前言 最早接触安全也是从xss攻击和sql注入攻击开始的. 和xss一样屡居OWASPtop10 前三名的漏洞,sqli(sql Injection)sql注入攻击也是web安全中影响较大和影响范围较广的漏洞之一. 0x01 原理介绍 sql注入攻击作为注入攻击的一种,不同于xss的html和js代码注入,sql注入攻击注入的sql语句,最终导致数据库执行了用户输入的sql语句,想要sql注入玩的好,要学好sql语句以及了解一些数据库的特性. 0x02 危害性 sql注入由于可以导致数据库直接执…

This week I presented my experiences in SQLi filter evasion techniques that I have gained during 3 years of PHPIDS filter evasion at the CONFidence 2.0 conference. You can find the slides here. For a quicker reference you can use the following cheats…

好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试一试) Less-1: 提示参数是id,值为数字. 先测试是字符型还是字符串型: ?id=1 and 1=2--%20 ?id=1' and 1=2--%20 结果证明是字符串型. 然后一系列常规操作,order by 3为上限. payload: ?id=100' union select 1,u…

先扫后台发现 两个可疑登录界面 l0gin.php login.php 猜测是第一个 用bp 抓包发现 index.php 中间有302 重定向 头文件 里面有一个 page=l0gin.php 应该是他了 暗示的很明确了 显示 1 flag 先手动把 习惯手动sql注入 先判断 是数字型还是字符型 1' %23 看出不来 直接 union select 1,2 %23 ok 2被截断了 说明,存在被截断 而且直接是输出了字符串 猜测字符型 竟然 , 不能用 可以join 连接select un…

SQLi Lab 系列的文字和视频(需要FQ),讲解的很好 SQLi Lab Series - Introduction SQLi Lab Series - Error Based SQLi Lab Series - Double Query / SubQuery SQLi Lab Series - Blind Injection - Boolean Based SQLi Lab Series - Blind Injection - Time Based SQLi Lab Series - Us…

Lib/Core/Model.class.php中解析SQL语句的函数parseSql没有对SQL语句进行过滤,使用不当可导致SQL注入.(哈哈,其实用再安全的框架使用不当都可能造成SQLi) 函数: /** * 解析SQL语句 * @access public * @param string $sql SQL指令 * @param boolean $parse 是否需要解析SQL * @return string */ protected function parseSql($sql,$par…

web渗透者习惯采用黑盒或灰盒的方面来检测一款web应用是否存在漏洞,这种检测方法可以屏蔽不少漏洞,特别是程序逻辑中的漏洞.但如果能配合白盒的源码审计(也可以叫漏洞挖掘),效果将会更好,当然人力成本也会增加,其中,对于源码审计工作将交给谁做,是比较争议的话题,是开发.测试还是安全人员呢? 个人觉得,开发若能做一下粗略的源码自查,然后安全(弱没有安全人员,就交给白盒测试人员)负责做整体的源码审查,将是极好的安排. 除了人力成本,还有一个信任的问题,是否愿意将源码开放给安全人员?这比较敏感,但从技术…

这道题挺好的 学到的知识 sprintf()构成的sql注入漏洞 题目环境今天做的时候坏了 留下这几篇博客学习 https://blog.csdn.net/nzjdsds/article/details/82156123     //这篇强力推荐 https://www.cnblogs.com/wosun/p/11462305.html https://blog.csdn.net/WQ_BCJ/article/details/85215662 另一道sqli 学到的知识  注意注入点可以改成 1…

前言: sqli是一个印度程序员编写的,用来学习sql注入的一个游戏教程 sqli这个靶场对php7.0是不兼容的(因为一些函数在php7中被删除了),所以搭建的时候要下载php5,如果你的系统要下载php5有点麻烦的话,可以看我文章的最后,那里有解决方法. 正文: 下载 sqli 靶场 https://github.com/Audi-1/sqli-labs linux系统:解压缩到 /var/www/html/ 目录下(如果安装apache时改变了路径,就解压到改变的路径下) mv 文件名 /…

前言 关于注释 说明:在SQL中--[空格]表示注释,但是在URL中--空格在发送请求的时候会把最后的空格去掉,所以用--+代替,因为+在被URL编码后会变成空格 MYSQL有三种常用注释: --[空格]注释内容 #注释内容(url中使用23%) /*注释内容*/ 第一关 测试注入类型: http://192.168.142.136/sqli/Less-1/?id=1' 报错:You have an error in your SQL syntax; check the manual that…

原本想着找个搜索型的注入玩玩,毕竟昨天被实力嘲讽了 = = . 找了好长时间,我才发现,我没有 = = ,网上搜了一个存在搜索型注入的源码,我看了好长时间,楞没看出来从哪里搜索注入了....估计是我太菜了..... 所以就真能默默的继续玩 Sqli labs系列 的源码了..... 不过SQL注入,主要可以分为 get 注入,post 注入,cookie 注入,其中咱们大部分都是的get 注入,post 注入都是提交表单类的注入,当然比如管理员登录框,如果存在注入,觉得嫌一直重复的话,可以用火狐…

就今天晚上一个小插曲,瞬间感觉我被嘲讽了. SQL手工注入这个东西,杂说了吧,如果你好久不玩的话,一时说开了,你也只能讲个大概,有时候,长期不写写,你的构造语句还非常容易忘,要不我杂会被瞬间嘲讽了啊...好歹我也是上打过网络安全攻防平台,注入卡在第七关,我下玩过 web_for_pentester ,web渗透靶机2pentester_II_i386,这些靶场的小菜比... 好了,不扯了,现在开始扯这个第二关. 原本想着明天闲着没事了玩玩吧,后来,我今天也是闲的没事,我就继续开始玩玩吧. 结果玩…

要说 SQL 注入学习,网上众多的靶场,就属 Sqli labs 这个系列挺不错的,关卡达到60多关了,我自己也就打了不几关,一个挺不错的练习SQL注入的源码. 我一开始就准备等我一些原理篇总结完了,我就开始弄这个,毕竟这个里面涉及到的 SQL 注入知识很全,我贴一个下载地址:Sqli labs系列下载地址 对了还有我这个系列的头顶图,那个图是某个低调群的活跃用户装X墙,纯属装 X ,娱乐着玩了,大家别当真哈. 开了正文开始了! 首先我们先开始第一关,然后构造下注入环境,也就是在 http://…

文章更新于:2020-02-18 按照惯例,需要的文件附上链接放在文首 文件名:sqli-labs-master.zip 文件大小:3.5 M 下载链接:https://www.lanzous.com/i9c68pa SHA256: BB57AA3A54AD11CF1003A5CFE659FFF800061C5BAC66CDE2D056565978749D8B 一.下载 sqli 靶场源码 sqli 基于web 服务器环境的,关于如何搭建 web 服务器,各位煤老板看一下文末的链接. 二.将靶场…

0x00 BabySQli 原题目描述:刚学完sqli,我才知道万能口令这么危险,还好我进行了防护,还用md5哈希了密码! 登陆页面,查看源码后点进search.php看到一段可疑的句子MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5,尝试base32+base64解密后得到select * from user where username = '$na…

0x01 本题所需知识清单: 1.php sprintf()函数漏洞:https://blog.csdn.net/WQ_BCJ/article/details/85057447 2.布尔盲注基本playload及流程:https://blog.csdn.net/WQ_BCJ/article/details/84592445 3.Burpsuit  Intruder暴力猜解:https://blog.csdn.net/snert/article/details/49749757 4.盲注pytho…

Less - 1: 页面: URL: http://127.0.0.1/sqli-labs-master/Less-1/ 测试: 1.回显正常,说明不是数字型注入, http://127.0.0.1/sqli-labs-master/Less-1/?id=1 2.回显报错,说明是字符型注入, http://127.0.0.1/sqli-labs-master/Less-1/?id=1' 3.回显正常,单引号闭合成功,通过单引号闭合进行注入, http://127.0.0.1/sqli-labs-…

目录 Less-1: 字符型注入 Less-2: 数字型注入 Less-3: 单引号字符型+括号 Less-4: 双引号字符型+括号 Less-5: 单引号字符型+固定输出信息 (floor报错注入&盲注) Less-6: 双引号字符型+固定输出信息 Less-7: 写入文件 Less-8: Boolean型盲注 Less-9: 延时注入 先附上sqli的源代码:链接: https://pan.baidu.com/s/1d2rZVg5hz0ZBv2yg-UoArw 密码: 5w9y 我是在本地用…

double sqli easy sqli http://39.105.175.150:30001/?id=1 http://39.105.116.246:30001/?id=1 http://39.105.189.250:30001/?id=1 打开题目,地址栏有个id参数,测试注入,发现报错信息 http://39.105.189.250:30001/?id=1' Code: 62. DB::Exception: Syntax error: failed at position 36 (''…

今天在i春秋做题的时候遇到了一道非常好的题目,于是在参考了wp的基础上自己复现了一遍,算作一种技巧的学习与收藏吧. 题目i春秋连接:https://www.ichunqiu.com/battalion?t=1&r=54791 访问地址,发现什么都没有, 查看页面源代码,发现提示 访问地址 http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/login.php?id=1 得到下面页面 我去,不会这就注入…

终于到了最后一部分,这些关跟之前不同的是这里是限制次数的. less-54: 这题比较好玩,10次之内爆出数据.先试试是什么类型: ?id=1' and '1 ==>>正常 ?id=1' and '0 ==>>不正常 所以是单引号注入.union一波试试: ?id=1' union select 1,2,'3 果然回显了.下面就从information_schema中爆数据了: 爆表名 ?id=100' union select 1,(select group_concat(tab…

这里是堆叠注入部分 less-38: 这题啥过滤都没有,直接上: ?id=100' union select 1,2,'3 less-39: 同less-38: ?id=100 union select 1,2,3 less-40: 输入?id=1',无语法错误回显.改成?id=1' and '1,返回与?id=1相同的结果.尝试: ?id=100' union select 1,2,'3 无返回结果,试试是不是有括号: ?id=100') union(select 1,2,'3 成功回显. l…

继续继续!这里是高级部分! less-23: 提示输入id参数,尝试: ?id=1' and '1 返回的结果与?id=1相同,所以可以直接利用了. ?id=1' order by 5# 可是页面返回了错误,后来又试了--,一直无法注释,不知道什么情况.后来看标题,发现已经把注释给过滤掉了.服务端如下代码: //filter the comments out so as to comments should not work $reg = "/#/"; $reg1 = "/-…

目录 sqli-labs 5.6双查询报错注入通关 0x01 获取目标库名 0x02 获取库中表的数量 0x03 获取库中表名 0x04 获取目标表中的列数 0x05 获取目标表的列名 0x06 从列中获取用户名 0x07 获取对应的用户密码 0x08 过关小结 本文以sqli-labs第五第六关为例,详细原理见我上一篇文章 sqli-labs资源在这:https://github.com/Audi-1/sqli-labs --- sqli-labs 5.6双查询报错注入通关 这篇为了代码行语法…

试一下1=1 发下username为空,说明哪里出问题了,是没有注入吗?还是被过滤了?试一下#号的url编码%23 编码后,返回的结果是对的,证明是的,有注入 1=2就返回空了 看了wp,就觉得自己的sql的查询还给老师了 结果用了内联查询,但是sqlma跑出来说有bool的还有时间的注入 目前不知道怎么搞,然后后面的就是普通的手注了,我觉得这道题目的关键就是那个内联查询…

(1)根据题目知道此处是双引号注入,其余的与上一关相同. 登录成功后,用burp抓包,再刷新浏览器页面.寻找闭合方式: 闭合方式果然为双引号. (2)其payload与21关相同,需要对payload进行based64编码,同时将闭合方式改变即可. 例如: admin1" and extractvalue(1,concat(0x7e,(select database())))# 编码: YWRtaW4iIGFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoMHg3ZSwoc2V…

Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入) (1)登录成功后有以下页面: 其中红圈内的字符为admin的BASED64编码后的字符. (2)用burp抓包,再刷新浏览器. 寻找闭合方式:明文:admin' --+ based64编码:YWRtaW4nICAtLSs= 闭合方式为' ) (3)开始报错注入,需要将payload用based63编码输入.例如:爆表名 admin') and extrac…

(1)登录成功后页面: (2)登录成功后,用burp开始抓包,刷新浏览器页面,将会跳出如下页面 (3)根据各种提示,知道需要从cookies入手,寻找闭合方式 闭合方式为单引号.注释符也可以用 (4)开始注入:可用报错注入,方法同前面的一样,例如:爆库名 uname=admin1' and extractvalue(1,concat(0x7e,(select database()),0x7e))#…

(1)根据题意,从Referer入手 (2)报错注入与上一关相同.如爆库名: 'and extractvalue(1,concat(0x7e,(select database()),0x7e)) and '…

(1)对username和password无论怎么输入,都没有回显,再看题目,POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)提示从user-agent入手,尝试 闭合方式为单引号. (2)有回显则可用报错型注入,例如爆库名.其余与前面的报错注入相同 'and extractvalue(1,concat(0x7e,(select database()),0x7e)) and '…