sqli

原来29、30、31真正的题目并不是上章写的，这个我们留到最后再议 第32题 发现对所有特殊字符都进行了转义 理论上来说这道题是不能注入的，因为怎么也闭合不了 但是查看源码发现使用的是gbk编码 这就导致可以考虑宽字节注入，因为\的url编码为%5c 如果在前面加上另一个url编码就可能导致%5c跟 ......

第27题 发现对select和union都进行了顾虑 select双写也进行了过滤 但是三写没有过滤哈哈（颇有种赖皮的感觉） 刚学到一手可以用%00绕过注释符过滤。 ?id='uunionnion(sseselectlectelect(1),(database()),(1));%00 http:// ......

第24题 这道题是一个二次注入，二次注入一般用于白盒测试，也就是需要看源代码寻找漏洞 我们来看创建新用户的代码： 可以看到先对username和pass进行了转义之后插入用户表。这就导致了二次注入的漏洞， 因为经过转义的信息插入之后变成我们想要的信息，到时候可以利用这些信息进行sql注入。 从上面的 ......

第20题 输入用户名密码发现是这样的页面 抓包看看，尝试cookie注入： admin' and extractvalue(1,concat(0x7e,database()))# 其他好做了。 第21题 抓包是这样： 看看这uname什么成分？ 可以看到是对admin先进行了base64编码，然后对 ......

第15题 发现不管输入什么都不报错 应该是没有回显的，所以考虑时间盲注： 先判断闭合方式： 建议拿' 、" 、') 、") 、) 、)) 、一个一个试： 时间盲注应该这样试： uname=11&passwd=1' or sleep(4)-- -&submit=Submit 这里注意，刚开始试了很多次 ......

第11题 打开是这种页面 随便输入一个账号密码，查看传参为post方式 这个题有点奇怪，hackbar不能点运行，点了会说form.submit is not a function ：不知道大家有没有遇到这种情况 我们查看源码： 应该是name="submit"冲突了 使用burp suite抓包： ......

LESS-11 POST提交注入 一般的登录情况都是采用的post提交数据、通过抓包获取到登录信息 枚举数据库字段 查出回显字段 ......

LESS—5 查看源代码得到 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 采用的是 ' ' 闭合，若直接使用/?id=1 and 1=1，则在sql语句中是 $sql="SELECT * FROM users WHERE id='id=1 ......

第五关 没有查询信息，盲注，妥妥的 ?id=1'报错 ?id=1'-- -不报错：闭合方式为' 接下来就是一个字母一个字母试了 首先判断库名的长度:?id=1' and length(database())=8-- -正确输出，长度为8 接下来爆出库名为security 爆出库名爆表名：?id=1' ......

哦~原来这几关都是判断闭合方式的， 判断方式：1.?id=1'和?id=1"测试：谁报错跟谁相关 两个都报错：大概率为无闭合 单引号报错双引号不报错：肯定跟单引号有关闭合 测试?id=1'-- -不报错为单引号闭合，报错如果?id=1')-- -不报错为')闭合 双引号报错单引号不报错同理。 2.用 ......

大佬走开，菜鸟的笔记记录 打开是这样： f12查看时get请求传参，传入id，存在union注入，直接爆库名 爆表名 爆字段名： 最后爆出用户名密码： http://localhost/sqli-labs-php7-master/Less-1?id=' union select 1,group_co ......

LESS-4 第四关果然不出我所料，是id=("$id")类型的，而且发现输入两次双单引号和一次双引号效果是不一样的，虽然形式看着一样.... 老规矩，先 id=1 id=2 id=1' and 1=1/2。。。 一顿输出都是回显正常，但查询栏目数又不正常，然后又开始乱猜。。。 在输入1"（"是双引 ......

LESS-3 这关有点不同，是因为它在单引号的基础上加了一个括号 还是老规矩，判断类型，当输入id=1和id=2都正常回显，查询栏目数目也是正常的，但爆显示位的时候就无回显 判断存在干扰，输入id=1'康康 注意到这里的单引号，还多了个括号，所以猜测sql语句应该是id=('$id') 那就输入 / ......

LESS-2 和第一关步骤一样，先判断 输入 /?id=1 /?id=2 /?id=1' 输入1,2正常回显但加个单引号报错，说明是数字型，先用order by 判断栏目数量（这里省略），然后再爆显示位 /?id=1 order by xxx /?id=-1 union select 1,2,3 开 ......

LESS—1 第一步：判断是否存在注入点 输入 /?id=1 /?id=2 有数据返回且不同，存在注入 第二步：判断语句是否拼接，且是字符型还是数字型 输入 /id=1 and 1=2 /?id=1' 出现报错，判断是字符型，说明是单引号，闭合则可以用 --+ 来注释掉后面的 ’ 输入 /?id=1 ......

因为好久都没有联系过SQL注入了，打算重新拾起渗透方向的能力，去他妈的运维，老子才不要做运维，被傻逼公司给骗了，当了一年的运维，白白浪费了一年。 第一关 先查看一下代码: 真正的关于注入的核心语句就只有中间的select查询语句，一是先看是什么闭合，第二再看有没有过滤 没有任何的过滤，然后是单引号闭 ......

(sqli) sqli。开启新坑。 Less-11 知识点 第十一关页面发生了变化，是账户登录页面。那么注入点在输入框。 前十关使用的是 get 请求，参数都体现在 url 上，而十一关是 post 请求，参数在表单里。可以直接在输入框进行注入。 根据经验可以猜测 sql 语句。大概的形式应该是 “ ......

直接给出了查询语句 select * from users where username='' and passwd='' 构造语句查询，发现有过滤 fuzz一下，很多参数都被过滤 robots协议下发现hint.txt文件 hint.txt文件，有被过滤的参数，但是没有过滤"、|和\，并且提示只要 ......

第一关：Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) 手工union联合查询注入 一：判断注入类型 url=http://127.0.0.2/Less-1/?id=1' 看回显的报错信息 这里说： '1'' L ......

(sqli) sqli。开启新坑。 Less-6 知识点 布尔盲注。与 Less-5 基本相同。这里只简略写大致步骤。 length() 函数：返回字符串所占的字节数。 ascii() 函数：返回字符串最左字符的ASCII值。如果是空字符串，返回0。如果是NULL，返回NULL。 substr() ......

往期回顾：[网络安全]sqli-labs Less-1 解题详析 判断注入类型 GET1 and 1=1，回显如下： GET1 and 1=2，没有回显： 说明该漏洞类型为整型注入。 判断注入点个数 GET1 order by 3，回显如下： GET1 order by 4，回显如下： 说明注入点个 ......

判断注入类型 GET1' and '1'='1，回显如下： GET1' and '1'='2： 没有回显，说明该漏洞类型为GET型单引号字符型注入 判断注入点个数 GET1' order by 2 --+，回显如下： 由上图可知，sql语法中给$id加上了() 猜测后端语句为SELECT * FRO ......

判断注入类型 GET1" and "1"="1，回显如下： GET1" and "1"="2 没有回显，说明该漏洞类型为GET型双引号字符型注入 判断注入点个数 GET1" order by 3 --+ 由上图可知，sql语法中给$id加上了() 猜测后端语句为SELECT * FROM xx wh ......

往期sqli-labs在该博客中，读者可自行浏览。 秋说的博客 该博客实操性较高，请读者躬身实践 判断注入类型 GET1' and '1'='1 回显如下： GET1' and '1'='2 没有回显，说明该漏洞类型为GET型单引号字符型注入 判断注入点个数 GET1' order by 3 --+ ......

(Less-1 ~ Less-5) sqli。开启新坑。 前言 对于新手，为了更加直观的看到 sql 注入语句，可以在以下文件添加两句： echo $sql; # 将构造的 sql 语句进行输出 echo "<br>"; # 换行输出 这样就可以在页面实时看到 sql 语句，便于理解。 题解中，只第 ......

Less-31 详细步骤查看上一篇文章Less-29这一关闭合为") ?id=-2") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- - ......

Less-21 输入admin 1成功登录后显示http信息 根据提示对Cookie进行注入，输入都无果，看到YWRtaW4=并不是我们输入的admin，但是发现后面后有=，为base64编码特征，解码后发现为admin， 思路：输入1'进行编码，MSc= 出现错误 MySQL server ver ......

基于时间的Blind SQLi 一个 基于时间的blind SQLi与基于布尔值的blind SQLi非常相似，因为发送了相同的请求，但是这次的查询是错误还是正确的，我们没有参考指标。相反，我们的正确查询的指示器基于查询所花费的时间完成。 例如 http://abc/edf/?referrer=jh ......

基于布尔值的Blind SQLi 一些浏览器页面会回显{”taken“：true},这是因为服务器的API点包含了登录查询功能，在进行查询时会检查该值是否已注册 url例如： ?username=admin相当于select * from users where username = 'admin' ......

Blind SQLi SQL盲注 sql盲注用于一些我们看不到回显的登陆页面，我们得到很少甚至没有反馈来确认注入的查询是否真的成功，这是因为错误消息已被禁用，但是无论如何SQL注入仍然有效。 当我们看到这样的页面 而且url中没有？时，这种实际上相当于： select * from users wh ......