--+时报错,说明只有3个字段。 把原始语句的的结果变为空 接下来查数据库 查表名 使用Group...
sql-labs1~4)
qq_53142368的博客
03-13 2804
学习目标: sql-labs 靶场基础练习 学习内容: sql-labs 靶场1~4关 学习时间: 2021年3月7日~2021年3月13日 学习产出: 前言 说出来满满都是泪呀 /(ㄒoㄒ)/~~ 我的靶场一直搭建不好,tmd,PHP study下载好了,并且在db-creds.inc里的用户地址也改为了本地127.0.0.1(localhost) 但是在打开靶场,发现打不开题(知道有多难受么)知道最近才问学长,同学,才发现是自己的PHP study版本太高了,这里就又出现一个问题,哎,我下载了好几个版本
sqli-labs less-1
zbbjya的博客
02-08 522
请输入id作为带数值的参数 ==================================================----------======= 输入 ?id=1 我们会看到这个sql语句是我们添加进去的,原本是应该没有的 limit 0.1;其中第一位是从第几个开始的,比如0代表从第一个开始,而第二位的1代表的就是显示多少个数据 再输入加一个单引号我们会发现报错了 ​ ?id=1' 一个一个的试 127.0.0...
靶场sql-labs通关详解----第二节:前端页面相关(Less-11-Less-17)
goldfish8848的博客
08-03 703
SQL注入攻击是一种针对Web应用程序的安全漏洞,那么自然,SQL注入攻击也和前端页面息息相关,用户输入未被正确处理、动态查询的构建、前端JavaScript代码错误,等等我问题都可能造成安全威胁。在上一节,我们了解了基础SQL注入模式,他们大多都从地址导航栏入手,直接向查询语句中注入攻击语句。本章我们来看和前端页面相关的一些SQL注入攻击。
sqli-labs 靶场 less-8、9、10 第八关到第十关详解:布尔注入,时间注入
Superstacks超全栈
06-09 1260
S接下来的工作就是之前使用的布尔注入流程一样,通过一个个字的判断来确定是否为想要的字符。如此便可以采用和上面类似的盲注入代码来进行。执行结果,成功完成注入(有一说一,代码请求量一多这脚本运行时间真的长!但是你会发现,在获取用户密码的时候会有很多空字符,这里是什么原因呢?输入注入代码,通过测试可知是使用双引号来进行闭合的查询语句。在这里我们无法看到错误信息,也不知道信息能否正常获取到。我们先尝试用语句来判断是否获取正常。的方式来进行,当输入下列参数时可以看到页面需要。通过以上信息来看可以确定,这一关可以用。
Sqli-Labs.zip
07-15
对前四道题目进行加强,输出在数据库中构成的查询语句,有利于新手快速入门SQLi;
sqli-labs 靶场 less-11~14 第十一关、第十二关、第十三关、第十四关详解:联合注入、错误注入
Superstacks超全栈
06-09 854
同时输入正确的用户名就可以查看到数据,那么我们就只可以在这个uname位置直接注入。如果是这样的话,那就只能通过错误信息来获取数据了,如下所示。但这样还不能获取数据,则判断这个注入方式为错误注入。然后经测试采用双引号加注释符就可以验证登录成功。正常输入结果显示成功,不过没有任何提示内容。同样通过这一个点获取数据库名和用户名。通过输入判断出查询字符串的闭合方式为。获取数前数据库的数据名和用户名。获取当前数据库所有的表名。获取user表所有的列名。获取当前数据库所有的表名。获取user表所有的列名。
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2282
利用 order by 来测列数测显位:mysql1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sql labs靶场——第一关
m0_74412122的博客
07-29 1306
id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+id=1'and updatexml(1,concat('~',(database()),'~'),1)--+查看user表中的username这一列的值。查看user表中的username这一列的值。查看user表中的密码这一列的值。查看user表中的密码这一列的值。
sqli-labsless1
giun的博客
01-05 390
在看别人的博客的基础上自己加了些修改 sql-labsless1 打开题目我们可以看到这样的界面 一、我们先尝试下看是不是get获取请求方式。 在地址栏后面加上?id=1;发现结果是我们所预料的get方式。 http://127.0.0.1/sqli-labs-master/Less-1/?id=1 二、在http://127.0.0.1/sqli-labs-master/Less-1/?i...
sqli-labs靶场】第一关
weixin_57240513的博客
07-22 231
第一步:判断是否存在sql注入判断为字符型 判断有几列,使用order by得出有3列 union select 联合查询查看回显位置 使用内置库语句查询数据库名 输入:http://127.0.0.1/Less-1/?id=-1' union select 1,database(),3 --+ 接着就可以使用内置库语句接着查询下面的表名、列名、字段名了,语句如下 http://127.0.0.1/Less-1/?id=-1' union selec
sql-labs1-8关)
2302_80935968的博客
04-17 2500
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。id=1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 0,1),2,1))=100 --+表示所有字段对应的表名。
sqlilabs靶场通关详解
01-18
### SQLi Labs 靶场闯关教程详解 #### 关于SQLi Labs靶场概述 SQLi Labs是一个用于学习和SQL注入技术的Web应用程序集合。该平台设计了一系列不同难度级别的挑战,帮助安全研究人员理解和掌握各种类型的SQL注入漏洞利用方法。 #### 数值型SQL注入例解析 对于数值型SQL注入攻击,在`Less-2`这一关卡中,当向URL参数`id`附加单引号(`http://10.10.10.129/Less-2/?id=1'`)时可以触发异常响应[^2]。这种行为表明服务器端未正确处理特殊字符输入,从而可能允许攻击者构造特定查询语句来控后台数据库逻辑。 #### 自动化工具辅助下的高级技巧展示 针对更复杂的场景比如`Less-15`,可以通过配置并运行sqlmap这样的自动化渗透测试软件来进行高效检测与利用。具体作上会涉及到设置合适的选项如指定目标文件路径以及所需获取的信息类型等命令行参数[^1]。 ```bash python sqlmap.py -u "http://example.com/vulnerable.php?id=1" --batch --dump ``` 上述脚本展示了如何使用sqlmap批量模式自动探测并导出受影响表内的全部数据记录。 #### POST请求方式SQL注入战演练 在面对基于POST提交的数据交互形式时,则需借助Burp Suite这类中间人代理工具先行拦截并修改HTTP流量后再传递给sqlmap进一步分析处理。例如`Less-12`里提到的方法就是先保存包含恶意负载的消息体至本地文本文件再作为源码供给后续步骤调用[^4]。 #### 成功SQL注入的前提条件说明 要成功发动一次有效的SQL注入攻击至少满足三项基本要素:一是存在可被外部篡改影响内部流程走向的关键变量;二是缺乏足够的防护措施使得非法指令得以顺利传达至解释引擎层面;三是整个业务逻辑确依赖关系型存储机制完成核心功能现过程中的某些环节[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值