2. 程式人生 > >sqli-labs less 1 (基於錯誤的GET單引號字元型注入)

sqli-labs less 1 (基於錯誤的GET單引號字元型注入)

阿新 發佈:2019-02-05

基礎知識:

常用url編碼:空格%20,單引號%27,雙引號%22,#號%23

mysql常用註釋符:#...  ,--空格...  ,/*...*/,--+(某些情況+可以代替空格,+瀏覽器會編碼成空格)

常用工具:火狐的hackbar

concat函式:連線一個或者多個字串,如

select concat('10');//10

select concat('11','22','33');//112233

concat_ws函式:表示concat with separator,即有分隔符的字串連線,如

select concat_ws(',','11','22','33');//11,22,33

select concat_ws('|','11','22','33');//11|22|33

select concat_ws('*','11','22',NULL);//11*22

sql注入基本步驟:

1、判斷注入型別(數字型、字元型等)

2、獲取資料庫使用者,版本,當前連線的資料庫等資訊(利用mysql內建函式user()、database()、version())

3、獲取表名、獲取列名、獲取欄位(資料)

sql注入型別判斷方法:

int整型:and 1=1 正常回顯 and 1=2 返回false(不報錯,但是頁面不返回資料)

string字元型:兩個都正常回顯,無論後面是什麼都不影響

less 1   GET - Error based - Single quotes - String(基於錯誤的GET單引號字元型注入)

首先在瀏覽器位址列里加上?id=1,可以正常查詢出資訊

輸入一個單引號可以發現報錯資訊回顯,說明存在sql注入

order by 猜列數,發現有3個欄位


接著使用union進行聯合查詢,會發現和上圖結果一樣,並沒有我們想要看到的東西

原因是查詢出來的結果很多,但這裡只返回第一個結果,這是limit 0,1語句限制的效果,而我們需要的結果在後面,所以我們只需讓前面的結果為錯,為空,我們需要的後面的東西就會顯示出來

讓前面報錯很簡單,可以利用-1,0,一些亂七八糟的東西都可以

上圖說明2,3兩個欄位是可以利用的

這樣一個欄位只能返回一行資訊,我們需要更簡便明瞭的方法,那就是在一個欄位中輸出多行資訊,我們可以利用下列語句:

concat_ws(char(32,58,32),user(),database(),version())

發現當前資料庫名為security,接下來從系統表中查詢表名

注意:

1、查詢只能在3不能在2,在2的話會把後面的語句帶入查詢中,會報錯(有什麼辦法可以在2查詢的話可以私信我,感謝)

2、security需要用單引號括起來,或者用十六進位制編碼

3、這裡只能返回一行資訊,要想查詢其他行,可以利用limit語句實現

然後一個個查詢,發現關鍵表users

接下來查詢該表的列數

發現有id,username,password

最後查詢欄位裡面的內容

發現使用者名稱,密碼

less 2 GET - Error based - Intiger based (基於錯誤的GET整型注入)

總體過程和less 1 基本相同(甚至還簡單一點,因為不需要閉合單引號)

單引號閉合後的字元型注入基本上可以看成整型注入

具體過程在此不重複說明,可參照less 1進行操作

less 3 GET - Error based - Single quotes with twist string (基於錯誤的GET單引號變形字元型注入)

先輸入一個單引號

根據報錯資訊,可以猜測出後臺sql查詢語句為:

select * from xxx where id=(‘1’)limit 0,1

然後構造payload:

?id=1')#                                     (#號有時需要進行url編碼,%23)

後面步驟同上

less 4 GET - Error based - Double Quotes - String (基於錯誤的GET雙引號字元型注入)

直接使用單引號發現沒有報錯,正常回顯

發現原來是使用雙引號的方法來避免sql注入

檢視原始碼

發現引數兩邊有雙引號

因為php中雙引號可以包含單引號,所以正常回顯

所以,繞過思路:閉合雙引號和左括號

後續步驟,同上。

less 5 GET - Double Injection - Single Quotes - String (雙注入GET單引號字元型注入)

先進行常規注入判斷,發現回顯都一樣,都是you are in ............

檢視原始碼

發現的確只有you are in.............,不過通過下面語句可以猜測是通過錯誤回顯來進行sql注入的

裡面講的很清楚,在此不多說,大家可以自行在資料庫中進行嘗試

直接給出實際測試的圖片

後面步驟同上

 less 6 GET - Double Injection - Double Quotes - String (雙注入GET雙引號字元型注入)

同上,只是把單引號變為雙引號,其他不變

less 7 GET - Dump into outfile - String (匯出檔案GET字元型注入)

相關推薦

sqli-labs less 1 基於錯誤GET引號字元注入

基礎知識: 常用url編碼:空格%20,單引號%27,雙引號%22,#號%23 mysql常用註釋符:#...  ,--空格...  ,/*...*/,--+(某些情況+可以代替空格,+瀏覽器會編碼成空格) 常用工具:火狐的hackbar concat函式:連線一個或

暑期練習web23:sqli lab第五關 雙注入GET引號字元注入----基於bool的手工盲注

如果所查詢的使用者id在資料庫中,可以發現頁面顯示”You are in”,而不像前4關那樣會顯示出具體的賬號密碼 而如果輸入的查詢語句不存在,則什麼也不會返回 這裡普及一下盲注時的常用函式 1.mid()函式 mid(striing,start

sqli-labs—————Less-1字元注入

前言從這一篇文章開始,我們將開始真正的講解Sqli-libs中的各種注入,從第1階層開始,後續的內容會陸續放出,歡迎各位大佬的關注與評論!Less-1首先,開啟主頁進入第一關:可以看到提示,提示我們要傳入一個引數,名為ID,而且是資料型別,那麼我就傳入該引數看看到這裡,我們可

sqli-labs】 less12 POST - Error Based - Double quotes- String-with twist (基於錯誤的雙引號POST字符變形的註入)

div 圖片 pos log 技術分享 base class limit color 加個雙引號 通過報錯信息猜測SQL語句 select ... from ... where xxx=("") and yyy=("") limit 0,1 將括號閉合掉,通過註

sqli-labs————less 23高階注入

前言從這一關開始,我們進進入了短暫的高階注入部分,這一部分中將會陸續介紹一些更為巧妙的注入技巧。Less -23檢視一下原始碼:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://

sqli-labs-master第一關:基於錯誤GET引號字符註入

where php版本 網站 value ali pass 看到了 php代碼 賬號 首先來到第一關:http://127.0.0.1/sqli-labs-master/Less-1/ 用語句 http://127.0.0.1/sqli-labs-master/Less-1

sqli-labs】 less9 GET - Blind - Time based. - Single Quotes (基於時間的GET引號盲註)

mage 一個 sub inf .com info pre log () 加and http://localhost/sqli/Less-9/?id=1‘ and ‘1‘=‘1%23 http://localhost/sqli/Less-9/?id=1‘ and ‘1‘

Sqli-lab Less-1

得到 order by users pos format ima name tab 圖片 Less-1 輸入查詢語句?id=1後頁面返回為: 先簡單判斷一下該頁面有無註入點: 在後面加一個單引號後,頁面返回如下信息: 通過這個頁面我們可以知道至少兩個信息:一、我們構

Web自動化測試環境搭建1基於firefox火狐瀏覽器

ktr gecko 激情 後臺 自動更新 fire 這一 把手 HA   自動化測試是時代趨勢,因此很多測試人員開始研究自動化測試,web自動化測試化測試並不難,但是很多人都是被擋在了環境搭建這一步,後面學習激情全無,這裏,韜哥手把手教大家搭建火狐瀏覽器下的自動化測試環境(

sqli-labs (less-8-less-10)

pos clas src 127.0.0.1 使用 mage lee 小菜 ascii 盲註需要掌握一些MySQL的相關函數:length(str):返回str字符串的長度。substr(str, pos, len):將str從pos位置開始截取len長度的字符進行返回

sqli-labs(less-11-16)

POST登入 首先試試 uname=admin'# & passwd=1 登入成功 如果不知道使用者名稱 ,註釋符被過濾,可以從password入手 一般第一個登陸欄位(一般是使用者名稱)就用註釋,第二個登陸欄位(一般就密碼)用閉合和註釋都是可以的 uname=test

sqli-labs less-17

concat 4.5 技術 name ati 沒有 count nts code less-17 uname=admin‘ #&passwd=a"")‘)都是秘密錯誤 試一下永真 uname=a&passwd=a‘ or 1=1 # uname=a&

python3繪圖示例1基於matplotlib

ice 浮點 3.5 dev import threshold str nump and #!/usr/bin/env python# -*- coding:utf-8 -*-import numpy as npimport matplotlib.pyplot as plt

python3繪圖示例6-1基於matplotlib,繪圖流程介紹及設定等

#!/usr/bin/env python# -*- coding:utf-8 -*-import osimport pylab as pyimport numpy as npfrom matplotlib import pyplot as pltimport matplotlib as mplt# matp

2018-03-CCF第一題跳一跳1.0的錯誤已糾正,2.0如下

題目大意如下:微信跳一跳遊戲,輸入1,2,,0三個數字;1代表跳到了下一個盒子但不在中心,得分為1,總分加1;2代表跳到了下一個盒子且在中心;根據上次的得分計算:如果上一次得分為1,那此次得分為2,總分加2分,如果上一次得分為2,那此次得分為4,總分加4;以此類推:如上一次得

sqli-labs學習記錄

0x01 less-1 ‘$id’ 單引號注入 這裡寫程式碼片 http://localhost/sqli-labs-master/Less-1/?id=14' order by 3-- +

SQLI-LABS(Part 1)——搭建

搭建SQLI—LABS環境: 2.將原始碼放在web目錄下 Mac下web專案根目錄預設在/Library/WebServer/Documents Linux下web專案根目錄預設在/var/www/ 在這裡使用的為Ma

sqli-labs ————less -9

Less-9首先我們可以檢視一下原始碼:一方面:從標題中我們可以看到這是一個基於時間盲注的單引號注入另一方面:從之後的“print_r(mysql_error());”來看我們並不可以使用報錯注入最後,我們可以看到可以通過' and 1=1 --+或者' or 1=1 --+

sqli-labs:5-,基於報錯的註入

asc rtb show inf blank span format alt orm 思考1:當# --+都被過濾時,只能考慮閉合處理 思考2:union聯合註入時必須先判斷字段長度 eg. id=1‘ order by 3 and ‘1‘=‘1

Android實戰簡易教程-第二十六槍基於ViewPager實現微信頁面切換效果

stat addview data android tid des viewpage 聊天 == 1.頭部布局文件top.xml:<?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:and