LESS31:

双引号直接报错,那么肯定可以报错注入,并且也过滤了一些东西,^异或没有过滤,异或真香

-1" and (if(length(database())=8,1,0)) and "1 这个payload可以

LESS32:

发现'被转移了,尝试宽字节绕过,\反斜杠是%5c,前面拼接成%df就是一个汉字,要求mysql的字符集是GBK,即两个字符为一个汉字

LESS33:

还是宽字节和32一样:

-1%df%27%20or%20exp(~(select%20*%20from%20(select%20user())a))--+

可以看到id参数此时经过urlencode以后将'单引号编码,此时还原时%df%27就会合并

在mysqlquery的时候设置编码方式为gbk才导致了漏洞,应该设置为binary

LESS34:

这道题也是宽字节注入,不过这个注入点在post参数上,如果我们直接在post里面输入%df' or 1#那么此时不行,

实际上将%百分号也进行了编码,因为表单提交会将数据编码一次,此时传递过去解码的时候无法吃掉反斜杠,所以必须绕过浏览器端的urlencode,所以

只要去掉对%的编码即可,此时就能吃掉反斜杠

LESS35:

这道题也是有转义,不过不需要引号就可以注入

LESS36:

将 utf-8 转换为 utf-16 或 utf-32,例如将 ‘ 转为 utf-16 为 � ' ,这样也可以绕过\的过滤,同样是因为gbk的问题

payload为%ef%bf%bd' or 1--+,这里%df也可以

LESS37:

post型,与前面过滤方式相同,直接%DFburp改包就可以

LESS38:

虽然说得是堆叠注入,但是这盲注报错都可以,堆叠注入一般都没有回显,在实际情况中基本见不到, 并且对数据库类型也有要求。

直接 ' or 1 --+ 就可以

LESS39:

堆叠注入,在SQL中,分号(;)是用来表示一条sql语句的结束。

试想一下我们在分号(;)结束一个sql语句后继续构造下一条语句,会不会一起执行?

因此这个想法也就造就了堆叠注入。

而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?

区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。

和38一样只是少了引号的闭合,可以看到里面用到了multi_query,因此可以执行多条语句

LESS40:

括号的闭合方式不同了,没有报错,不能报错注入,但是可以union和盲注

LESS41:

无报错,括号闭合方式不同,这里为int型

LESS42:

这道题的注入点在password处,还是堆叠注入,有报错回显,就不演示了,括号闭合为单引号,username有过滤

更改密码处有过滤

LESS43:

括号闭合方式改变了,其他不变,不再演示,还是堆叠注入。

LESS44:

盲注的堆叠注入,感觉没多少意思。

LESS45:

盲注,括号闭合方式变了,登陆成功和登陆失败逻辑不同,满足盲注条件

LESS46:

order by 相关注入,这里的注入点在order by之后,说明我们不能够用union,order by后面要跟一个数字,因此我们要构造语句让其结果为一个数字

这里直接()括号加sql语句的话找不出两种逻辑,加上rand函数以后才能够显示排序不同,可以根据表格最后一行显示不同来断定逻辑,进行盲注。

也可以直接报错注入

也可以延时进行盲注,这里 and or 短路虽然不能确定逻辑,但是可以通过执行后面的if条件来进行延时

这里还学到了一点limit后面的注入方法:

如果注入点在limit后面,那么目前唯一的方法是通过procedure analyse来进行注入

procedure analyse(extractvalue(1,concat(0x7e,user(),0x7e)),1),报错注入的函数应该都可以用

但是如果没有报错的话,那么procedure后面可以用extractvalue+benchmark来进行延时注入,也可以用updatexml+benchmark,benchmark是执行某个表达式多少次

后面跟上if条件就可以来dump数据进行延时注入了。

从源码也可以看到注入点在此

LESS47:

括号的闭合方式变了其他不变了,变为了单引号,其它和46一样,延时的话这里直接用benchmark貌似不起作用,必须结合procedure analyse才能延时,这里直接用sleep就可以

或者直接报错就可以

LESS48:

直接找到逻辑,rand(1),rand(0),这里貌似没有报错,因此可以布尔盲注或者延时注入

LESS49:

当注入单引号时页面没有数据了,应该是后面语句出错了,尝试加上注释来进行延时注入,可以成功

LESS50:

又开始堆叠注入了,但是并不常见,可以略过,简要从源码分析一下吧,只是变为mutil query,其它不变~

LESS51:

括号闭合变为单引号,其它和50相同,报错注入和延时都可以

LESS52:

没有print error,不能报错,可以延时注入

LESS53:

闭合为单引号,其它与52相同,没有练习的价值

SQL Labs刷题补坑记录(less31-less53)的更多相关文章

  1. SQL Labs刷题补坑记录(less1-less30)

    补坑加1,这几天快速刷一下sqllabs 来巩固下sql注入基础吧,也算是把很久以前没刷的过一遍,do it! 第一部分: LESS1: 直接报错,有回显的注入, http://localhost/s ...

  2. SQL Labs刷题补坑记录(less54-less65)

    LESS54: 只有10次尝试,dump处secret key 直接union 查就可以,括号为单引号闭合 LESS55: 尝试出来闭合的方式为)括号,后面操作与54相同 LESS56: 尝试出来括号 ...

  3. ACM刷题踩坑记录

    2017-12-26: 1.再次被写法坑了好长一会,调了半天的bug,还是没找出来.最后,发现,又坑在这个小细节上了.这样子写,第一个if和第三个else在一次循环中都会执行,然后,就GG了. 要注意 ...

  4. Pikachu靶场SQL注入刷题记录

    数字型注入 0x01 burp抓包,发送至repeater 后面加and 1=1,and 1=2 可判断存在注入 0x02 通过order by判断字段数,order by 2 和order by 3 ...

  5. Python 刷题笔记

    Python 刷题笔记 本文记录了我在使用python刷题的时候遇到的知识点. 目录 Python 刷题笔记 选择.填空题 基本输入输出 sys.stdin 与input 运行脚本时传入参数 Pyth ...

  6. NOIp2018停课刷题记录

    Preface 老叶说了高中停课但是初中不停的消息后我就为争取民主献出一份力量 其实就是和老师申请了下让我们HW的三个人听课结果真停了 那么还是珍惜这次机会好好提升下自己吧不然就\(AFO\)了 Li ...

  7. 刷题记录:[CISCN2019 总决赛 Day2 Web1]Easyweb

    目录 刷题记录:[CISCN2019 总决赛 Day2 Web1]Easyweb 一.涉及知识点 1.敏感文件泄露 2.绕过及sql注入 3.文件上传:短标签绕过php过滤 刷题记录:[CISCN20 ...

  8. [BUUCTF-Pwn]刷题记录1

    [BUUCTF-Pwn]刷题记录1 力争从今天(2021.3.23)开始每日至少一道吧--在这里记录一些栈相关的题目. 最近更新(2021.5.8) 如果我的解题步骤中有不正确的理解或不恰当的表述,希 ...

  9. NOI题库分治算法刷题记录

    今天晚自习机房刷题,有一道题最终WA掉两组,极其不爽,晚上回家补完作业欣然搞定它,特意来写篇博文来记录下 (最想吐槽的是这个叫做分治的分类,里面的题目真的需要分治吗...) 先来说下分治法 分治法的设 ...

随机推荐

  1. kubernetes实战篇之docker镜像的打包与加载

    系列目录 前面我们讲到了使用nexus搭建docker镜像仓库,操作还是有点复杂的,可能有的童鞋仅仅是想尝试kubernetes功能,并不想在搭建仓库上花费过多时间,但是又想在不同的主机之间传递镜像. ...

  2. Java上机题(封装)(编写student类)

    今天帮大一的童鞋写Java上机题 题目虽然很简单,但是刚拿到题目的时候愣了一下,然后就疯狂get set QuQ 其实这是一个特别基本的封装的题目(之前实验室面试大二的时候竟然还有蛮多人不知道封装的概 ...

  3. 委托在Smobiler自定义控件中运用

    委托(Delegate) C# 中的委托(Delegate)类似于 C 或 C++ 中函数的指针.委托(Delegate) 是存有对某个方法的引用的一种引用类型变量.可以将方法当作另一个方法的参数来进 ...

  4. leadcode的Hot100系列--78. 子集--回溯

    上一篇说了使用位运算来进行子集输出,这里使用回溯的方法来进行排序. 回溯的思想,我的理解就是: 把解的所有情况转换为树或者图,然后用深度优先的原则来对所有的情况进行遍历解析. 当然,因为问题中会包涵这 ...

  5. JDK1.8之ConcurrentHashMap

    目录 简介 JDK1.7 JDK1.8 重要属性 Node类 ForwardingNode类 原子操作和Unsafe类 重要方法 初始化表操作(initTable) 插入键值对(put和putVal) ...

  6. Qt实现表格控件-支持多级列表头、多级行表头、单元格合并、字体设置等

    目录 一.概述 二.效果展示 三.定制表头 1.重写数据源 2.重写QHeaderView 四.设置属性 五.相关文章 原文链接:Qt实现表格控件-支持多级列表头.多级行表头.单元格合并.字体设置等 ...

  7. 【linux杂谈】在SSH连接中,openssh如何解决'Connection refused'错误?

    openssh是SSH (Secure SHell) 协议的免费开源实现.SSH协议族可以用来进行远程控制, 或在计算机之间传送文件. 这就意味着远程登陆,文件推拉特别是搭建集群后公钥的部署,经常要利 ...

  8. kuangbin专题 专题一 简单搜索 迷宫问题 POJ - 3984

    题目链接:https://vjudge.net/problem/POJ-3984 这个题目,emm,上代码,看的估计应该是刚开始接触搜索的,我带点注释,你能慢慢理解. #include <ios ...

  9. 手动启动log4j|nginx实现http https共存

    手动加载log4j.xml文件 DOMConfigurator.configure("src/main/resources/log4j.xml"); log4j.propertie ...

  10. python 3.7 新特性 - popitem

    百度上大多文章说 popitem  随机删除字典的一个键值对 python 3.7 官方文档已经说了,popitem 删除字典最后一个添加进去的键值对